web-dev-qa-db-ja.com

トラフィックをドロップするCiscoASA暗黙ルール

ネットワークは次のとおりです。

ネットワーク上には2つのデフォルトゲートウェイが存在します。1つは複数のサブネットを持つMPLSへの接続を提供します。 10.0.0.2としましょう

もう1つは、10.0.0.1のCiscoファイアウォールで、WAN接続です。サーバーは、上記のCiscoファイアウォールのようにDGを使用してLAN上に存在します。ファイアウォールには、次のようなルートがあります。 MPLSサブネット(192.168.99.0/24)の1つに送信されてMPLSルーター(LAN IP上)に送信されることを示します。

INSIDEインターフェースには、Any、Any、IP許可ルール(すべてのトラフィック)があります。

ただし、MPLSでpingを実行できず、Ciscoのログに「Implicit」Any、AnyDenyがpingトラフィックをドロップしていることが示されています。 HTTP、HTTPなど、すべて同じです。

何が欠けていますか?

1
PnP

セキュリティレベルを考慮する必要があると思います。 InsideからOutsideにpingを実行できますが、エコートラフィックがInsideに戻ることを許可する必要があります。

1
technoob

Access-groupコマンドを使用してアクセスリストが実際にインターフェイスにバインドされていることを確認するなどの基本事項を確認したとすると、トラフィックが拒否されていることがログに示されている場合は、パケットをシミュレートすることで詳細を確認できます。 packet-tracerコマンド。これにより、パケットが拒否された理由が正確にわかります。

内部サーバーが10.0.0.10で、MPLSネットワーク上のホストが192.168.99.10であり、内部インターフェイスが内部で呼び出されるとすると、コマンドは次のようになります。

packet-tracer input inside icmp 10.0.0.10 8 0 192.168.99.10 detailed
1
jotap

Pingを許可するには、ICMP(IPではない)トラフィックのルールが必要だと思います。

まず第一に、あなたの質問はこれに重複する可能性があります: Cisco ASA 55xxルータでICMPエコー要求をどのように許可しますか?

ただし、pingを許可するために少し別の構成を使用します。あなたの質問から、どのインターフェースでそれを許可する必要があるのか​​わからないので、例として私の構成を投稿します。セットアップに従って修正してください。

access-list allow_ping_outside extended permit icmp any interface outside 
access-list outside_access_in extended permit icmp any interface outside 
access-list allow_ping extended permit icmp any any

icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
icmp permit any unreachable outside
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any time-exceeded outside

ドキュメント(ASAのバージョンをグーグルで検索してください。例:8.2または8.4、利用可能な公式ドキュメントがたくさんあります):

http://www.Cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/i1.html#wp169762

http://www.Cisco.com/c/en/us/td/docs/security/asa/asa84/configuration/guide/asa_84_cli_config/access_management.html#wp1267985

編集:他のトラフィックに関しては、推測するのは非常に難しいので、質問でより多くの詳細を提供できることを望みました。 2つのアクティブなLANインターフェイス(同じセキュリティレベル)と1つのWANがあると仮定します。次に、異なるLAN(同じ秒レベル)のホストの通信を許可するには、明示的に許可する必要があります。

same-security-traffic permit inter-interface

参照: http://www.Cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/s1.html#wp1421315

実際に3つのインターフェイスを使用する場合は、ライセンスの制限も考慮してください(VLANの数を参照)。

http://www.Cisco.com/c/en/us/td/docs/security/asa/asa91/configuration/general/asa_91_general_config/intro_license.html#55668

0
Andrey Sapegin