13-思科防火墙:ASA对TTL的处理

最新推荐文章于 2023-07-01 16:47:49 发布
最新推荐文章于 2023-07-01 16:47:49 发布
阅读量579 收藏 1
点赞数
文章标签: 网络
原文链接:http://blog.51cto.com/13856092/2138599
版权

一、实验拓扑:
13-思科防火墙:ASA对TTL的处理
二、实验要求:
一般排错会用到Traceroute;
Udp端口从33433开始,TTL=1回应一个报文;TTL=2,33434,端口号是累加的;
不减TTL的坏处:tracert时候流量过不去一直是 ,人员不知道哪出现了问题;
好处:×××不知道这里是一个ASA,ASA隐藏掉了;×××猜不到中间是防火墙,一直×××,但是×××的就是防火墙;
1、R2配置环回口Lo0:2.2.2.2,ASA上部署静态路由到2.2.2.2;
2、R1先PingR2,然后traceroute 2.2.2.2,查看路径;
3、防火墙ASA禁止出现:permit ip any any,这里为了实验测试 ;
4、
三、命令部署:
1、ASA部署静态路由和ACL:
ASA(config)# route inside 2.2.2.0 255.255.255.0 10.1.1.2

ASA(config)# access-list out extended permit ip any any
ASA(config)# access-group out in interface outside

2、R1应用Traceroute工具:
R1#traceroute 2.2.2.2
Type escape sequence to abort.
Tracing the route to 2.2.2.2
1 10.1.1.2 16 msec 32 msec 20 msec
结论:ASA把TTL干掉了,默认不减TTL值

3、ASA可以不减TTL的做法,放行TTL的CLI:
ASA(config)# access-list ttl extended permit udp any any gt 33433 //抓取流量从33433开始抓, gt:Port greater than operator

ASA(config)# class-map abc
ASA(config-cmap)# match access-list ttl

ASA(config-cmap)# policy-map def
ASA(config-pmap)# class abc
ASA(config-pmap-c)# set connection decrement-ttl

ASA(config-pmap-c)# service-policy def interface outside

四、验证:
1、R1 Traceroute抓包查看:UDP33433端口
13-思科防火墙:ASA对TTL的处理

13-思科防火墙:ASA对TTL的处理
怎么看到是从:33434开始的呢?和视频讲的不一样
2、设置ASA可以减TTL值以后的效果:
R1#traceroute 2.2.2.2
Type escape sequence to abort.
Tracing the route to 2.2.2.2

1 202.100.1.10 40 msec * 12 msec
2 10.1.1.2 20 msec 28 msec 8 msec
13-思科防火墙:ASA对TTL的处理
从33437开始的?和书本有点出入

转载于:https://blog.51cto.com/13856092/2138599

weixin_34138255
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
视频教程-思科防火墙ASA完整视频课程-防护加固
weixin_32331219的博客
05-28 794
思科防火墙ASA完整视频课程 拼客学院全栈安全主讲老师,原担任国内某集成商网...
思科ASA防火墙双机热备综合实验
qq_43205578的博客
04-17 5850
实验背景: Failover特性是Cisco安全产品高可用性的一个解决方案,目的是为了提供不间断的服务,当主设备down掉的时候,备用设备能够马上接管主设备的工作,进而保持通信的连通性;Failover配置要求两个进行Failover的设备通过专用的failover线缆和可选的Stateful Failover线缆互相连接;活动设备的接口被monitor,用于发现是否要进行Failover,切换F...
网络安全篇 ASATTL处理-24
佐德将军的博客
02-19 533
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 2 实验复杂度 2 一、实验原理 TTL是生存时间,也有人称它为生存周期,它是用于衡量一个数据包可以从wy 二、实验拓扑 三、实验步骤 四、实验过程 总结 ...
思科的ping,隐藏了的东东
weixin_33681778的博客
05-16 434
近日在51CTO博客里发现篇好东东,偶然一试,发现还行,的确是解决MTU值问题的好帮手。 现已在思科的3640 11.1(20)AA2 ,2611 12.2(8r) [cmong 8r], 6509 12.2(17r)S4上测试过,都支持直接在一条PING命令上,指定源地址,包大小,不分段。之前,不知道有这个功能,老是要按ENTER,那个烦呀~~~~但这个命令在65...
4.32UDP通信实现 4.33广播 4.34组播 4.35本地套接字通信
最新发布
hongyuyahei的博客
07-01 374
[在这。
iptables目标TTL
redwingz的博客
04-10 1054
TTL目标帮助信息如下,可对报文的ttl进行设置、减少或者增加。 # iptables --jump TTL -h TTL target options --ttl-set value Set TTL to <value 0-255> --ttl-dec value Decrement TTL by <value 1-255> --ttl-inc value Increment TTL b
Linux网络设置与排错(ifconfig、ping、traceroute、netstat、arp、hostname)
renfeigui0的博客
08-23 579
一、查看网卡运行状态 二、ifconfig用来获取网络接口配置信息并对此进行修改 三、ping命令用来测试主机之间网络的连通性 四、两主机间各节点分析,即查看路由信息 五、netstat 命令用于显示各种网络相关信息,如网络连接,路由表,接口状态 六、管理系统ARP缓存 七、查看修改主机名
浅谈防火墙长连接与短连接
qq_43205578的博客
06-17 2917
浅谈防火墙长连接与短连接 引言:在银行项目日常投产中,开发人员会发现系统上线后应用访问数据库连接中断的问题,这很有可能是因为应用程序与数据库之间的连接使用了长连接。当应用程序与数据库建立的同一个TCP会话的两个连续报文到达防火墙的时间间隔大于防火墙上默认TCP会话的保持时间间隔,会话超时后防火墙将从会话表中删除此TCP会话信息。所以当后续该TCP会话中的第二个报文到达防火墙后,防火墙发现会话表中无...
AWS 上结合Router53构建思科远程访问虚拟私有网络高可用架构
liuqianglong_liu的博客
12-28 336
在AWS通过Router53的DNS负载均衡,搭建思科远程访问虚拟私有网络的高可用架构。
AWS上配置Cisco ASAv AnyConnect
liuqianglong_liu的博客
02-13 2267
这里演示了如何在AWS上搭建思科的SSLVPN,用来解决员工远程办公的需求。文章需要你有一定的AWS和SSLVPN基础。 个人博客地址:https://liuqianglong.com文章视频地址:https://space.bilibili.com/408773931 1、实验简介 最近一直在研究思科防火墙的SSLVPN,用来解决员工远程办公的问题。传统上一般使用ASA55XX系列的硬件防火墙做SSLVPN,使用ASAv与使用硬件防火墙功能特性几乎没有区别。ASAv在vSphere和AW..
如何设置TTL值让网站打开速度更快
07-08
TTL, 其实就是一条域名解析记录在DNS服务器中的存留时间。当DNS服务器接受到解析请求时,就会向域名指定的NS服务器发出解析请求从而获得解析记录;在获 得这个记录之后,记录会在DNS服务器中保存一段时间,这段时间内如果再接到这个域名的解析请求,DNS服务器将不再向NS服务器发出请求,而是直接返回 刚才获得的记录;保留的时间就是看你怎么设置了。就是TTL值。
ASA防火墙之IP TTL及IP分片的处理
Stephen_jj的博客
04-27 818
IP TTL及IP分片的处理 本篇继续讲ASA防火墙,主要讲一下ASA防火墙TTL的一个处理方式和IP分配的介绍,前者会配置实例来介绍,后者的话简略的带过。 IP TTL处理 还是以我们的拓扑为例,实例介绍更为清晰。 让R1traceroute R2.(前提配置好R1可以pingR2),可以看到,是不会出现ASA的上的地址的。我们知道可以通过TTL来检测网络中的设备,而TTL通过ASA是不...
穿越ASA进行traceroute或tracert测试
weixin_34088838的博客
06-14 410
一.概述:    默认情况下,ASA不会回应TTL Exceeded的包,因此traceroute/tracert看不到ASA设备;另外,由于防火墙策略限制,traceroute/tracert也无法穿越防火墙。二.基本思路:    根据traceroute/tracert不同处理方式,确定为什么无法穿越防火墙,从而放开相应的防火墙策略:A.Windows主机:    Windows主机trace...
cisco路由器交换机配置大全
伊一不舍
07-12 185
cisco路由器交换机配置大全 1. switch配置命令 (1)模式转换命令 用户模式----特权模式,使用命令"enable" 特权模式----全局配置模式,使用命令"config t" 全局配置模式----接口模式,使用命令"interface+接口类型+接口号" 全局配置模式----线控模式,使用命令"...
思科防火墙ASA完整视频课程
03-04
本课程适合学习完NA/NP课程或有相应水平人士。本课程介绍思科安全产品ASA的配置方法与部署方法。同时介绍技术特点与部署环境的主要应用,问题及解决办法。本课程介绍了基本的图型化配置方法与命令行配置方法,使用虚拟机版本8.42,基本与真实机器无差别。本课程主要讲解的安全技术如下:ACL,对像组,穿越ASA,MPF,NAT,PAT,透明防火墙,多模式防火,冗余,A/S,A/A等技术介绍,同时简单介绍了关于ASA配置路由协议的命令。                                                       课件截图:
Ping命令返回的TTL值详解
热门推荐
u010240427的博客
09-19 4万+
转自:http://429006.com/article/Technology/160.htm Time To Live (TTL) 域的信息很有趣。每一个被发送出的IP信息包都有一个TTL域,该域被设置为一个较高的数值(在本例中ping信息包的TTL值为255)。当信息包在网络中被传输时,TTL的域值通过一个路由器时递减1;当TTL 递减到0时,信息包被路由器抛弃。 IP规范规定:T
Tcp/Udp端口对照表
无尽星空--帝王铠
01-22 2万+
Tcp/Udp端口對照 reserved 0/tcp Reserved [JBP] reserved 0/udp Reserved [JBP] tcpmux 1/tcp TCP Port Service Multiplexer [MKL] tcpmux 1/udp TCP Port Service Multiplexer [MKL] compressnet
全面指南:思科ASA与PIX防火墙配置详解
思科ASA和PIX防火墙配置手册是一份详尽的指南,旨在帮助用户理解和配置这两种著名的网络设备。该手册由ByMast于2007年11月9日发布,涵盖了多个关键章节,包括但不限于: 1. **配置基础**:介绍了用户接口的设置,如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值