如果你看这篇文章,建议先把上一篇文章:Traceroute工作原理看明白。
我先说一下为何Tracerout默认无法探测到ASA防火墙的节点IP地址:
Cisco ASA默认对穿越的流量不减TTL
1. 采用这种技术的结果就足,Cisco ASA在Traceroute输出中不可见
2. 可以为特殊或者所有的流量激活TTL递减功能
下面我要说的其实是曾经的CCIE考试题,如下图:
那么该如何操作,才能满足题目要求呢?
第一步:首先要在ASA防火墙放行Traceroute的流量
access-list out extended permit udp any any gt 33433
||out是ACL的名字,33433是端口号,建立去看上一篇文章为何是33433
access-group out in interface Outside ||把ACL列表应用到Outside接口
第二步:使用另一个ACL列表抓取Traceroute的流量
access-listTraceroute extended permit udp any any gt 33433
第三步:使用class-map去匹配ACL列表抓取的流量(思科MPF技术)
class-map Traceroute
match access-listTraceroute
第四步:针对class-map做策略
policy-map global_policy
class Traceroute
set connection decrement-ttl
默认ASA全局已经调用了global_policy的策略,因为不用再调用了,可以使用show run 查看。
分享到:
