Tweet
Chào mọi người,
Mình đang thực hiện cấu hình trên ASA 5520 (đồ thật) ở công ty. Mình cũng chưa đụng vô ASA bao giờ nên gà mờ cái này lắm. Mình đang gặp vấn đề như đã nêu.
outside: 10.86.85.168 Security-level: 0
inside: 172.64.1.1 Security-level: 100
----------------------------------------------------------inside ---- outside--------------------------------------------------------------------------------------------
HOST============================ASA ======================GATEWAY============INTERNET
---------------------------------------------------172.64.1.1 ------ 10.86.85.168---------------------------------------------------------------------------------
Host ở trong inside không thể ping hay truy cập http ra ngoài internet được . Cũng không ping được cho gateway luôn . Tất cả gói ping đều bị Request time out.
Mình đã tạo 1 acl permit ip any any cho cổng outside
MÌnh cũng tạo luôn 1 Services Policy Rules để Inspect các giao thức HTTP , ICMP , ICMP Error .
Mình cũng test thử bằng cách sử dụng công cụ Packet Trace : truyền 1 gói icmp từ 1 host trong inside ra gateway và ngược lại . Tất cả đều được báo là Packet is all allowed .
Nhưng đến khi mình dùng máy tính ở trong inside ping ra gateway thì lại không được , tất cả đều là request time out .
Tóm gọn lại thì nó nhu vầy :
HOST----ping---->ASA OK
ASA------ping----->GATEWAY OK
HOST------ping----->GATEWAY Failed
Mong mọi người giúp đỡ , xin cảm ơn mọi người nhiều lắm ạ.
Mình đang thực hiện cấu hình trên ASA 5520 (đồ thật) ở công ty. Mình cũng chưa đụng vô ASA bao giờ nên gà mờ cái này lắm. Mình đang gặp vấn đề như đã nêu.
outside: 10.86.85.168 Security-level: 0
inside: 172.64.1.1 Security-level: 100
----------------------------------------------------------inside ---- outside--------------------------------------------------------------------------------------------
HOST============================ASA ======================GATEWAY============INTERNET
---------------------------------------------------172.64.1.1 ------ 10.86.85.168---------------------------------------------------------------------------------
Host ở trong inside không thể ping hay truy cập http ra ngoài internet được . Cũng không ping được cho gateway luôn . Tất cả gói ping đều bị Request time out.
Mình đã tạo 1 acl permit ip any any cho cổng outside
MÌnh cũng tạo luôn 1 Services Policy Rules để Inspect các giao thức HTTP , ICMP , ICMP Error .
Mình cũng test thử bằng cách sử dụng công cụ Packet Trace : truyền 1 gói icmp từ 1 host trong inside ra gateway và ngược lại . Tất cả đều được báo là Packet is all allowed .
Nhưng đến khi mình dùng máy tính ở trong inside ping ra gateway thì lại không được , tất cả đều là request time out .
Tóm gọn lại thì nó nhu vầy :
HOST----ping---->ASA OK
ASA------ping----->GATEWAY OK
HOST------ping----->GATEWAY Failed
Mong mọi người giúp đỡ , xin cảm ơn mọi người nhiều lắm ạ.
Code:
ciscoasa# show run : Saved : : Serial Number: JMX1306L0B1 : Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz : ASA Version 8.2(5)55 ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface GigabitEthernet0/0 nameif inside security-level 100 ip address 172.64.1.1 255.255.255.0 ! interface GigabitEthernet0/1 shutdown no nameif no security-level no ip address ! interface GigabitEthernet0/2 nameif WAN security-level 0 ip address dhcp setroute ! interface GigabitEthernet0/3 shutdown no nameif no security-level no ip address ! interface Management0/0 shutdown no nameif no security-level no ip address ! ftp mode passive access-list WAN_access_in extended permit ip any any pager lines 24 mtu inside 1500 mtu WAN 1500 no failover icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-751.bin no asdm history enable arp timeout 14400 access-group WAN_access_in in interface WAN timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 timeout floating-conn 0:00:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication http console LOCAL http server enable http 172.64.1.0 255.255.255.0 inside no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh timeout 5 console timeout 0 dhcp-client client-id interface WAN threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept webvpn username admin password VaqdSTyycYiVoL3E encrypted ! class-map global-class match default-inspection-traffic ! ! policy-map global-policy class global-class inspect http inspect icmp inspect icmp error ! service-policy global-policy global prompt hostname context call-home reporting anonymous prompt 2 call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/oddce/services/DDCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Cryptochecksum:15c865136d375395f81e63cd6f17bcdb : end
Comment