Cisco ASA IP 对象与 TCP/UDP 对象 wrt VPN 过滤器

网络工程 思科 思科 虚拟专用网 防火墙 cisco 命令
2021-07-21 21:11:48

在 Cisco ASA 中管理访问规则时,我总是使用 ASDM,因为它更易于可视化、故障排除和管理。

我最近为 S2S IPsec VPN 创建了一个 VPN 过滤器,并注意到一些奇怪的事情。TCP/UDP 对象组似乎不像它们通常在 VPN 过滤器的访问规则副 ACL 管理器中那样工作。我必须创建一个 IP 对象并指定源/目标端口。

以下是 ASDM 预览进入 CLI 的内容。请记住,VPN 过滤器的 src/dst 语法是倒退的。

使用 TCP 对象组(不起作用):

access-list Site1_VPN_Filter line 14 extended permit tcp object-group Site2 object-group Site1 object-group rdp

使用 IP 对象组(确实有效):

access-list Site1_VPN_Filter line 15 extended permit object rdp-vpnf object-group Site2 object-group Site1

对象组:

object-group service rdp tcp
 port-object eq 3389
object service rdp-vpnf
 service tcp source eq 3389

我多年来一直在访问规则中使用 TCP 和 UDP 对象组没有问题,直到我尝试在 VPN 过滤器的 ACL 中使用一个。

这只是由错误/语法错误解释的奇怪的思科行为,还是有合法的理由必须这样?

欣赏任何见解!

1个回答

在您的 TCP 对象组变体中,您定义了“从 Site2 到 Site1 的任何 TCP,目的是 TCP 3389”。

端口对象变体是“来自站点 2 的 3389 到任何 TCP 站点 1 的 TCP”。

既然按照你说的颠倒了,这行得通吗:

access-list Site1_VPN_Filter line 14 extended permit tcp object-group Site2 object-group rdp object-group Site1

相关功能请求,希望他们很快得到这个:https : //bst.cloudapps.cisco.com/bugsearch/bug/CSCsf99428

VPN 过滤器详细信息也可供参考:

https://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/99103-pix-asa-vpn-filter.html#anc4

其它你可能感兴趣的问题
上一篇GNS3:Ping 连接在第二个串行接口上​​的路由器时无响应 下一篇路由器环路,但引起环路的路由器知道正确的路由