cisco asa学习笔记

cisco asa学习笔记
cisco asa学习笔记
- 一、网络模拟实验中的问题调试记录
- 1、ASA自身接口地址不能被ping通(从远端路由过来的主机)
  2、同安全级别的接口默认不能通信，怎么才能通信？
  3、一个asa连接3个路由器，互联互通解决方案
  <1>方案1 全局开启policy-map inspect icmp流量
  <2>方案2 所有接口开启acl允许icmp通过
一、网络模拟实验中的问题调试记录

 1、ASA自身接口地址不能被ping通(从远端路由过来的主机)

Interfaces will not respond to ICMP from host routing by other interfaces.
ASA自身接口地址不回应icmp ping request（从远端路由过来的主机）。
直连的设备可以ping通ASA自身接口地址。

2、同安全级别的接口默认不能通信，怎么才能通信？

same-security-traffic permit inter-interface

3、一个asa连接3个路由器，互联互通解决方案

默认情况下：
高安全级别接口到低安全级别接口：ping不通 (因为ping回包没有放行)
https://community.cisco.com/t5/security-blogs/cisco-asa-and-icmp-inspection/ba-p/3773485
https://networkdirection.net/articles/firewalls/icmpinspection/
https://www.tunnelsup.com/cisco-asa-order-of-operation/

低安全级别接口到低高安全级别接口：ping不通

 <1>方案1 全局开启policy-map inspect icmp流量

这样做的效果：
高安全级别接口到低安全级别接口：可以ping通
低安全级别接口到高安全级别接口：ping不通
为什么ping不通呢，因为inspect icmp使得icmp变成statuful从而可以被asa追踪-这有个条件(数据流中的第一个包需要满足安全策略的条件，低安全级别到高安全级别的流量默认是不允许的，所以ping不通)，inspect 只会作用于建立起会话的数据流(流中的第2个包开始)。
ACL Evaluation
Please note that ICMP inspection does not bypass all ACLs. An ICMP packet will be allowed through the ASA without an ACL evaluation, only if it is part of an already established session. Like TCP or UDP, the first packet in the ICMP flow must still be evaluated against security policies, and allowed, in order for the flow to be established.

<2>方案2 所有接口开启acl允许icmp通过

这样做的效果：
高安全级别接口到低安全级别接口：可以ping通
低安全级别接口到高安全级别接口：可以ping通
相关阅读:
Python合并拼接图片
 探索C++在软件开发中的应用
 x64dbg 2022 最新版编译方法
 【报错】cannot import name ‘DistanceMetric‘ from ‘sklearn.metrics‘
计算机的原码, 反码和补码
【vue设计与实现】非原始值的响应式方案 10-如何代理Set和Map
个推「数据驱动运营增长」上海专场：携程智行火车票分享OTA行业的智能用户运营实践
 【全开源】多功能投票小程序源码（Uniapp+ThinkPHP+FastAdmin）
WebService总结
 基于 LVM 创建和扩展 XFS 文件系统
原文地址：https://blog.csdn.net/OceanWaves1993/article/details/128118635

cisco asa学习笔记

一、网络模拟实验中的问题调试记录

1、ASA自身接口地址不能被ping通(从远端路由过来的主机)

2、同安全级别的接口默认不能通信，怎么才能通信？

3、一个asa连接3个路由器，互联互通解决方案

<1>方案1 全局开启policy-map inspect icmp流量

<2>方案2 所有接口开启acl允许icmp通过