已解决: 救助Cisco ASA 5525-K9上网策略问题

zlc__2010 · ‎08-15-2016

从4507上PING公司总部10.240.100.25/30PING不通,这是为什么？是哪里设置的不对么？请高手帮忙看看 ,万分感谢

pebao · ‎08-15-2016

将ASA的inside接口下的management-only删掉就好了，加了这个命令就只允许管理流量，不允许穿越流量。

pebao · ‎08-15-2016

将ASA的inside接口下的management-only删掉就好了，加了这个命令就只允许管理流量，不允许穿越流量。

zlc__2010 · ‎08-15-2016

4507的路由设置

zlc__2010 · ‎08-15-2016

4507路由设置

one-time · ‎08-15-2016

感谢您的提问，会有小伙伴为您解答的！:):handshake

msdongpinl · ‎08-15-2016

ping 10.240.100.26 能通吗？总部有返回的路由没

zlc__2010 · ‎08-15-2016

msdongpinl 发表于 2016-8-15 17:39
ping 10.240.100.26 能通吗？总部有返回的路由没

PING不通，总部有返回的路由。现在为了方便测试，用一台笔记本暂替总部那一端，笔记本的网关就是防火墙的地址。

msdongpinl · ‎08-15-2016

zlc__2010 发表于 2016-8-15 17:43
PING不通，总部有返回的路由。现在为了方便测试，用一台笔记本暂替总部那一端，笔记本的网关就是防火墙的 ...

那应该是ASA的问题啦，检查一下ACL，看看ACL的log

YilinChen · ‎08-15-2016

本帖最后由 YilinChen 于 2016-8-16 12:10 编辑
icmp permit any OUTSIDE
icmp permit any INSIDE
policy-map global_policy
class inspection_default
inspect icmp

yanzha4 · ‎08-16-2016

你这么描述看不出来问题很正常，asa 在总部分部？测试从总部ping 分部能不能通？
asa 监控icmp 也只是针对内部到外部，如果外部到内部ping包，需要明确放行才行

zlc__2010 · ‎08-16-2016

YilinChen 发表于 2016-8-16 11:51
icmp permit any OUTSIDE
icmp permit any INSIDE

谢谢，恢复出厂设置重新吧之前配置的配了一边就好了，我核对了一下跟之前的配置文件，每条都核对了，没有什么变化，现在都不明白是什么问题

zlc__2010 · ‎08-16-2016

yanzha4 发表于 2016-8-17 08:15
你这么描述看不出来问题很正常，asa 在总部分部？测试从总部ping 分部能不能通？
asa 监控icmp 也只是针对 ...

ASA在分部，0/0连接总部过来的光纤，0/1连接的是核心交换机。防火墙PING总部是通的，PING分部也是通的，就是分部PING总部不通。
现在恢复出厂设置重新吧之前配置的配了一边就好了，我核对了一下跟之前的配置文件，每条都核对了，没有什么变化，现在都不明白是什么问题
非常感谢！

aisike · ‎08-17-2016

你这么描述看不出来问题很正常，asa 在总部分部？测试从总部ping 分部能不能通？