ASA同一接口中转同区域流量测试(ASA 8.42)

本文涉及的产品
云防火墙,500元 1000GB
简介:

一.拓扑图:



二.接口配置:
A.PC1:
eth0:202.1.1.1/24
B.ASA:
ciscoasa(config-if)# int g0
ciscoasa(config-if)# ip add 10.1.1.10 255.255.255.0
ciscoasa(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa(config-if)# no sh
ciscoasa(config)# int gigabitEthernet 1
ciscoasa(config-if)# ip add 202.1.1.10 255.255.255.0
ciscoasa(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa(config-if)# no sh
C.R1:
R1(config)#int f0/0
R1(config-if)#ip add 10.1.1.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#int f0/1
R1(config-if)#ip add 20.1.1.1 255.255.255.0
R1(config-if)#no sh
D.R2:
R2(config)#int f0/0
R2(config-if)#ip add 10.1.1.2 255.255.255.0
R2(config-if)#no sh
E.R3:
R3(config)#int f0/0
R3(config-if)#ip add 20.1.1.3 255.255.255.0
R3(config-if)#no sh
三.路由配置:
ASA(config)# route inside 20.1.1.0 255.255.255.0 10.1.1.1
R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10 
R2(config-if)#ip route 0.0.0.0 0.0.0.0 10.1.1.10
R3(config-if)#ip route 0.0.0.0 0.0.0.0 20.1.1.1
四.防火墙NAT及策略配置:
ciscoasa(config)# object network inside-network1
ciscoasa(config-network-object)# subnet 10.1.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
ciscoasa(config-network-object)# exit exit
ciscoasa(config)# object network inside-network2
ciscoasa(config-network-object)# subnet 20.1.1.0 255.255.255.0
ciscoasa(config-network-object)# nat (inside,outside) dynamic interface
ciscoasa(config-network-object)# exit
ASA(config)# access-list outside permit icmp any object inside-work1 echo-reply 
ASA(config)# access-list outside permit icmp any object inside-work2 echo-reply 
ASA(config)# access-group outside in interface outside
五.公网访问测试:
R1#ping 202.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/28/52 ms
R2#ping 202.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 16/29/68 ms
R3#ping 202.1.1.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 202.1.1.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 24/52/72 ms
六.配置R2和R3互访:
A.R2 ping R3,防火墙有如下日志:
%ASA-3-106014: Deny inbound icmp src inside:10.1.1.2 dst inside:20.1.1.3 (type 8, code 0)
%ASA-3-106014: Deny inbound icmp src inside:10.1.1.2 dst inside:20.1.1.3 (type 8, code 0)
%ASA-3-106014: Deny inbound icmp src inside:10.1.1.2 dst inside:20.1.1.3 (type 8, code 0)
B.防火墙开启相同区域互访:
ASA(config)# same-security-traffic permit intra-interface 

R2#ping 20.1.1.3

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.1.1.3, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 20/52/96 ms

R3#ping 10.1.1.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 12/51/96 ms
-----相对于pix 8.0,不用配置NAT免除。
七.验证tcp连接
A.R2 TELNET R3
R2#telnet 20.1.1.3
Trying 20.1.1.3 ... 
% Connection timed out; remote host not responding

R2#
防火墙日志如下:

%ASA-7-609001: Built local-host inside:10.1.1.2
%ASA-7-609001: Built local-host inside:20.1.1.3
%ASA-6-302013: Built inbound TCP connection 43 for inside:10.1.1.2/23957 (10.1.1.2/23957) to inside:20.1.1.3/23 (20.1.1.3/23)
%ASA-6-302014: Teardown TCP connection 43 for inside:10.1.1.2/23957 to inside:20.1.1.3/23 duration 0:00:00 bytes 0 TCP Reset-O
%ASA-7-609002: Teardown local-host inside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:20.1.1.3 duration 0:00:00
%ASA-7-609001: Built local-host inside:10.1.1.2
%ASA-7-609001: Built local-host inside:20.1.1.3
%ASA-6-302013: Built inbound TCP connection 44 for inside:10.1.1.2/23957 (10.1.1.2/23957) to inside:20.1.1.3/23 (20.1.1.3/23)
%ASA-6-302014: Teardown TCP connection 44 for inside:10.1.1.2/23957 to inside:20.1.1.3/23 duration 0:00:00 bytes 0 TCP Reset-O
%ASA-7-609002: Teardown local-host inside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:20.1.1.3 duration 0:00:00
%ASA-7-609001: Built local-host inside:10.1.1.2
%ASA-7-609001: Built local-host inside:20.1.1.3
%ASA-6-106015: Deny TCP (no connection) from 10.1.1.2/23957 to 20.1.1.3/23 flags RST  on interface inside
%ASA-7-609002: Teardown local-host inside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:20.1.1.3 duration 0:00:00
B.R3 TELNET R2
R3#telnet 10.1.1.2
Trying 10.1.1.2 ... 
% Connection timed out; remote host not responding
R3#


防火墙对应日志如下:

%ASA-7-609001: Built local-host inside:10.1.1.2
%ASA-7-609001: Built local-host inside:20.1.1.3
%ASA-6-106015: Deny TCP (no connection) from 10.1.1.2/23 to 20.1.1.3/21221 flags SYN ACK  on interface inside
%ASA-7-609002: Teardown local-host inside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:20.1.1.3 duration 0:00:00
%ASA-7-609001: Built local-host inside:10.1.1.2
%ASA-7-609001: Built local-host inside:20.1.1.3
%ASA-6-106015: Deny TCP (no connection) from 10.1.1.2/23 to 20.1.1.3/21221 flags ACK  on interface inside
%ASA-7-609002: Teardown local-host inside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:20.1.1.3 duration 0:00:00
%ASA-7-609001: Built local-host inside:10.1.1.2
%ASA-7-609001: Built local-host inside:20.1.1.3
%ASA-6-106015: Deny TCP (no connection) from 10.1.1.2/23 to 20.1.1.3/21221 flags SYN ACK  on interface inside
%ASA-7-609002: Teardown local-host inside:10.1.1.2 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:20.1.1.3 duration 0:00:00
C.分析不通的原因

①R2 TELNET R3
   tcp三次握手,R2发出SYN包经过防火墙inside接口转发,送给R1,到达R3,
                            R3回复的SYN-ACK到达R1后,R1直接给了R2,
                            R2收到了SYN-ACK包后,回复ACK包,但是包送给了防火墙,防火墙更改ACK值后转给R1,最终到达R3并被其丢弃。
----------备注:在模拟器中抓包时发现奇怪的现象,R3回复的SYN-ACK包从R1的接口出来是ACK=1,但是到达R2后ACK=666538828,从而被R2拒绝。
②配置MPF:
ciscoasa(config)# access-list inside-inside permit ip object inside-network1 object insdie-network2
ciscoasa(config)# access-list inside-inside permit ip object inside-network2 object insdie-network1
ciscoasa(config)# class-map inside
ciscoasa(config-cmap)# match access-list inside-inside
ciscoasa(config)# policy-map inside
ciscoasa(config-pmap)# class inside
ciscoasa(config-pmap-c)# set connection random-sequence-number disable

③telnet出现了变化,出现open:
R2#telnet 20.1.1.3
Trying 20.1.1.3 ... Open
lll

lll
^C
^Z
^^^C^C^C^C^C^C
^^^^^^^^^^^
quit
[Connection to 20.1.1.3 closed by foreign host]
--------通过抓包发现三次握手成功建立,但是后续的会话无法双向进行,所以停留在连接状态,需要手工输入quit才会退出。
④.R3 TELNET R2
  tcp三次握手,R3发出的SYN包到底R1后,R1直接给了R2,但是R2回复SYN-ACK包时给了防火墙,被防火墙丢弃,从而TCP三次握手无法建立。

7. 两种解决方式:
A.来回的数据包都不经过防火墙
R2上添加去往20.1.1.0的路由器走R1
R2(config)#ip route 20.1.1.0 255.255.255.0 10.1.1.1
----TELNET测试正常
R3#  telnet 10.1.1.2
Trying 10.1.1.2 ... Open


User Access Verification

Password: 
B.来回的数据包都经过防火墙
①R1设定策略路由,指定下一跳为防火墙接口
R1(config)#ip access-list extended inside
R1(config-ext-nacl)#permit ip any 10.1.1.0 0.0.0.255
R1(config-ext-nacl)#exit
R1(config)#route-map inside permit 10
R1(config-route-map)#match ip address inside
R1(config-route-map)#set ip next-hop 10.1.1.10
R1(config-route-map)#exit
R1(config)#interface f0/1
R1(config-if)#ip policy rout
R1(config-if)#ip policy route-map inside
R1(config-if)#exit
----TELNET测试正常
R2#telnet 20.1.1.3
Trying 20.1.1.3 ... Open


User Access Verification

Password: 

R3#telnet 10.1.1.2
Trying 10.1.1.2 ... Open


User Access Verification

Password:

R1上添加主机路由,指向防火墙
R1(config)#ip route 10.1.1.2 255.255.255.255 10.1.1.10

----TELNET测试正常
R3#telnet 10.1.1.2
Trying 10.1.1.2 ... Open


User Access Verification

Password: 
③R1上设定101.1.2的mac地址为防火墙inside接口的mac地址
ASA# show interface e0
Interface Ethernet0 "inside", is up, line protocol is up
 Hardware is i82559, BW 100 Mbps, DLY 100 usec
       Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
       MAC address 00ab.bffb.c400, MTU 1500
       IP address 10.1.1.10, subnet mask 255.255.255.0

R1(config)#arp 10.1.1.2 00ab.bffb.c400 arpa 

R2#telnet 20.1.1.3
Trying 20.1.1.3 ... Open


User Access Verification

Password: 
8.总结:

A.ASA8.42 从同一接口进又从该接口出的流量不会撞击NAT,因此不需配置NAT免除

-----我的理解,因为object中配置NAT时已经指定了区域的原因,这是新NAT与传统NAT配置的优势,一个语句就搞定。

B.ASA8.3之后的NAT跟以前版本的NAT配置方式有很大的不同





本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/859180,如需转载请自行联系原作者

相关文章
|
27天前
|
数据可视化 前端开发 测试技术
接口测试新选择:Postman替代方案全解析
在软件开发中,接口测试工具至关重要。Postman长期占据主导地位,但随着国产工具的崛起,越来越多开发者转向更适合中国市场的替代方案——Apifox。它不仅支持中英文切换、完全免费不限人数,还具备强大的可视化操作、自动生成文档和API调试功能,极大简化了开发流程。
|
27天前
|
存储 测试技术 数据库
接口测试工具攻略:轻松掌握测试技巧
在互联网快速发展的今天,软件系统的复杂性不断增加,接口测试工具成为确保系统稳定性的关键。它如同“翻译官”,模拟请求、解析响应、验证结果、测试性能并支持自动化测试,确保不同系统间信息传递的准确性和完整性。通过Apifox等工具,设计和执行测试用例更加便捷高效。接口测试是保障系统稳定运行的第一道防线。
|
27天前
|
Web App开发 JSON 测试技术
API测试工具集合:让接口测试更简单高效
在当今软件开发领域,接口测试工具如Postman、Apifox、Swagger等成为确保API正确性、性能和可靠性的关键。Postman全球闻名但高级功能需付费,Apifox则集成了API文档、调试、Mock与自动化测试,简化工作流并提高团队协作效率,特别适合国内用户。Swagger自动生成文档,YApi开源但功能逐渐落后,Insomnia界面简洁却缺乏团队协作支持,Paw仅限Mac系统。综合来看,Apifox是国内用户的理想选择,提供中文界面和免费高效的功能。
|
2月前
|
监控 JavaScript 测试技术
postman接口测试工具详解
Postman是一个功能强大且易于使用的API测试工具。通过详细的介绍和实际示例,本文展示了Postman在API测试中的各种应用。无论是简单的请求发送,还是复杂的自动化测试和持续集成,Postman都提供了丰富的功能来满足用户的需求。希望本文能帮助您更好地理解和使用Postman,提高API测试的效率和质量。
130 11
|
3月前
|
JSON Java 测试技术
SpringCloud2023实战之接口服务测试工具SpringBootTest
SpringBootTest同时集成了JUnit Jupiter、AssertJ、Hamcrest测试辅助库,使得更容易编写但愿测试代码。
90 3
|
4月前
|
JSON 算法 数据可视化
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)
这篇文章是关于如何通过算法接口返回的目标检测结果来计算性能指标的笔记。它涵盖了任务描述、指标分析(包括TP、FP、FN、TN、精准率和召回率),接口处理,数据集处理,以及如何使用实用工具进行文件操作和数据可视化。文章还提供了一些Python代码示例,用于处理图像文件、转换数据格式以及计算目标检测的性能指标。
108 0
测试专项笔记(一): 通过算法能力接口返回的检测结果完成相关指标的计算(目标检测)
|
4月前
|
安全 网络安全 数据安全/隐私保护
Python渗透测试之流量分析:流量嗅探工具编程
Python渗透测试之流量分析:流量嗅探工具编程
71 0
|
5月前
|
移动开发 JSON Java
Jmeter实现WebSocket协议的接口测试方法
WebSocket协议是HTML5的一种新协议,实现了浏览器与服务器之间的全双工通信。通过简单的握手动作,双方可直接传输数据。其优势包括极小的头部开销和服务器推送功能。使用JMeter进行WebSocket接口和性能测试时,需安装特定插件并配置相关参数,如服务器地址、端口号等,还可通过CSV文件实现参数化,以满足不同测试需求。
304 7
Jmeter实现WebSocket协议的接口测试方法
|
5月前
|
JSON 移动开发 监控
快速上手|HTTP 接口功能自动化测试
HTTP接口功能测试对于确保Web应用和H5应用的数据正确性至关重要。这类测试主要针对后台HTTP接口,通过构造不同参数输入值并获取JSON格式的输出结果来进行验证。HTTP协议基于TCP连接,包括请求与响应模式。请求由请求行、消息报头和请求正文组成,响应则包含状态行、消息报头及响应正文。常用的请求方法有GET、POST等,而响应状态码如2xx代表成功。测试过程使用Python语言和pycurl模块调用接口,并通过断言机制比对实际与预期结果,确保功能正确性。
319 3
快速上手|HTTP 接口功能自动化测试
|
5月前
|
JavaScript 前端开发 测试技术
ChatGPT与接口测试
ChatGPT与接口测试,测试通过
73 5