标签:接口 流量 traffic same interface security
关于Inter-interface和intra-interface:
要允许具有相同安全级别的接口之间的通信,或允许流量进入和退出同一接口,请在全局配置模式下使用same-security-traffic命令。 要禁用相同的安全流量,请使用此命令的no形式。
same-security-traffic permit {inter-interface | intra-interface}
no same-security-traffic permit {inter-interface | intra-interface}
inter-interface:
允许具有相同安全级别的不同接口之间的通信。
intra-interface:
允许进出同一接口的通信(这个一般是不建议开启的,一般用在如VPN流量)
使用指导:
允许相同安全接口之间的通信(由same-security-traffic inter-interface命令启用)提供以下好处:
•您可以配置超过101个通信接口。如果为每个接口使用不同的级别,则每个级别只能配置一个接口(0到100)。
•您可以允许流量在所有相同的安全接口之间自由转发,而无需访问列表。
same-security-traffic intra-interface命令允许流量从相同的接口进入和发出,这通常是不允许的。此功能可能对进入接口的VPN流量有用,随后会路由到同一接口。在这种情况下,VPN流量可能未加密,或者可能会为另一个VPN连接重新加密。例如,如果您有一个中心和分支VPN网络,其中ASA是Hub端,而远程VPN网络是Spoke,一个Spoke条与另一个Spoke通信,流量必须进入ASA然后再次从该接口出去。
注意:same-security-traffic intra-interface命令允许的所有流量仍受防火墙规则的约束。 注意不要创建可能导致返回流量而不会走ASA的非对称路由情况。
示例:
以下示例显示如何启用相同安全性的接口通信:
hostname(config)# same-security-traffic permit inter-interface
以下示例显示如何启用流量以可以进出同一接口:
hostname(config)# same-security-traffic permit intra-interface
查看命令:显示有关same-security的命令
show running-config same-security-traffic
案例:
某客户出现不同网段不同互访。在两个接口都配置了ACL放行对应的流量,且客户端的路由也都OK,就是不行。
通过show run看到客户ASA上两个接口具有相同的安全级别,通过该命令 same-security-traffic permit inter-interface 开启相同安全级别接口的流量互访之后,问题得以解决。
标签:接口,流量,traffic,same,interface,security 来源: https://www.cnblogs.com/MomentsLee/p/10588772.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。