packet-tracer コマンドを用いて ASA にて受信したパケットをどのように処理 (ACL/NAT/Routing 等)されるか確認することができ、こちらは ASA のトラブルシューティングにおいて非常に有用なツールです。 ASA にて通過する packet の deny が発生している際に、問題箇所の特定 (どのプロセスが影響しているのか) を簡単に行うことができます。
packet-tracer ではパラメータで指定した IP address や port で形成された仮想 packet をdata-plane にて処理される順に表示します。
packet-tracer は ASDM と CLI それぞれで実施することができます。
[ASDM]
ASDMの上部メニュー Tools > Packet Tracer.. から実行
[CLI]
ciscoasa/act/pri# packet-tracer input inside icmp 192.168.0.1 0 8 172.16.0.1
Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 172.21.131.0 255.255.255.0 inside
Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
<snip>
Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow
最後の "Result" の部分で ASA が該当 packet の通過を許可するか拒否するか確認することができます。
packet-tracerコマンドに detailオプションを付与することで、より詳細な表示も可能です。
packet-tracer コマンドは 以下の URL に詳説されておりますので、こちらをご確認ください。