Cisco ASA隐式规则丢弃流量

Cisco ASA隐式规则丢弃流量

网络如下:

网络上有两个默认网关 - 一个提供与具有多个子网的 MPLS 的连接。假设为 10.0.0.2

另一个是 Cisco 防火墙,位于 10.0.0.1,具有 WAN 连接。LAN 上有一个服务器,其 DG 与上述 Cisco 防火墙相同。防火墙上有一条路由,指示发往 MPLS 子网之一 (192.168.99.0/24) 的任何内容都转到 MPLS 路由器(在其 LAN IP 上)。

在 INSIDE 接口上,有任何 Any、Any、IP 允许规则(所有流量)。

但是,我无法在 MPLS 上 ping 任何内容,Cisco 上的日志显示“隐式”Any,Any Deny 正在丢弃 ping 流量。对于所有内容(HTTP、HTTP 等)都一样。

少了什么东西?

答案1

我认为应该考虑安全级别。您可以从内部 ping 到外部,但必须允许回显流量返回内部。

答案2

假设您已经检查了基本信息,例如确保使用 access-group 命令将访问列表实际绑定到接口,如果日志显示流量被拒绝,您可以通过使用 packet-tracer 命令模拟数据包来了解更多信息。这应该会告诉您数据包被拒绝的确切原因。

假设您的内部服务器是 10.0.0.10 且 MPLS 网络上的主机是 192.168.99.10,并且您的内部接口称为内部,则命令将如下:

packet-tracer input inside icmp 10.0.0.10 8 0 192.168.99.10 detailed

答案3

我假设您需要 ICMP(非 IP)流量规则来允许 ping。

首先,你的问题可能与这个问题重复:如何在 Cisco ASA 55xx 路由器上允许 ICMP 回显请求?

但是,我使用稍微不同的配置来允许 ping。从您的问题来看,我不确定您需要在哪个接口上允许它,因此我仅发布我的配置作为示例,请根据您的设置进行修复:

access-list allow_ping_outside extended permit icmp any interface outside 
access-list outside_access_in extended permit icmp any interface outside 
access-list allow_ping extended permit icmp any any

icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
icmp permit any unreachable outside
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any time-exceeded outside

文档(只需谷歌一下你的 ASA 版本,例如 8.2 或 8.4,就有大量官方文档可供参考):

http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/i1.html#wp1697623

http://www.cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/access_management.html#wp1267985

编辑:关于其他流量,很难猜测,我希望你能在问题中提供更多细节。我假设你有 2 个活动 LAN 接口(具有相同的安全级别)和 1 个 WAN。然后,要允许不同 LAN 中的主机进行通信(具有相同的安全级别),你需要明确允许它:

same-security-traffic permit inter-interface

也可以看看:http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/s1.html#wp1421315

如果您确实使用 3 个接口,还请考虑许可证的限制(参见 VLAN 数量):

http://www.cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/general/asa_91_general_config/intro_license.html#55668

答案4

您可以使用 ACL 中的“deny all log”命令查看“implicit”拒绝所有规则的实时结果并从那里开始。它被称为“explicit”拒绝所有规则。谷歌搜索

这里是

编辑:听起来你可能已经这样做了。

相关内容