累计通过IE学员人数:自2011年起累计1700人 当年422人 当月22人
咨询热线:0571-86959638咨询QQ:839898248,VX:swiers2011
rx online

理解ASA 防火墙的 Security Level 和 same-security


1、理解 ASA 防火墙的 Security Level 对数据流量的控制

防火墙对数据流量的控制规则:1.查找状态化信息(conn) > 2.查找访问控制列表(ACL) > 3.比较安全优先级(Security Level)

 

【实验拓扑】

 


【实验说明】

如上图所示,完成基础配置,配好路由(注意:R1 和 R2 配置一条默认路由,必须指下一跳地址,指出接口则不通,想想为什么?)

Step 1:ASA 上没有配置 ACL

结果:R1 和 R2 不能互相 ping 通;R1 能 telnet R2,R2 不能 telnet R1;

 

Step 2:只在 ASA 的 Outside 接口的 in 方向挂一条 ACL。

结果:R1 和 R2 能互相 ping 通且能互相 telnet;

 

【实验分析】

我的结论:在没有状态化信息和 ACL 的前提下,ASA 防火墙只有在数据流第一次进入接口时比较一次Security Level,在数据流到达 ASA 出接口时就不再比较 Security Level 了!

 

 

2、理解 ASA 防火墙的“same-security”

【实验拓扑】


【实验说明】

在上述“理解 ASA 的 security-level”实验的基础上,我们将 Outside 接口的安全级别改成和 Inside 接口一样来观察实验现象。

 

Step 1:将 ASA 的 Outside 接口的安全级别改成和 Inside 接口一样,且保持 Outside 接口 in 方向上的 permit ip 的 ACL。

结果:R1 和 R2 相互不通了。

 

Step 2:在 ASA 上配置 same-security-traffic permit inter-interface

结果:R1 和 R2 相互通了。

Step 3:将 ASA 的 Outside 接口的 in 方向的 ACL 改成“deny ip any any”,并开启 R2 的 telnet 服务。

结果:R1 不能 ping 通 R2,但是 R1 能 telnet R2。

Step 4:在 ASA 上清除所有的 ACL

R1 和 R2 能互相通了。

 

【实验分析】

我的结论:

  • 当ASA 的两个接口的 Security-level 相同时,“same-security-traffic permit inter-interface”是流量控制的第一道开关,如果没有打开,则无论怎么配置 ACL 都不通。

 

  • 如果它打开了,则接下来的流量控制继续会遵守“1.查找状态化信息(conn)> 2.查找访问控制列表

(ACL)”。

Note:“same-security-traffic permit intra-interface”的原理和“same-security-traffic permit intra-interface”的类似。

目前CCIE RS 笔试和LAB 稳定,持续过人中,了解之前的PASS情况和咨询考试情况

请加QQ:804990984 , 839898248

技术交流请加群:859273036,备注思唯官网

扫描二维码也可以加群哦:

Copyright © 2011-2021 思唯网络 Swiers All Rights Reserved. | 浙ICP备17056685号