5.1 思科ASA：多个接口的安全级别可以配置为一样、 security-level越大级别越高。 (same-security-traffic permit inter-interface)

5.1  思科ASA：多个接口的安全级别可以配置为一样、 security-level越大级别越高。 (same-security-traffic permit inter-interface)

same-security-traffic permit inter-interface：Permit communication between different interfaces and zones with the same security level  

//相同区域不同接口：允许相同安全级别的不同接口的区域内主机之间通信

same-security-traffic permit intra-interface ：Permit communication between peers connected to the same interface and different interfaces in the same zone 

//同一区域同一接口或者不同接口：允许连接到同一接口内的主机之间通信，也允许连接到同一区域的不同接口之间

同一接口内的通讯

（1）在Hub-and-Spoke VPN的环境中，流量需要从同一个子接口进入和离开防火墙。

（2）默认情况下，这种流量是不被允许通信的。

（3）可以使用命令来激活intra-interface之间的通讯。

下面演示same-security-traffic permit inter-interface

（1）拓扑

（2）配置

配置前

配置：

命令行方式配置：

interface GigabitEthernet0/1

 nameif a

 security-level 50

 ip address 192.168.1.254 255.255.255.0

!

interface GigabitEthernet0/2

 nameif dmz

 security-level 50

 ip address 192.168.2.254 255.255.255.0

ciscoasa(config)# same-security-traffic permit inter-interface

ciscoasa(config)# same-security-traffic permit ?

configure mode commands/options:

  inter-interface  Permit communication between different interfaces and zones

                              with the same security level  //允许相同安全级别的不同接口和区域之间通信

  intra-interface  Permit communication between peers connected to the same

                              interface and different interfaces in the same zone  //允许连接到同一接口的对等体之间通信，也允许连接到同一区域的不同接口之间通信

ASDM方式配置：

（3）测试

PC1可以ping通 192.168.2.200, 但是ping不通防火墙的接口ip 192.168.2.254

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html