
10金币
& b8 m( w" y3 h' N$ \% y8 MASA1(左边的防火墙):0 l3 x% k. u8 ?/ B, G6 _
ciscoasa(config)# show run" {; x* U6 e* K, Y) J0 Z- P2 ]
z4 Z2 ^* `# O/ p+ W0 r8 {* n
ASA Version 9.5(2)204
2 e1 t0 s$ J" T* y6 Q!9 n/ o7 Y( ^2 w( ?0 l6 U- B
hostname ciscoasa) x) r5 ~! u/ ?# F/ W, V
enable password 8Ry2YjIyt7RRXU24 encrypted9 R. ~% D; \, m/ U* T
xlate per-session deny tcp any4 any41 t4 t2 @4 E$ A) ?- `
xlate per-session deny tcp any4 any6
! Q4 d" F, Q) e# Axlate per-session deny tcp any6 any4
, j; H% n4 k" Ixlate per-session deny tcp any6 any6
* f5 s8 F8 p+ p9 B& pxlate per-session deny udp any4 any4 eq domain1 m. O+ P% T5 n0 N# F2 A# ]& ~- I
xlate per-session deny udp any4 any6 eq domain% P& }8 C) m2 \+ z6 K1 a& D% q
xlate per-session deny udp any6 any4 eq domain# _: H4 u7 x% C8 M, ~& Y
xlate per-session deny udp any6 any6 eq domain5 I, Z: N" S$ a
names
% E$ b: z5 a, R% N0 G( |& C& J: Y!
3 A0 W9 j8 x+ t1 D, finterface GigabitEthernet0/0
! g% \& k9 A0 N: Ynameif untrust8 `) j1 F% z$ S, c, _$ k
security-level 05 s- J: U: [7 s% f
ip address 1.1.1.1 255.255.255.0
$ N" L+ S. Q4 s+ E( f! # S5 b. ?0 ~$ O7 E* |! ?
interface GigabitEthernet0/1( a! v+ K9 B# }
nameif trust
' t5 D/ Y! W, B2 G5 Xsecurity-level 100
3 }9 W! N* Q* _$ Z+ V, e2 _% jip address 192.168.1.254 255.255.255.0 3 u' B6 F e& z. F7 c5 E: g
!% d1 w; E" b% @8 e! _) b j' p
interface Management0/06 T9 j7 |0 v: b$ S+ X
shutdown3 R' s% k9 u, |* y4 n; f
no nameif# N' ^% \# j4 b
no security-level" b a& r5 |; d( c, L" ]7 r2 f
no ip address" H/ X9 P8 L: ]- L% P1 U
!* ?4 ?6 {" {, k
icmp unreachable rate-limit 50 burst-size 1
% ^ M6 A+ g$ `2 Dicmp permit any untrust
& x5 @' t8 \- z/ E3 ~" i) gicmp permit any trust& p, g$ c/ h6 r# e
: end4 b( q8 Q# ^, [6 E0 B1 T
1 Z2 f, H: d8 ]2 s! [( J6 P3 ?4 _' W
3 E- x! S2 O9 w6 |; c+ `
% W) `8 s6 n; K# H# ]. Z1 P
上面只是主要配置,就配了两条允许策略和端口的基本配置,但是trust也就是PCping不通防火墙端口,我想让他ping通,两个防火墙之间可以ping通,右边的防火墙我只配置了端口的基本配置 |
5 }$ Q/ S$ ~( B- j2 t& _# n) a& G. E( d" a: V
3 V1 b2 n0 ]% N$ U | # i- x* w. q( e/ H% o
|
最佳答案
查看完整内容
排错思路:
1.首先虚拟机pc ping不通 第一个防火墙的trust口,这个需要检查模拟器网卡桥接
2.你的asa模拟器9.5版本,我记得9.0系统以下要配置access-list放行流量,并且接口调用这个acl,比如untrust接口调用acl。思科接口安全区域有级别之分,高级别可以主动访问低级别的安全区域,你的trust级别高所以这个接口可以不加access-list
3.思科的模拟器目前就路由器模拟的比较完美,防火墙模拟器有比较多奇怪问题,交换机还模拟不出 ...
|