ASA 显示 Action:Drop on packet-tracer,没有原因或阶段

网络工程 思科 思科-ASA 防火墙 网络
2022-02-02 15:17:56

我正在用一台 asa 和两台计算机做一个非常简单的实验室。PC1 连接到 dms PC2 连接到外部

: Hardware:   ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
:
ASA Version 9.6(1)
!
[omitted]
!
interface GigabitEthernet1/1
 nameif dms
 security-level 100
 ip address 100.0.10.2 255.255.255.252
!
interface GigabitEthernet1/2
 nameif outside
 security-level 0
 ip address 100.10.9.5 255.255.255.252
!
[omitted]
!
access-list PING extended permit icmp any any
!
access-group PING in interface dms
access-group PING out interface dms
access-group PING in interface outside
access-group PING out interface outside
access-group PING global

尝试从 PC1 ping 到防火墙时没有问题。但是我无法从 PC2 ping 到任何地方

YKS(config)# packet-tracer input dms icmp 100.0.10.1 1 2 3 100.10.9.5

Result:
Action: drop

它没有显示任何原因,掉落或其他。据我所知,它应该有理由放弃。就我而言,它只是下降。如何解决此问题?

1个回答

这是因为您正在处理终止于 Asa 上的接口的 ICMP。除了您的 ACL 之外,您还需要使用此命令允许该接口

“icmp permit 100.0.10.0 255.255.255.0 outside”

有关完整语法,请参阅 cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/...。

是的,在 ASA 上,您需要执行这个神奇的命令才能使 ping 正常工作,这很烦人。恐怕我们都很难学会。;-)

其它你可能感兴趣的问题
上一篇具有两个 Internet 连接的点对点链接 下一篇参与拨号连接的调制解调器