キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
19295
閲覧回数
12
いいね!
0
コメント
zhaqin
Level 1
Level 1

ASA で ICMP Inspection は、Inpsection の対象となったパケットを ICMP パケットと見なして検査します。そのため、下記のように ICMP プロトコル以外の通信を ICMP Inspection の対象に設定してしまいますと、それらのパケットが間違ってドロップされることになります。


class-map ANY
match any
policy-map global_policy
class ANY
  inspect icmp

例えば、下記は上記の設定によって Telnet トラフィックが間違ってドロップされた場合に出力する Syslog となります。

%ASA-4-313004: Denied ICMP type=0, from laddr 192.168.1.1 on  interface inside to 192.168.2.1: no matching session
%ASA-6-302014: Teardown TCP connection 24 for outside:192.168.2.1/23  to inside:192.168.1.1/34573 duration 0:00:00 bytes 0 Flow closed by  inspection

ASA で ICMP Inspection の正しい適用方法は以下のどちらかとなります。

設定例1)
デフォルトの class inspection_default に適用する。

policy-map global_policy
class inspection_default
  inspect icmp


設定例2)
ACL を使って ICMP トラフィックに限定して有効にする。

access-list ICMP extended permit icmp any any
!
class-map ICMP
match access-list ICMP
!
policy-map global_policy
class ICMP
  inspect icmp
Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします