如果你看這篇文章,建議先把上一篇文章:Traceroute工作原理看明白。
我先說一下為何Tracerout默認無法探測到ASA防火牆的節點IP地址:
Cisco ASA默認對穿越的流量不減TTL
1. 採用這種技術的結果就足,Cisco ASA在Traceroute輸出中不可見
2. 可以為特殊或者所有的流量激活TTL遞減功能
下面我要說的其實是曾經的CCIE考試題,如下圖:
那麼該如何操作,才能滿足題目要求呢?
第一步:首先要在ASA防火牆放行Traceroute的流量
access-list out extended permit udp any any gt 33433
||out是ACL的名字,33433是端口號,建立去看上一篇文章為何是33433
access-group out in interface Outside ||把ACL列表應用到Outside接口
第二步:使用另一個ACL列表抓取Traceroute的流量
access-listTraceroute extended permit udp any any gt 33433
第三步:使用class-map去匹配ACL列表抓取的流量(思科MPF技術)
class-map Traceroute
match access-listTraceroute
第四步:針對class-map做策略
policy-map global_policy
class Traceroute
set connection decrement-ttl
默認ASA全局已經調用了global_policy的策略,因為不用再調用了,可以使用show run 查看。
分享到:
