Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

35-13

Cisco ASA Series

일반적인 작업 CLI 구성 가이드

장 테스트 및 문제 해결

구성 테스트

NAT

가 올바르게 구성되지 않으면 ping이 실패할 수 있습니다. 이 경우 NAT가 실패했음을 알리는

syslog

메시지가 표시됩니다(305005 또는 305006). 외부 호스트에서 내부 호스트로 ping하는 경

우 고정 변환이 없으면 106010 메시지가 표시됩니다.

그림

35-5

ASA

에서

주소를

변환하지

않기

때문에

Ping

실패

호스트에 대한 경로 추적

주소에 트래픽을 전송하는 데 문제가 있는 경우, 네트워크 경로에 문제가 있는지 여부를 확인

하기 위해 호스트에 대한 경로를 추적할 수 있습니다.

절차

단계

경로 추적 시 ASA 표시하기, 35-13페이지

단계

패킷 경로 확인, 35-14페이지

경로 추적 시 ASA 표시하기

기본적으로 ASA는 홉으로 traceroutes에 나타나지 않습니다. traceroute를 나타나게 하려면 ASA

를 통과하는 패킷에서 TTL(Time-To-Live)을 줄이고 ICMP의 연결할 수 없는 메시지에 대한 속도

제한을 늘립니다.

절차

단계

연결 설정을 사용자 지정할 트래픽을 식별하려면 L3/L4 클래스 맵을 만듭니다.

class-map

name

match

parameter

예:

ciscoasa(config)# class-map CONNS

ciscoasa(config-cmap)# match any

일치 명령문에 대한 정보는 방화벽 구성 가이드에서 서비스 정책 장을 참조하십시오.

단계

클래스 맵 트래픽에 취해야 할 조치를 설정하는 정책 맵을 추가하거나 편집하고 클래스 맵을 식별

합니다.

policy-map

name

class

name

예:

ciscoasa(config)# policy-map global_policy

ciscoasa(config-pmap)# class CONNS

Ping

Router

Host

Security

Appliance

126694