我目前正在尝试使用 SLA 跟踪为我的 Cisco ASA 55x0 设置故障转移网络。我有“外部”接口(网络 89.xx48/29)和“外部 2”接口(网络 192.168.70.0/24)。
track 1 rtr 1 reachability
sla monitor 1
type echo protocol ipIcmpEcho 89.x.x.49 interface outside
sla monitor schedule 1 start-time now life forever
route outside 0.0.0.0 0.0.0.0 89.x.x.49 128 track 1
如你所见,我在 IP 89.xx49 上设置了 ping 操作,当我尝试从位于“内部”网络的计算机进行 ping 操作时,得到了以下答复:
$ ping 89.x.x.49
Pinging 89.x.x.49 with 32 bytes of data:
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Reply from 89.x.x.49: bytes=32 time=1ms TTL=255
Ping statistics for 89.x.x.49:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 1ms, Average = 1ms
图中是我的问题:似乎思科有一条规则,阻止从 ip 89.xx49 到防火墙的所有回显答复,尽管我可以使用我的计算机访问它,并且它也可以答复我的计算机。
更新:
这里是在外部接口上进行的捕获,行为似乎正确,但是 Cisco ASA 始终拒绝所有针对它的回显答复。
答案1
找到解决方案:icmp数据包被拒绝。
config t
icmp permit 89.x.x 49 255.255.255.255 outside