pix ping不通直连设备.实在没有办法了.......
pix和路由器直连.怎么都ping不通.pix配置:
全局启用
icmp permit any outside
icmp permit any inside
接口下
pixfirewall(config-if)# int e0
pixfirewall(config-if)# nameif inside
pixfirewall(config-if)# security-level 100
pixfirewall(config-if)# no shut
版本
Cisco PIX Security Appliance Software Version 7.2(2)
Hardware: PIX-525
直接ping不通,显示5个问号
在直连路由上开启debug ip packet,ping pix 发现封装失败
再开启debug arp
发现学不到mac
路由和pix上都show interface
都是双up状态............但是就是死活不通.哪位大侠帮帮忙吧 可能是版本的问题,我用pix6.35就不通,是死活不通.建议你保存一下配置重启一下模拟器。 一些别人建议,你也可以参与一下。
根据你的描述,推测的可能原因有:
1,是否在PIX接口上启用了“no shutdown"命令,没有启用会Ping不通的
2,是否在接口启用了”icmp permit any outside/inside“命令,否则也会ping不通
发现你是用小凡的软件生产批处理,以前我也用过小凡的,但是PEMU的批处理很不稳定,所以后来就干脆自己写批处理了,建议你用PIX lab v1.9试一试吧?
对于PEMU的模拟,一般网络链接方式有三种:UDP、TAP、和Ethernet方式。 个人认为,TAP方式是最不可取的,我也是从来不选择这种方式,对于他的错误我也没发言权了,我觉得最稳定的是UDP方式,因为Dynamips就是这种方式的基础。锅巴修改过的PEMU版本即支持UDP有支持Ethernet桥接。是首先版本。
如果在WinPcap安装正常,且PEMU已正常启动,网络还是无法链接的原因分析,请大家一起思考补充。
1,如果是UDP方式,无法链接可能性:
A,接口对应是错误。如你把设备的F0/0当成了F0/1,请认真检查你的批处理
B,UDP端口对应错误。如你的批处理源目的端口对应不对。仍需检查批处理
C,UDP通信受挫。如有防火墙拦截了UDP端口间的通信
2,如果是Ethernet桥接模式无法链接可能性:
A,首先确定你的NPF没有错误,也就是在PEMU启动时,出现过”Eth:opened \device\NPF_{##########}"
B,确定你的物理网卡的NPF参数准确无误。且准确配置地址
3,对于PIX中ICMP协议的问题。
A,对于单向的ICMP协议,PIX/ASA有了专门的命令接收ICMP协议,需要在接口启用命令“icmp permit any outside/inside"
B,对于穿过的ICMP我们知道PIX是状态监测型防火墙。也就是说PIX防火墙默认只能监测状态型协议(简单理解就是传输层以上的协议)。对于ICMP这种非状态型协议是无法监测的。如果我们要监测ICMP协议,需要配置针对ICMP的监测。
PIX和ASA在7.x上默认是不检查穿越防火墙的icmp的状态的,这意味着从内向外做出的ping操作只能单向穿越防火墙,被ping设备回应的icmp echo-reply无法穿越防火墙——防火墙会认为这些数据包是来自安全级别低的外网的,不可以穿过。如果我们要求(一般是不建议的,我们更喜欢选择Telnet协议测试)ICMP协议通过,也就是Ping,一般有两种方法,一种就是使用访问列表,第二种就是配置ICMP的状态监测。
先说这么多。 Power哥说的太好了,学习了。 3L的建议,学习了!! 回复 3 # Power 的帖子
百度摆到 这了 呵呵
威力哥给力
icmp permit any outside
这句怎放行不了
郁闷死了
一晚上都在 ICMP中了
只能ACL 放心么
access-group 100 in interface outside
insp模拟器没辙功能 fixup
之前我配FWSM模块的时候,貌似还要加上ACL。。。另外好像有三条icmp permit的东西。。 搞了好久的简单的ping测试都搞不通
页:
[1]