Troubleshooting Cisco ASA

Die Cisco ASA hat ein paar kleine Tools, die sich ziemlich gut in der GUI verstecken, aber auch in der CLI nicht so ganz offensichtlich sind:

packet-tracer
capture

Zum Packet-Tracer gibts nach dem Break mehr, zu Capture schreib ich nächste Woche was.

packet-tracer

Der Packet Tracer findet sich im GUI unter den Tools und bietet einem die Möglichkeit, nachzuvollziehen welchen Weg ein Paket durch die Firewall geht.

Das ganze gibts auch noch für die CLI:

asa# packet-tracer input ingress-interface protocol source destination

Also zum Beispiel

asa# packet-tracer input outside tcp 87.21.31.38 12341 10.0.0.2 80
...
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
asa#

Man kann sich auch sehr gut die Phasen ansehen, durch die das Paket läuft, ob es in ein VPN gepackt wird, ob es geNAT'ed wird, etc. Alles in allem sehr hilfreich.

This entry was posted by Falk Stern on Friday, November 6. 2009 at 21:55. and is filed under Dieses und Jenes. You can leave a response, or trackback from your own blog.

Trackbacks

Trackback specific URI for this entry

No Trackbacks

Comments

Display comments as (Linear | Threaded)

No comments