Сеть выглядит следующим образом:
В сети существует два шлюза по умолчанию, один из которых обеспечивает подключение к MPLS с несколькими подсетями. Допустим, 10.0.0.2
Другой - брандмауэр Cisco на 10.0.0.1 с подключением к глобальной сети. В локальной сети существует сервер с его DG, как указанный выше межсетевой экран Cisco. На брандмауэре есть маршрут, который сообщает, что все, предназначенное для одной из подсетей MPLS (192.168.99.0/24), должно перейти к маршрутизатору MPLS (на его IP-адресе в локальной сети).
На интерфейсе INSIDE существует любое правило разрешения Any, Any, IP (весь трафик).
Тем не менее, я не могу ничего проверить на MPLS, и журналы на Cisco показывают, что «Неявное» Any, Any Deny отбрасывает трафик ping. То же самое для всего - HTTP, HTTP и т. Д.
Чего не хватает?
Предполагая, что вы проверили основы, такие как проверка того, что список доступа действительно привязан к интерфейсу с помощью команды access-group, если журналы показывают, что трафик запрещен, вы можете узнать больше информации, смоделировав пакет с команда пакетного трассировщика. Это должно сказать вам, почему пакет отклоняется.
Предполагая, что ваш внутренний сервер - 10.0.0.10, а хост в сети MPLS - 192.168.99.10, и ваш внутренний интерфейс вызывается внутри, тогда команда будет такой:
packet-tracer input inside icmp 10.0.0.10 8 0 192.168.99.10 detailed
Я считаю, что нужно учитывать уровень безопасности. Вы можете пинговать изнутри во внешнюю, но эхо-трафик должен быть разрешен обратно во внутреннюю часть.
Я предполагаю, что вам нужны правила для трафика ICMP (не IP), чтобы разрешить ping.
Прежде всего, ваш вопрос может быть продублирован на этот: Как разрешить эхо-запросы ICMP на маршрутизаторе Cisco ASA 55xx?
Однако я использую немного другую конфигурацию, чтобы разрешить пинг. Судя по вашему вопросу, я не уверен, какой интерфейс вам нужно разрешить, поэтому я просто опубликую свою конфигурацию в качестве примера, пожалуйста, исправьте ее в соответствии с вашими настройками:
access-list allow_ping_outside extended permit icmp any interface outside
access-list outside_access_in extended permit icmp any interface outside
access-list allow_ping extended permit icmp any any
icmp unreachable rate-limit 1 burst-size 1
icmp permit any inside
icmp permit any outside
icmp permit any unreachable outside
icmp permit any echo outside
icmp permit any echo-reply outside
icmp permit any time-exceeded outside
Документация (просто введите свою версию ASA в Google, например, 8.2 или 8.4, имеется много официальной документации):
http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/i1.html#wp1697623
РЕДАКТИРОВАТЬ: что касается другого трафика, это очень сложно угадать, и я надеялся, что вы можете предоставить более подробную информацию в своем вопросе. Я предполагаю, что у вас есть 2 активных интерфейса LAN (с одинаковым уровнем безопасности) и 1 WAN. Затем, чтобы разрешить связь для хостов в разных локальных сетях (с одинаковым уровнем секунды), вам необходимо явно разрешить это:
same-security-traffic permit inter-interface
Смотрите также: http://www.cisco.com/c/en/us/td/docs/security/asa/asa82/command/reference/cmd_ref/s1.html#wp1421315
Если вы действительно используете 3 интерфейса, учтите также ограничения вашей лицензии (см. Количество VLAN):
Вы можете использовать команду «deny all log» в ACL, чтобы увидеть результаты в реальном времени «неявного» правила deny all и перейти оттуда. Это называлось «явным» правилом запретить все.
edit: похоже, что вы уже это сделали.