防火墙对数据流量的控制规则:1.查找状态化信息(conn) > 2.查找访问控制列表(ACL) > 3.比较安全优先级(Security Level)
【实验说明】
如上图所示,完成基础配置,配好路由(注意:R1 和 R2 配置一条默认路由,必须指下一跳地址,指出接口则不通,想想为什么?)
结果:R1 和 R2 不能互相 ping 通;R1 能 telnet R2,R2 不能 telnet R1;
结果:R1 和 R2 能互相 ping 通且能互相 telnet;
我的结论:在没有状态化信息和 ACL 的前提下,ASA 防火墙只有在数据流第一次进入接口时比较一次Security Level,在数据流到达 ASA 出接口时就不再比较 Security Level 了!
【实验说明】
在上述“理解 ASA 的 security-level”实验的基础上,我们将 Outside 接口的安全级别改成和 Inside 接口一样来观察实验现象。
结果:R1 和 R2 相互不通了。
结果:R1 和 R2 相互通了。
结果:R1 不能 ping 通 R2,但是 R1 能 telnet R2。
R1 和 R2 能互相通了。
我的结论:
(ACL)”。
Note:“same-security-traffic permit intra-interface”的原理和“same-security-traffic permit intra-interface”的类似。
目前CCIE RS 笔试和LAB 稳定,持续过人中,了解之前的PASS情况和咨询考试情况
请加QQ:804990984 , 839898248
技术交流请加群:859273036,备注思唯官网
扫描二维码也可以加群哦: