packet-tracerを用いたトラブルシューティング

ドキュメント

2017/02/01 - 22:00
5月 12th, 2014
User Badges:
packet-tracer コマンドを用いて ASA にて受信したパケットをどのように処理 (ACL/NAT/Routing 等)されるか確認することができ、こちらは ASA のトラブルシューティングにおいて非常に有用なツールです。 ASA にて通過する packet の deny が発生している際に、問題箇所の特定 (どのプロセスが影響しているのか) を簡単に行うことができます。 
   
packet-tracer ではパラメータで指定した IP address や port で形成された仮想 packet をdata-plane にて処理される順に表示します。 
   
packet-tracer は ASDM と CLI それぞれで実施することができます。
     
[ASDM]
ASDMの上部メニュー Tools > Packet Tracer.. から実行
   
[CLI]
ciscoasa/act/pri# packet-tracer input inside icmp 192.168.0.1 0 8 172.16.0.1

Phase: 1
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:
MAC Access list

Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 172.21.131.0 255.255.255.0 inside

Phase: 3
Type: ACCESS-LIST
Subtype:
Result: ALLOW
Config:
Implicit Rule
Additional Information:

<snip>

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: allow

    
最後の "Result" の部分で ASA が該当 packet の通過を許可するか拒否するか確認することができます。

    
packet-tracerコマンドに detailオプションを付与することで、より詳細な表示も可能です。
     
packet-tracer コマンドは 以下の URL に詳説されておりますので、こちらをご確認ください。
    
その他の、ASAファイアウォールのトラブルシューティング資料一覧は、こちらを確認ください。
https://supportforums.cisco.com/ja/document/12725841
Loading.

アクション

このドキュメントについて

Related Content