原文作者: Mansur
原文链接: http://nbma.info/ipsec-vpn-ping-asa-inside/
正常情况下,ASA只允许相应方向的地址ping对应的接口,公网地址能ping通ouside口,内部直连inside网段可以ping通inside口.
某公司在A/B两个IDC机房之间通过两台ASA配置了ipsec vpn,并且在A机房部署了zabbix监控,通过私有地址监控网络状态
在配置B机房的ASA监控时,从zabbix服务器无法ping到B机房的ASA inside口,查询思科文档发现如下文字:
Ping 其他接口
management-access 命令使用户只有在使用全通道 IPSec VPN 或 SSL VPN 客户端(AnyConnect 2.x 客户端 SVC 1.x)或通过站点到站点 IPSec 通道连接到 PIX/ASA 时,才可以从外部连接到 management-access 接口。
除非已在全局配置模式下配置了 management-access,否则无法从外部访问 PIX 的内部接口。
asa(config)#**management-access inside** asa(config)#**show running-config management-access** management-access inside
在B机房ASA配置模式下,配置对应命令保存。
在9.2以前的版本,只需要配置management-access inside
即可,但是在9.4之后,思科对ASA上配置ipsec的nat赦免规则做了调整,默认解密之后不再查找路由表,而是直接按照nat规则放到出接口,所以,在这个版本之后,nat赦免需要添加一个feature:route-lookup
1 | nat (inside,outside) source static INISIDE-NET INISIDE-NET destination static REMOTE-NET REMOTE-NET route-lookup |
指定route-lookup命令会告诉ASA查看条目的路由表,然后相应地转发数据包。
在比较早的ASA版本是默认查询路由表的。新版需要手动指定。
评论