Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Không thể ping từ mạng này sang mạng khác thông qua ASA

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Không thể ping từ mạng này sang mạng khác thông qua ASA

    Hi bros,

    mình thử làm 1 lab ACL trên Cisco ASA

    Mô hình



    Mình thử ping từ R4 - R3 nhưng không thể được.

    Dù đã routing rồi, check ip route thì routing table đã có đủ.

    Nhưng...không hiểu sao vẫn không ping được.

    Chưa hề thiết lập 1 ACls hay 1 NAT nào hết.

    Deny này gần như là mặc định trong ASA rồi thì phải...đau đầu quá...

    search lỗi này rồi nhưng không thấy cách solve triệt để..
    Mong các bro ra tay

  • #2
    đã thử create 1 ACL permit any any, đặt inbound trên DMZ, outbound trên outside (1.0) nhưng vẫn gặp lỗi này...hic...

    Comment


    • #3
      Up cấu hình lên đi tình yêu...
      Theo lối dẫn-Ngẫng nhìn thầy-Đi theo thầy-Nhìn thấu thầy-và Trở thành thầy.

      Comment


      • #4
        Config

        hostname ciscoasa
        enable password 8Ry2YjIyt7RRXU24 encrypted
        passwd 2KFQnbNIdI.2KYOU encrypted
        names
        !
        interface GigabitEthernet0
        nameif outside
        security-level 0
        ip address 192.168.1.1 255.255.255.0
        !
        interface GigabitEthernet1
        nameif inside
        security-level 100
        ip address 192.168.2.1 255.255.255.0
        !
        interface GigabitEthernet2
        nameif DMZ
        security-level 0
        ip address 192.168.5.1 255.255.255.0
        !
        interface GigabitEthernet3
        shutdown
        no nameif
        no security-level
        no ip address
        !
        interface GigabitEthernet4
        shutdown
        no nameif
        no security-level
        no ip address
        !
        interface GigabitEthernet5
        shutdown
        no nameif
        no security-level
        no ip address
        !
        ftp mode passive
        access-list DMZ extended permit ip any any

        access-group DMZ in interface DMZ
        !
        router ospf 1
        network 192.168.1.0 255.255.255.0 area 0
        network 192.168.2.0 255.255.255.0 area 0
        network 192.168.5.0 255.255.255.0 area 0
        log-adj-changes
        !

        Mong các bro ghé ngang chỉ giúp mình sớm nhé

        thanks!

        đã xóa bớt vài command default cho đỡ rối
        Last edited by boy_popping; 30-08-2012, 09:50 AM.

        Comment


        • #5
          solved

          do mình chưa tìm hiểu kỹ hehe

          bản chất của security-level (sl) mà cấp trên mỗi interface là thế này:

          nếu từ nơi có sl cao đổ xuống nơi có lv thấp thì mặc định là chấp nhận hết.

          nếu từ nơi có sl thấp hoặc bằng access lên nơi có lv cao thì cần có access-list đồng ý cho phép

          đấy

          vậy nên từ R4 (DMZ) có SL 50 khi ping đến R3 (outside) thì ok
          nhưng R3 ack lại thì R4 lại không nhận được
          ===> ping không thành công.

          Giải quyết:
          Tạo 1 access-list trên outside cho phép any any áp theo hướng in. Vậy là ok, outside sẽ gửi ACK đến DMZ được.

          Và nếu như ta set DMZ có SL là 0 (bằng với SL của outside) thì cả 2 vùng cần có access-list để cho phép 2 vùng đó "nói chuyện" với nhau :D

          TÌm ra rồi...mừng quá ơ kê ra.....^^
          Last edited by boy_popping; 30-08-2012, 12:28 PM.

          Comment


          • #6
            vậy bạn ping từ ngoài vào trong được ko? nếu ko có lệnh static hay object network cho dù bạn có tạo ACLs cũng đâu có ping được đúng ko?

            Comment

            Working...
            X