雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 8739|回复: 7

[讨论/求助] pix ping不通直连设备.实在没有办法了.......

[复制链接]
发表于 2009-11-2 23:45:19 | 显示全部楼层 |阅读模式
pix和路由器直连.怎么都ping不通.

pix配置:
全局启用
icmp permit any outside
icmp permit any inside
接口下
pixfirewall(config-if)# int e0
pixfirewall(config-if)# nameif inside
pixfirewall(config-if)# security-level 100
pixfirewall(config-if)# no shut

版本
Cisco PIX Security Appliance Software Version 7.2(2)
Hardware:   PIX-525

直接ping不通,显示5个问号


在直连路由上开启debug ip packet,ping pix 发现封装失败


再开启debug arp
发现学不到mac


路由和pix上都show interface
都是双up状态............但是就是死活不通.哪位大侠帮帮忙吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
发表于 2009-11-3 02:31:45 | 显示全部楼层
可能是版本的问题,我用pix6.35就不通,是死活不通.建议你保存一下配置重启一下模拟器。
发表于 2009-11-3 02:32:38 | 显示全部楼层
一些别人建议,你也可以参与一下。
根据你的描述,推测的可能原因有:

1,是否在PIX接口上启用了“no shutdown"命令,没有启用会Ping不通的

2,是否在接口启用了”icmp permit any outside/inside“命令,否则也会ping不通

发现你是用小凡的软件生产批处理,以前我也用过小凡的,但是PEMU的批处理很不稳定,所以后来就干脆自己写批处理了,建议你用PIX lab v1.9试一试吧?

对于PEMU的模拟,一般网络链接方式有三种:UDP、TAP、和Ethernet方式。 个人认为,TAP方式是最不可取的,我也是从来不选择这种方式,对于他的错误我也没发言权了,我觉得最稳定的是UDP方式,因为Dynamips就是这种方式的基础。锅巴修改过的PEMU版本即支持UDP有支持Ethernet桥接。是首先版本。
如果在WinPcap安装正常,且PEMU已正常启动,网络还是无法链接的原因分析,请大家一起思考补充。

1,如果是UDP方式,无法链接可能性:
     A,接口对应是错误。如你把设备的F0/0当成了F0/1,请认真检查你的批处理
     B,UDP端口对应错误。如你的批处理源目的端口对应不对。仍需检查批处理
     C,UDP通信受挫。如有防火墙拦截了UDP端口间的通信

2,如果是Ethernet桥接模式无法链接可能性:
     A,首先确定你的NPF没有错误,也就是在PEMU启动时,出现过”Eth:opened \device\NPF_{##########}"
     B,确定你的物理网卡的NPF参数准确无误。且准确配置地址

3,对于PIX中ICMP协议的问题。
    A,对于单向的ICMP协议,PIX/ASA有了专门的命令接收ICMP协议,需要在接口启用命令“icmp permit any outside/inside"

    B,对于穿过的ICMP我们知道PIX是状态监测型防火墙。也就是说PIX防火墙默认只能监测状态型协议(简单理解就是传输层以上的协议)。对于ICMP这种非状态型协议是无法监测的。如果我们要监测ICMP协议,需要配置针对ICMP的监测。
      PIX和ASA在7.x上默认是不检查穿越防火墙的icmp的状态的,这意味着从内向外做出的ping操作只能单向穿越防火墙,被ping设备回应的icmp echo-reply无法穿越防火墙——防火墙会认为这些数据包是来自安全级别低的外网的,不可以穿过。如果我们要求(一般是不建议的,我们更喜欢选择Telnet协议测试)ICMP协议通过,也就是Ping,一般有两种方法,一种就是使用访问列表,第二种就是配置ICMP的状态监测。

先说这么多。
发表于 2009-11-3 08:47:42 | 显示全部楼层
Power哥说的太好了,学习了。
发表于 2010-6-3 00:15:15 | 显示全部楼层
3L的建议,学习了!!
发表于 2011-4-10 23:00:24 | 显示全部楼层
回复 3 # Power 的帖子

百度摆到 这了 呵呵
威力哥给力
icmp permit any outside
这句怎放行不了

郁闷死了
一晚上都在 ICMP中了
只能ACL 放心么
access-group 100 in interface outside

insp模拟器没辙功能 fixup
发表于 2011-4-10 23:39:51 | 显示全部楼层
之前我配FWSM模块的时候,貌似还要加上ACL。。。另外好像有三条icmp permit的东西。。
发表于 2013-12-29 01:07:52 | 显示全部楼层
搞了好久的  简单的ping测试都搞不通
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-11-22 04:41 , Processed in 0.077811 second(s), 20 queries , Gzip On.

快速回复 返回顶部 返回列表