实际工作中ASA防火墙上最实用的排错思路和4种工具

目录：

一、Ping的介绍和使用

二、Traceroute的介绍和使用

三、使用Packet-tracer分别对Inbound和Outbound流量进行测试(重要)

四、使用Capture对telnet流量进行抓包分析(重要)

 

思科推荐的排错流量：

①ping直连测试，如果不通，就检查接口配置。

②查看路由，如果没有就写静态或者动态。

③Packer tracer模拟一个数据包通过，看看ASA防火墙的处理过程。

④使用Capture分别抓取收包和发包接口的数据，进行对比（ASA自带程序），这也是终极解决方案。

 

扫码结合思科华为2020年最新版双厂商XCNA实战合集操作更高效哦~

 

ASA使用Traceroute和Ping来进行连通性测试。

注意:默认穿越ASA的Ping流量并没有被执行状态化监控，返回的ICMP echo replies不会被允许（可以监控Inspect ICMP或者使用ACL放行ICMP的Reply）。

ASA使用ping来确认直连的连通性。

 

命令行可以执行ping命令，ASDM网管界面也可以进行ping测试（包括ICMP的ping和TCP的ping），拓扑图如下：

 

 

一、Ping的介绍和使用

下面是ICMP的ping

 

 

下面是TCP的Ping

 

二、Traceroute的介绍和使用

 

三、使用Packet-tracer分别对Inbound和Outbound流量进行测试(重要)

①Packet Tracer模拟一个数据包穿越ASA的数据通道，并且跟踪ASA对这个数据包的整个处理过程。

②对丢包进行debug，显示这个包具体被哪一策略所拒绝

③提供可能丢包的原因

④可以在ASDM和CLI中工作

 

 

 

四、使用Capture对telnet流量进行抓包分析(重要)

①高级的排错技术，能够捕获和检查穿越ASA的数据包

②Capture是基于接口来配置的

③捕获的数据包可以通过命令行或者图形化界面进行检查

④数据包可以被保存并且被抓包程序查看

⑤用于确认数据包是否穿越一个接口

⑥用于对一个数据包进入和离开ASA进行比较

⑦在命令行和ASDM中都可以使用

 

 

 

 

 

 

 

 

以上就是思科ASA防火墙常用的4种排错工具，尤其最后一种Packet Capture，他能解决实际环境中的一些疑难杂症，能解决你用正常配置方法无法解决的问题。也是排错的终极办法。

 

扫码获取跟你更多学习资料哟，名额有限，速来领取！！！