Конфигурация ASA с использованием трассировщика пакетов - PullRequest
Новая
       124

Конфигурация ASA с использованием трассировщика пакетов

0 голосов
/ 19 апреля 2020

Я пытаюсь настроить сеть ниже.

Я не могу открыть http://142.12.56.68 с компьютера publi c.

Я могу пропинговать на брандмауэр 192.158.99.1 от ноутбука VLAN200.

У меня ниже конфигурации на ASA и Multi Switch. Пожалуйста, дайте мне знать, что еще мне нужно сделать, чтобы завершить эту сеть. 

ciscoasa(config)#show run
: Saved
:
ASA Version 9.6(1)
!
hostname ciscoasa
names
!
interface GigabitEthernet1/1
 nameif inside
 security-level 100
 ip address 192.168.99.1 255.255.255.252
!
interface GigabitEthernet1/2
 nameif dmz
 security-level 50
 ip address 172.16.1.0 255.255.255.0
 ospf authentication message-digest
 ospf message-digest-key 1 md5 *****
!
!
interface Management1/1
 management-only
 nameif outside
 security-level 0
 ip address 148.12.56.67 255.255.255.0
 ospf authentication message-digest
 ospf message-digest-key 1 md5 *****
!
webvpn
 enable outside
object network DMZ
 subnet 172.16.1.0 255.255.255.0
object network LAN
 subnet 192.168.20.0 255.255.255.0
object network webserver
 host 172.16.1.10
object network webserver-external-ip
 host 148.12.56.68
!
route outside 192.168.99.0 255.255.255.252 148.12.56.68 1
!
access-list OUTSIDE extended permit icmp any any echo-reply
access-list OUTSIDE extended permit icmp any any unreachable
access-list OUTSIDE extended permit tcp any object webserver eq www
access-list OUTSIDE extended permit tcp any host 148.12.56.68 eq www
access-list outside extended permit icmp any any echo-reply
access-list outside extended permit icmp any any unreachable
!
!
access-group OUTSIDE in interface outside
object network DMZ
 nat (dmz,outside) dynamic interface
object network LAN
 nat (inside,outside) dynamic interface
object network webserver
 nat (dmz,outside) static 148.12.56.68
!
!
class-map inspection_default
 match default-inspection-traffic
!
policy-map global_policy
 class inspection_default
  inspect icmp 
!
service-policy global_policy global
!
telnet timeout 5
ssh timeout 5
!
!
router ospf 1
 log-adjacency-changes
 network 0.0.0.0 255.255.255.255 area 0
 network 192.168.99.0 255.255.255.252 area 0
 network 148.12.56.0 255.255.255.0 area 0
 network 171.16.1.0 255.255.255.0 area 1
 network 172.16.1.0 255.255.255.0 area 1
!

Для MultiSwitch у меня есть ниже: 

> S1#show run
Building configuration...

Current configuration : 1840 bytes
!
version 12.2(37)SE1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname S1
!
ip routing
!
interface FastEthernet0/1
 switchport access vlan 20
 switchport mode access
 switchport nonegotiate
!
interface FastEthernet0/2
 switchport access vlan 20
 switchport mode access
 switchport nonegotiate
!
interface FastEthernet0/3
 switchport access vlan 10
 switchport mode access
 switchport nonegotiate
!
interface FastEthernet0/4
 switchport access vlan 10
 switchport mode access
 switchport nonegotiate
!
interface FastEthernet0/5
 no switchport
 ip address 192.168.99.2 255.255.255.252
 duplex auto
 speed auto
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 mac-address 000c.8551.6601
 ip address 192.168.10.1 255.255.255.0
!
interface Vlan20
 mac-address 000c.8551.6602
 ip address 192.168.20.1 255.255.255.0
!
router ospf 1
 log-adjacency-changes
 network 192.0.0.0 0.255.255.255 area 0
 network 172.16.1.0 0.0.0.255 area 1
end

` Схема сети

1 Ответ

0 голосов
/ 19 апреля 2020

Вы используете интерфейс управления в режиме только управления, поэтому вы можете использовать этот интерфейс только для управления ASA. Как я знаю, вы не можете удалить опцию «только управление» из интерфейса управления.

пример команды трассировщика пакетов: 

packet-tracer input outside tcp <laptop_ip> 148.12.56.68 80

В конце вывода вы увидите Действие линия, которая показывает окончательное действие. Следующая строка покажет вам причину, если действие drop .

Вы также можете проверить записи журнала ASA. Вы должны всегда настраивать функцию ведения журнала !!! Минимальная конфигурация регистрации: 

logging enable
logging timestamp
logging buffered informational
logging buffer-size 16384

Приведенная выше конфигурация добавит метку времени ко всем сообщениям журнала, уровень серьезности журнала будет информационным и буфер 16M сообщений журнала.

Для получения дополнительной информации о регистрации ASA: https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/general/asa-96-general-config/monitor-syslog.html

Вы можете найти дополнительную информацию об уровнях серьезности журнала: https://en.wikipedia.org/wiki/Syslog#Severity_level

Чтобы отправить сообщения журнала на центральный сервер журнала: 

logging host <asa_interface> <remote_log_server_ip> <protocol/port/>

Например, сообщения журнала будут отправляться с внутри интерфейса, на 192.168.1.1 удаленный сервер на udp / 514 порт ( стандартный / устаревший протокол и порт syslog): 

logging host inside 192.168.1.1 udp

Я думаю, что сообщения журнала - один из ваших лучших друзей для устранения неполадок!

...