Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

ASA

에는 ICMP 에코 요청 패킷을 전송하고 에코 응답 패킷을 반환되게 하는 기존 ping이 포함되어 

있습니다. 이것은 모든 중간 네트워크 디바이스가 ICMP 트래픽을 허용하는 경우 표준 툴이며 제대

로 작동합니다. ICMP ping을 통해 IPv4 또는 IPv6 주소 또는 호스트 이름을 ping할 수 있습니다.
하지만, 일부 네트워크는 ICMP를 금지합니다. 네트워크가 해당하는 경우 대신 TCP ping을 사용

하여 네트워크 연결을 테스트할 수 있습니다. TCP ping을 통해 ping은 TCP SYN 패킷을 전송하

고 응답으로 SYN-ACK를 수신하는 경우 ping을 성공으로 간주합니다. TCP ping을 통해 IPv4 주

소 또는 호스트 이름을 ping할 수 있지만, IPv6 주소를 ping할 수 없습니다.
성공적인 ICMP 또는 TCP ping은 사용 중인 주소가 활성 상태이며 해당하는 특정 유형의 트래픽에 

응답 중임을 의미한다는 점을 기억하십시오. 이것은 기본 연결이 작동하고 있음을 의미합니다. 디바

이스에서 실행 중인 기타 정책은 특정 유형의 트래픽이 디바이스를 성공적으로 통과하는 것을 방지

할 수 있습니다.

기본적으로 높은 보안 인터페이스에서 낮은 보안 인터페이스로 ping할 수 있습니다. 반환 트래픽 

통과를 허용하려면 ICMP 검사를 활성화해야 합니다. 낮은 곳에서 높은 곳으로 ping하려면 트래

픽을 허용하는 ACL을 적용해야 합니다.
ASA 

인터페이스를 ping할 경우 해당 인터페이스에 적용된 ICMP 규칙은 에코 요청 및 에코 응답 

패킷을 허용해야 합니다. ICMP 규칙은 선택사항입니다. 규칙을 구성하지 않은 경우, 인터페이스

에 모든 ICMP 트래픽이 허용됩니다.
이 절차에서는 ASA 인터페이스의 ICMP ping하기 활성화를 완료하는 데 필요한 모든 ICMP 구성 

또는 ASA를 통해 ping하기에 대해 설명합니다.

ICMP 

규칙이 에코 요청/에코 응답을 허용하는지 확인합니다.

ICMP 

규칙은 선택사항이며 인터페이스로 직접 전송된 ICMP 패킷에 적용됩니다. ICMP 규칙을 

적용하지 않는 경우, 모든 ICMP 액세스가 허용됩니다. 이 경우, 어떤 동작도 필요하지 않습니다.
그러나 ICMP 규칙을 구현하는 경우 "inside"를 디바이스에 있는 인터페이스 이름으로 대체하여 

각 인터페이스에서 최소한 다음을 포함하도록 해야 합니다.

ciscoasa(config)# icmp permit 0.0.0.0 0.0.0.0 echo inside 

ciscoasa(config)# icmp permit 0.0.0.0 0.0.0.0 echo-reply inside 

액세스 규칙이 ICMP를 허용하는지 확인합니다.
ASA

를 통해 호스트를 ping하는 경우, 액세스 규칙은 ICMP 트래픽을 남겨두고 반환하도록 허용

해야 합니다. 액세스 규칙은 최소한 에코 요청/에코 응답 ICMP 패킷을 허용해야 합니다. 이러한 

규칙을 전역 규칙으로 추가할 수 있습니다.
이미 액세스 규칙을 인터페이스에 적용했거나 전역적으로 적용한 경우, 이러한 규칙을 관련된 
ACL

에 간단하게 추가합니다. 예:

ciscoasa(config)# access-list outside_access_in extended permit icmp any any echo 

ciscoasa(config)# access-list outside_access_in extended permit icmp any any echo-reply 

또는 모든 ICMP를 허용만 합니다. 

ciscoasa(config)# access-list outside_access_in extended permit icmp any any