networking如下:
networking中存在两个默认网关 – 一个提供与具有多个子网的MPLS的连接。 比方说10.0.0.2
另一个是10.0.0.1上的思科防火墙,具有WAN连接。 局域网中存在一台服务器,并使用上述思科防火墙的DG。 在防火墙上有一条路由,告诉说有什么东西注定要去一个MPLS子网(192.168.99.0/24)去MPLS路由器(在它的LAN IP上)。
在INSIDE界面上,有任何Any,Any,IP允许规则(所有stream量)。
然而,我不能ping任何在MPLS和思科上的日志显示“隐式”任何,任何拒绝正在丢弃ping通信。 所有的东西都一样 – HTTPs,HTTP等等
less了什么东西?
我认为应该考虑安全级别。 您可以从内部ping到外部,但回声stream量必须被允许返回到内部。
假设你已经检查了一些基本知识,例如确保访问列表实际上与access-group命令绑定到接口,如果日志显示stream量正在被拒绝,你可以通过模拟一个包来获得更多的信息packet-tracer命令。 这应该告诉你为什么数据包被拒绝。
假设你的内部服务器是10.0.0.10,MPLSnetworking上的一个主机是192.168.99.10,你的内部接口在里面被调用,那么命令是这样的:
packet-tracer input inside icmp 10.0.0.10 8 0 192.168.99.10 detailed 我假设你需要ICMP(非IP)stream量的规则来允许ping。
首先,你的问题可以复制到这一个: 你如何允许Cisco ASA 55xx路由器上的ICMP回声请求?
但是,我稍微使用另一个configuration来允许ping。 从你的问题,我不知道你需要哪个接口,所以我只是发布我的configuration作为例子,请根据您的设置来解决它:
access-list allow_ping_outside extended permit icmp any interface outside access-list outside_access_in extended permit icmp any interface outside access-list allow_ping extended permit icmp any any icmp unreachable rate-limit 1 burst-size 1 icmp permit any inside icmp permit any outside icmp permit any unreachable outside icmp permit any echo outside icmp permit any echo-reply outside icmp permit any time-exceeded outside
文档(只适用于您的ASA版本,例如8.2或8.4,有很多官方文档可用):
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/i1.html#wp1697623
编辑:关于其他stream量,这是很难猜测,我希望你能提供更多的细节在你的问题。 我假设你有2个活动的LAN接口(具有相同的安全级别)和1个WAN。 然后,为了允许不同局域网中的主机(具有相同的秒级)的通信,您需要明确地允许:
same-security-traffic permit inter-interface
另见: http : //www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/s1.html#wp1421315
如果您确实使用3个接口,请考虑您的许可证限制(请参阅VLAN数量):
您可以使用ACL中的“拒绝所有日志”命令来查看“隐式”拒绝所有规则的实时结果,并从那里开始。 这被称为“明确的”否认所有的规则..谷歌search
这里是
编辑:听起来像你可能已经这样做了。