KB ID 0000753
ongelma
olin aina olettanut, että Tracert käyttää ICMP: tä, ja että pelkkä ICMP-tarkastuksen lisääminen ASA: han antaisi Tracertin komennot toimimaan. Asiakkaallani on joitakin kommunikaatio-ongelmia ja halusi testata viestimet hänen kauko Dr-sivustolta, hän oli mahdollistanut aikarajan ylittymisen ja tavoittamattomissa ASA (saapuvan liikenteen) ja joka oli toiminut. Tarkistin oletustarkastuskartan ja löysin tarkastaa ICMP oli siellä?
käy ilmi, että Tracert ei tarvitse ICMP: n tarkastusta, vaikka on olemassa muutamia parannuksia, jotka sinun täytyy tehdä, jotta se toimii oikein.
ratkaisu
1. Windows-asiakas, jos yritän jäljittää ulkoiseen IP-osoitteeseen, Tämä on mitä näkisin.
2. Ensimmäinen tehtäväni on saada ASA itse vastaamaan minulle, toisin kuin useimmat verkkolaitteet ASA ei vähennä ”hop count”, kun liikenne kulkee sen läpi, korjata tämä meidän täytyy tehdä pieni muutos maailmanlaajuiseen tarkastuskäytäntöön, kuten niin;
Sent username "pix"Type help or '?' for a list of available commands.Petes-ASA>Petes-ASA> enablePassword: *******Petes-ASA# configure terminalPetes-ASA(config)# policy-map global_policyPetes-ASA(config-pmap)# class class-defaultPetes-ASA(config-pmap-c)# set connection decrement-ttlPetes-ASA(config-pmap-c)# exitPetes-ASA(config-pmap)# exitPetes-ASA(config)#
3. Nyt kun me ajamme meidän Tracert näemme ASA nyt vastaa, mikään muu ei kuitenkaan, korjata, että meidän täytyy sallia joitakin ICMP liikennettä.
4. Ennen kuin voit lisätä ACL sinun täytyy nähdä, jos sinulla on jo yksi. Haemme ACL ulkoliittymään liikenteen menossa (kutsun tätä saapuvaksi ilmeisistä syistä). Jos haluat nähdä, onko sinulla jo ACL käytössä, anna seuraava komento;
Petes-ASA# show run access-group access-group inbound in interface outside access-group outbound in interface inside
Huomautus: Yllä olevassa esimerkissä meillä on inbound-niminen eturistiside, jota meidän on käytettävä. (Jos olet lisännyt uuden, Kaikki käyttöoikeusluettelon merkinnät vanhan saavat ’Un-applied’). Jos sinulla on eri nimi (esim.outside_access_in käytä sitä ACL-nimen sijasta, jota käytän tässä). Jos sinulla ei ole Pääsy-ryhmä merkintä saapuvan liikenteen sitten teemme, että lopussa!
5. Tässä vaiheessa sinun pitäisi tietää, jos sinulla on eturistiside, miinat kutsutaan saapuvan joten minun täytyy lisätä kaksi riviä sitä näin;
Petes-ASA(config)# access-list inbound extended permit icmp any any time-exceeded Petes-ASA(config)# access-list inbound extended permit icmp any any unreachable
sitten: Suorita seuraava komento vain, jos et ole hakenut ACL: ää saapuvaan liikenteeseen.
Petes-ASA(config)# access-group inbound in interface outside
6. Kokeile Tracertia uudestaan.
7. Älä unohda tallentaa muutoksia ASA.
Petes-ASA (config)# write memBuilding configuration … Cryptochecksum: b984ffbc dd77cdbf f2cd8d86 0b8f3f96
3965 tavua kopioitu 1.490 sekunnissa (3965 tavua / s)
