same-security-traffic
关于Inter-interface和intra-interface:
要允许具有相同安全级别的接口之间的通信,或允许流量进入和退出同一接口,请在全局配置模式下使用same-security-traffic命令。 要禁用相同的安全流量,请使用此命令的no形式。
same-security-traffic permit {inter-interface | intra-interface}
no same-security-traffic permit {inter-interface | intra-interface}
inter-interface:
允许具有相同安全级别的不同接口之间的通信。
intra-interface:
允许进出同一接口的通信(这个一般是不建议开启的,一般用在如VPN流量)
使用指导:
允许相同安全接口之间的通信(由same-security-traffic inter-interface命令启用)提供以下好处:
•您可以配置超过101个通信接口。如果为每个接口使用不同的级别,则每个级别只能配置一个接口(0到100)。
•您可以允许流量在所有相同的安全接口之间自由转发,而无需访问列表。
same-security-traffic intra-interface命令允许流量从相同的接口进入和发出,这通常是不允许的。此功能可能对进入接口的VPN流量有用,随后会路由到同一接口。在这种情况下,VPN流量可能未加密,或者可能会为另一个VPN连接重新加密。例如,如果您有一个中心和分支VPN网络,其中ASA是Hub端,而远程VPN网络是Spoke,一个Spoke条与另一个Spoke通信,流量必须进入ASA然后再次从该接口出去。
注意:same-security-traffic intra-interface命令允许的所有流量仍受防火墙规则的约束。 注意不要创建可能导致返回流量而不会走ASA的非对称路由情况。
示例:
以下示例显示如何启用相同安全性的接口通信:
hostname(config)# same-security-traffic permit inter-interface
以下示例显示如何启用流量以可以进出同一接口:
hostname(config)# same-security-traffic permit intra-interface
查看命令:显示有关same-security的命令
show running-config same-security-traffic
案例:
某客户出现不同网段不同互访。在两个接口都配置了ACL放行对应的流量,且客户端的路由也都OK,就是不行。
通过show run看到客户ASA上两个接口具有相同的安全级别,通过该命令 same-security-traffic permit inter-interface 开启相同安全级别接口的流量互访之后,问题得以解决。
same-security-traffic的更多相关文章
- VLAN 模式下的 OpenStack 管理 vSphere 集群方案
本文不合适转载,只用于自我学习. 关于为什么要用OpenStack 管理 vSphere 集群,原因可以有很多,特别是一些传统企业,VMware 的使用还是很普遍的,用 OpenStack 纳管至少会 ...
- Neutron 理解 (8): Neutron 是如何实现虚机防火墙的 [How Neutron Implements Security Group]
学习 Neutron 系列文章: (1)Neutron 所实现的虚拟化网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)Neutron OpenvSwitch + GR ...
- Configure Security Settings for Remote Desktop(RDP) Services Connections
catalogue . Configure Server Authentication and Encryption Levels . Configure Network Level Authenti ...
- A Study of WebRTC Security
转自:http://webrtc-security.github.io/ A Study of WebRTC Security Abstract Web Real-Time Communication ...
- 每日英语:The Secret About Online Ad Traffic: One-Third Is Bogus
Billions of dollars are flowing into online advertising. But marketers also are confronting an uncom ...
- IOS Application Security Testing Cheat Sheet
IOS Application Security Testing Cheat Sheet [hide] 1 DRAFT CHEAT SHEET - WORK IN PROGRESS 2 Int ...
- Linux LSM(Linux Security Modules) Hook Technology
目录 . 引言 . Linux Security Module Framework Introduction . LSM Sourcecode Analysis . LSMs Hook Engine: ...
- Penetration Testing、Security Testing、Automation Testing
相关学习资料 http://www.cnblogs.com/LittleHann/p/3823513.html http://www.cnblogs.com/LittleHann/p/3828927. ...
- Cisco IOS Security command Guide
copy system:running-config nvram:startup-config : to save your configuration changes to the startup ...
- Security Checklist (路由器安全checklist)
Security Checklist Website by Michael Horowitz Home | Introduction | Router Bugs | Security Che ...
随机推荐
- 7.log4j
Log4j:日志工厂的一部分(使用起来比较麻烦) 1.要想使用外部类,得先导包 pom.xml <dependency> <groupId>log4j</groupId& ...
- 514 ,css不同选择器的权重(css层叠的规则)
!important规则最重要,大于其它规则 行内样式规则,加1000 eg,<html> <head> </head> <body> & ...
- 【原】AMFObject数据格式详解
AMF AMF是Action Message Format(动作消息格式)的简写,它是一种二进制的数据格式.它的设计是为了把actionscript里面的数据(包括Object, Array, Boo ...
- 【做题笔记】CF1311A、B、C
或许以后会有D. A 题目大意:给定两个整数 \(a,b\) ,每次可以进行一下任意一个操作: \(a\) 加上任意一个正奇数 \(b\) 减去任意一个正偶数 问是否可以通过若干次操作把 \(a\) ...
- shiro登录认证过程讲解
先粘出登录的代码 1. 可以看到已经获取到了username和password ,为了接下来的认证过程,我们需要获取subject对象,也就是代表当前登录用户,并且要将username和passw ...
- JAVA中fail-fast机制
在JDK的Collection中我们时常会看到类似于这样的话: 例如,ArrayList: 注意,迭代器的快速失败行为无法得到保证,因为一般来说,不可能对是否出现不同步并发修改做出任何硬性保证.快速失 ...
- c语言getipaddrtable获得ip地址与sendArp获得mac地址以及一些字节序问题记录
https://docs.microsoft.com/zh-cn/windows/win32/api/iphlpapi/nf-iphlpapi-getipaddrtable msdn,有很多c的源码还 ...
- Mobius反演定理-BZOJ2154
This article is made by Jason-Cow.Welcome to reprint.But please post the article's address. 莫比乌斯定理(未 ...
- CI框架发送邮件(带附件)
最近写了一个发送带附件的邮件,发邮件挺简单的,在我这里最重要的是遇到问题,哈哈哈哈 1.主要方法看代码 public function send_mail(){ $this->load-> ...
- RAID 5+备份硬盘实验:mdadm
*独立冗余磁盘阵列---RAID5* RAID5+备份盘: 把硬盘设备的数据奇偶校验信息保存到其他硬盘设备中. RAID 5磁盘阵列组中数据的奇偶校验信息并不是单独保存到某一块硬盘设备中, 而是存储 ...