我希望有人可以帮助我解决我在 Cisco ASA 设备上看到的问题,我在将外部接口传递到公共接口时遇到了问题。
外部 = 65.125.xx
公共 = 65.121.xx
当我 ping 公共 IP 时,数据包在外部接口(即子网路由的地方)上被接收,但从未转发到公共接口(通过数据包捕获确认)。
两个接口具有相同的安全级别零,并且我配置了以下命令。
same-security-traffic permit inter-interface
我在每个界面上也制定了以下规则。
access-list outside_public extended permit icmp any any
access-list outside_public extended permit ip any any
我还为流量设置了 NAT 规则。
nat (public,outside) source static 65.121.x.x_27 65.121.x.x_27 destination static 65.125.x.x_29 65.125.x.x_29
nat (outside,public) source static 65.125.x.x_29 65.125.x.x_29 destination static 65.121.x.x_27 65.121.x.x_27
当我 ping 65.121.xx 时,我看到外部接口上有数据包,但在公共接口上却什么也没有看到,我对此很困惑。
任何帮助都将不胜感激,因为我正在为此而苦恼。我知道这可以与路由器一起使用,但我似乎无法使 ASA 在附加了附加公共子网的第二个接口上可访问。
答案1
用 Cisco ASA 防火墙和 ping 进行一些快速检查。您可能需要设置“管理访问接口”。我以前也遇到过这种情况,导致 ping 出现问题。
您可能还需要制定一些其他策略来允许 ping。防火墙规则并不总是允许它。还有其他策略可以在检查层提取流量。新启动的简单方法是:
Fixup protocol ICMP