cisco asa学习笔记

cisco asa学习笔记
cisco asa学习笔记
- 一、网络模拟实验中的问题调试记录
- 1、ASA自身接口地址不能被ping通(从远端路由过来的主机)
  2、同安全级别的接口默认不能通信，怎么才能通信？
  3、一个asa连接3个路由器，互联互通解决方案
  <1>方案1 全局开启policy-map inspect icmp流量
  <2>方案2 所有接口开启acl允许icmp通过
一、网络模拟实验中的问题调试记录

 1、ASA自身接口地址不能被ping通(从远端路由过来的主机)

Interfaces will not respond to ICMP from host routing by other interfaces.
ASA自身接口地址不回应icmp ping request（从远端路由过来的主机）。
直连的设备可以ping通ASA自身接口地址。

2、同安全级别的接口默认不能通信，怎么才能通信？

same-security-traffic permit inter-interface

3、一个asa连接3个路由器，互联互通解决方案

默认情况下：
高安全级别接口到低安全级别接口：ping不通 (因为ping回包没有放行)
https://community.cisco.com/t5/security-blogs/cisco-asa-and-icmp-inspection/ba-p/3773485
https://networkdirection.net/articles/firewalls/icmpinspection/
https://www.tunnelsup.com/cisco-asa-order-of-operation/

低安全级别接口到低高安全级别接口：ping不通

 <1>方案1 全局开启policy-map inspect icmp流量

这样做的效果：
高安全级别接口到低安全级别接口：可以ping通
低安全级别接口到高安全级别接口：ping不通
为什么ping不通呢，因为inspect icmp使得icmp变成statuful从而可以被asa追踪-这有个条件(数据流中的第一个包需要满足安全策略的条件，低安全级别到高安全级别的流量默认是不允许的，所以ping不通)，inspect 只会作用于建立起会话的数据流(流中的第2个包开始)。
ACL Evaluation
Please note that ICMP inspection does not bypass all ACLs. An ICMP packet will be allowed through the ASA without an ACL evaluation, only if it is part of an already established session. Like TCP or UDP, the first packet in the ICMP flow must still be evaluated against security policies, and allowed, in order for the flow to be established.

<2>方案2 所有接口开启acl允许icmp通过

这样做的效果：
高安全级别接口到低安全级别接口：可以ping通
低安全级别接口到高安全级别接口：可以ping通
相关阅读:
JS系列1-布尔陷阱以及如何避免
 秘密共享(Secret Sharing,SS)
【Java 进阶篇】JavaScript电灯开关案例：从原理到实现
 MyBatis-Plus主键生成策略[MyBatis-Plus系列] - 第491篇
 go排序相关操作
 YOLOv8：官方项目训练
 一款超美观强大的 Nginx 可视化管理界面 nginx-proxy-manager
iptables学习
 OpenCV官方教程中文版 —— 图像金字塔
 学习笔记-JAVA安全
原文地址：https://blog.csdn.net/OceanWaves1993/article/details/128118635

cisco asa学习笔记

一、网络模拟实验中的问题调试记录

1、ASA自身接口地址不能被ping通(从远端路由过来的主机)

2、同安全级别的接口默认不能通信，怎么才能通信？

3、一个asa连接3个路由器，互联互通解决方案

<1>方案1 全局开启policy-map inspect icmp流量

<2>方案2 所有接口开启acl允许icmp通过