实际工作中ASA防火墙上最实用的排错思路和4种工具
目录:
一、Ping的介绍和使用
二、Traceroute的介绍和使用
三、使用Packet-tracer分别对Inbound和Outbound流量进行测试(重要)
四、使用Capture对telnet流量进行抓包分析(重要)
思科推荐的排错流量:
①ping直连测试,如果不通,就检查接口配置。
②查看路由,如果没有就写静态或者动态。
③Packer tracer模拟一个数据包通过,看看ASA防火墙的处理过程。
④使用Capture分别抓取收包和发包接口的数据,进行对比(ASA自带程序),这也是终极解决方案。
扫码结合思科华为2020年最新版双厂商XCNA实战合集操作更高效哦~
ASA使用Traceroute和Ping来进行连通性测试。
注意:默认穿越ASA的Ping流量并没有被执行状态化监控,返回的ICMP echo replies不会被允许(可以监控Inspect ICMP或者使用ACL放行ICMP的Reply)。
ASA使用ping来确认直连的连通性。
命令行可以执行ping命令,ASDM网管界面也可以进行ping测试(包括ICMP的ping和TCP的ping),拓扑图如下:
一、Ping的介绍和使用
下面是ICMP的ping
下面是TCP的Ping
二、Traceroute的介绍和使用
三、使用Packet-tracer分别对Inbound和Outbound流量进行测试(重要)
①Packet Tracer模拟一个数据包穿越ASA的数据通道,并且跟踪ASA对这个数据包的整个处理过程。
②对丢包进行debug,显示这个包具体被哪一策略所拒绝
③提供可能丢包的原因
④可以在ASDM和CLI中工作
四、使用Capture对telnet流量进行抓包分析(重要)
①高级的排错技术,能够捕获和检查穿越ASA的数据包
②Capture是基于接口来配置的
③捕获的数据包可以通过命令行或者图形化界面进行检查
④数据包可以被保存并且被抓包程序查看
⑤用于确认数据包是否穿越一个接口
⑥用于对一个数据包进入和离开ASA进行比较
⑦在命令行和ASDM中都可以使用
以上就是思科ASA防火墙常用的4种排错工具,尤其最后一种Packet Capture,他能解决实际环境中的一些疑难杂症,能解决你用正常配置方法无法解决的问题。也是排错的终极办法。
扫码获取跟你更多学习资料哟,名额有限,速来领取!!!