请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 488|回复: 12

ASA5515 ping问题

[复制链接]
发表于 2019-6-26 18:07:52 | 显示全部楼层 |阅读模式
0可用金钱
我这面有一个asa5515防火墙,下面接了一个S2960交换机,我在交换机里可以Ping通防火墙的内网接口地址,也就是网关,但是交换机下面接的pc电脑就ping不通防火墙的网关,是什么原因呢

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-28 08:53:20 | 显示全部楼层
因为你没有配inspect icmp
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-6-28 13:04:37 | 显示全部楼层
kingisme 发表于 2019-6-28 08:53
因为你没有配inspect icmp

icmp unreachable rate-limit 1 burst-size 1
是这条吗
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-29 19:17:32 | 显示全部楼层
policy-map global_policy
class inspection_default
inspect icmp

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-6-30 09:14:12 | 显示全部楼层
cisco asa 防火墙,如果不想 permit icmp any any,那就 inspect icmp:

policy-map global_policy
  class inspection_default
     inspect icmp
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-1 13:31:46 | 显示全部楼层
2095316477 发表于 2019-6-30 09:14
cisco asa 防火墙,如果不想 permit icmp any any,那就 inspect icmp:

policy-map global_policy

去都已经写了这些了,但是还是Ping不通也不能SSH,别的分公司的都是正常的只有这一个,我只能连接防火墙的下联设备路由,在SSH进防火墙,直接SSH防火墙是不可以的,Telnet也是不可以的这是为什么呢,
class-map url_class
match access-list url_filter_list
class-map type regex match-any url_class_regex
match regex url_filter1
match regex url_filter2
match regex url_filter3
match regex url_filter4
match regex url_filter5
match regex url_filter6
match regex url_filter7
match regex url_filter8
match regex url_filter9
match regex url_filter10
match regex url_filter11
match regex url_filter12
match regex url_filter13
match regex url_filter14
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-all url_class_inspect
match request header host regex class url_class_regex
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny  
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip  
  inspect xdmcp
  inspect icmp
policy-map type inspect http url_policy_inspect
parameters
class url_class_inspect
  drop-connection log
policy-map url_policy
class url_class
  inspect http url_policy_inspect


icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any echo inside
icmp permit any echo-reply inside
icmp permit any outside
no asdm history enable


dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL




group 2
lifetime 86400
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
ssh version 2
console timeout 5
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-1 13:36:27 | 显示全部楼层
YilinChen 发表于 2019-6-29 19:17
policy-map global_policy
class inspection_default
inspect icmp

去都已经写了这些了,但是还是Ping不通也不能SSH,别的分公司的都是正常的只有这一个,我只能连接防火墙的下联设备路由,在SSH进防火墙,直接SSH防火墙是不可以的,Telnet也是不可以的这是为什么呢,
class-map url_class
match access-list url_filter_list
class-map type regex match-any url_class_regex
match regex url_filter1
match regex url_filter2
match regex url_filter3
match regex url_filter4
match regex url_filter5
match regex url_filter6
match regex url_filter7
match regex url_filter8
match regex url_filter9
match regex url_filter10
match regex url_filter11
match regex url_filter12
match regex url_filter13
match regex url_filter14
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-all url_class_inspect
match request header host regex class url_class_regex
!
!
policy-map type inspect dns preset_dns_map
parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect ip-options
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny  
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip  
  inspect xdmcp
  inspect icmp
policy-map type inspect http url_policy_inspect
parameters
class url_class_inspect
  drop-connection log
policy-map url_policy
class url_class
  inspect http url_policy_inspect


icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any echo inside
icmp permit any echo-reply inside
icmp permit any outside
no asdm history enable


dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL




group 2
lifetime 86400
telnet 0.0.0.0 0.0.0.0 inside
telnet timeout 5
ssh 0.0.0.0 0.0.0.0 inside
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 5
ssh version 2
console timeout 5
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-7-1 14:06:16 | 显示全部楼层
看楼上描述,直连通,跨网段访问不行,建议检查一下路由;
还有另一种可能,是SSH需要匹配加密算法,通过ssh ?查看一下相关命令。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-1 17:34:49 | 显示全部楼层
YilinChen 发表于 2019-7-1 14:06
看楼上描述,直连通,跨网段访问不行,建议检查一下路由;
还有另一种可能,是SSH需要匹配加密算法,通过s ...

跨网段我只有不能访问防火墙地址,但是他下面的下联交换机所有都可以访问,现光是通过SSH不能访问,就连PING也ping不通的,例如A防火墙是上海,B防火墙是北京的。我A防火墙能ping通B防火墙下面所有的交换机,就是ping 不通B防火墙,而且B防火墙下面所有的交换机也能PING通A防火墙。这是什么原因呢
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-7-1 17:35:50 | 显示全部楼层
YilinChen 发表于 2019-7-1 14:06
看楼上描述,直连通,跨网段访问不行,建议检查一下路由;
还有另一种可能,是SSH需要匹配加密算法,通过s ...

A防火墙和B防火墙是做的IPSEC通道的,我看了通道建立已经成功了
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-10-17 04:18 , Processed in 0.097047 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表