Назад | Перейти на главную страницу

Трафик между VLAN заблокирован, несмотря на разницу в уровнях безопасности на ASA 5510

У меня Cisco ASA 5510 настроен таким образом:

interface Ethernet0/0
 description ### Trunk for inside, wlan ###
 speed 1000
 no nameif
 no security-level
 no ip address

interface Ethernet0/0.10
 description ### OFFICE ###
 vlan 10
 nameif inside
 security-level 100
 ip address 172.18.0.1 255.255.255.0 

interface Ethernet0/0.12
 description ### WIRELESS ###
 vlan 12      
 nameif wlan  
 security-level 20
 ip address 172.18.2.1 255.255.255.128 

interface Ethernet0/3
 description ### Upstream ###
 nameif outside
 security-level 0
 ip address X.X.X.X 255.255.255.252 

access-group WLAN in interface wlan

global (outside) 10 interface

nat (wlan) 0 access-list NONATWIRELESS
nat (wlan) 10 172.18.2.0 255.255.255.128
nat (inside) 0 access-list NONATINSIDE
nat (inside) 10 172.18.0.0 255.255.255.0

dhcprelay server ZZZ inside
dhcprelay enable wlan

access-list WLAN extended permit object-group DNS object-group WLAN host nic 
access-list WLAN extended permit object-group DNS object-group WLAN host idns 
access-list NONATWIRELESS extended permit ip any 172.18.0.0 255.255.255.0 
access-list NONATWIRELESS extended permit ip any 172.18.3.0 255.255.255.0 
access-list NONATINSIDE extended permit ip any 172.18.2.0 255.255.255.0 
access-list NONATINSIDE extended permit ip any 172.18.3.0 255.255.255.0 

no nat-control

Статических маршрутов нет.

В этой конфигурации хостам на vlan 10 разрешен доступ к внешнему миру, а узлам на vlan 12 - нет. Они провоцируют подобные записи в журнале:

Jan 13 14:35:02 172.18.0.1 %ASA-4-106023: Deny tcp src wlan:172.18.2.125/48593 dst outside:Y.Y.Y.Y/80 by access-group "WLAN" [0x0, 0x0]

Как придешь?

РЕДАКТИРОВАТЬ: Я полагаю, это потому, что есть список доступа на wlan, но не внутри, но это кажется глупым? уровень безопасности по-прежнему следует оценивать, если в списке доступа нет соответствующих записей?

Умм, возможно, потому, что у вас есть группа доступа WLAN, примененная к трафику, поступающему через интерфейс WLAN, и эта группа доступа не разрешает трафик на веб-серверы.

Сообщение об ошибке довольно ясно, что проблема заключается в группе доступа WLAN, и этот список доступа довольно ограничен.

редактировать в ответ на ваш комментарий: я не знаю, потому что все списки доступа в PIXOS являются диспозитивными (то есть все имеют неявный deny any any в конце) - поэтому не существует такого понятия, как несоответствующий список доступа.