فائدة إستخدام packet-tracer في ASA

**minimax** · 23-12-2009, 10:09

السلام عليكم ورحمة الله وبركاته,

لا أتكلم هنا عن برنامج Packet tracer ولكن عن أمر موجود في ASA

قمت بعمل بعض الإعدادت على ASA ولكنك لست متأكدا من النتيجة أو لا يوجد طريقة لعمل إختبار لمعرفة مدى صحة الإعدادت, ماذا تفعل في ذلك الوقت؟ يمكنك إستخدام هذا الأمر packet-tracer لعمل محاكاة ل traffic وسيخبرك ASA بالنتيجة. يمكن إيضا إستخدام هذا الأمر في troubleshooting لمعرفة سبب المشكلة بسرعة بدلا من النظر لعدد طويل من الأسطر ومحاولة إستنتاج سبب المشكلة.

طريقة كتابته هي packet-tracer وبعدين input و بعدين نحدد interface إللي قادم منه traffic وبعدين نحدد نوع الترافيك (TCP,UDP,ICMP) وبعدين نحدد source address and source port وممكن يكونsource port أي رقم إنت تختاره , وبعدين نحدد Destination address and port

خلينا نشوف بعض الأمثلة

ASA(config)# packet-tracer input inside tcp 136.1.121.5 5555 5.6.7.8 23

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

ما في Access-list تمنع ال traffic على inside interface

Phase: 2
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

طبعا ASA هو Stateful firewall ولازم يعمل new entry عنده في Table

Result:
input-interface: inside
input-status: up
input-line-status: up
Action: drop
Drop-reason: (no-route) No route to host

سبب المشكلة انه ما في route ل 5.6.7.8

----------------------------------------------------

ASA(config)# packet-tracer input outside tcp 136.1.123.6 5555 136.1.121.5 23

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 136.1.121.0 255.255.255.0 inside

Phase: 4
Type: ACCESS-LIST
Subtype:
Result: DROP
Config:
Implicit Rule
Additional Information:

Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

outside access-list تمنع الترافيك القادم للداخل

---------------------------------------

ASA(config)# packet-tracer input inside tcp 136.1.121.6 5555 136.1.123.5 23

Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 136.1.123.0 255.255.255.0 outside

Phase: 3
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:

Phase: 4
Type: NAT
Subtype:
Result: DROP
Config:
nat (inside) 0 0.0.0.0 0.0.0.0
nat-control
match ip inside any outside any
no translation group, implicit deny
policy_hits = 1
Additional Information:

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

الترافيك يحتاج nat عشان يقدر يخرج ولا يوجد أي إعدادات ل NAT
---------------------------------------------------------------------------------------
هل وضحت لكم أهمية هذا الأمر.

بالتوفيق لكم جميعا