Cisco ASA трафик между интерфейсами

По умолчанию на Cisco ASA трафик между интерфейсами с одинаковыми  security-level  — запрещен, это политика безопасности по умолчанию

К примеру у нас есть:

interface Port-channel2.1007
 description ### 
 vlan 1007
 nameif inside_1c
 security-level 100
 ip address 172.16.34.254 255.255.255.0 standby 172.16.34.253
!
interface Port-channel2.1008
 description ### 
 vlan 1008
 nameif inside_sap
 security-level 100
 ip address 172.16.35.254 255.255.255.0 standby 172.16.35.253
!

Для того, что б разрешить трафик между разными интерфейсами с одинаковой security-level  — необходимы в конфиг добавить :

 

#same-security-traffic permit inter-interface

Надо отметить еще одну похожую команду

# same-security-traffic permit intra-interface

Она разрешает прохождение трафика, приходящего и уходящего через один и тот же интерфейс

Внимание —  без этой команды удаленные пользователи  через VPN не смогут выходить в «INTERNET» через Cisco-ASA, надо иметь ввиду