Cisco Cisco ASA 5555-X Adaptive Security Appliance 产品宣传页

소스, 수신 주소 및 프로토콜 특성에 따라 패킷을 모델링하여 정책 구성을 테스트할 수 있습니다. 

추적 시 액세스 규칙, NAT, 라우팅 등을 테스트하고 패킷이 허용 또는 거부되는지 여부를 확인하

기 위해 정책 조회를 수행합니다. 
이 방식으로 패킷을 테스트하면 정책의 결과를 확인하고 허용 또는 거부할 트래픽 유형이 사용자

가 원하는 대로 처리되는지 여부를 테스트할 수 있습니다. 구성 확인 이외에도 추적기를 사용하여 

패킷이 허용되어야 할 때 거부되고 있는지와 같이 예상하지 못한 동작을 디버깅할 수 있습니다.

명령이 복잡하므로 부분으로 세분화하겠습니다. 다음과 같이 추적을 위해 인터페이스 및 프로토

콜을 선택하여 시작합니다.

 input ifc_name {icmp | tcp | udp | rawip} [inline-tag tag] ...

여기서 각 항목은 다음을 나타냅니다.

input ifc_name — 

추적을 시작할 시작 인터페이스 이름입니다.

icmp, tcp, udp, rawip — 

사용할 프로토콜입니다. "rawip" 는 raw IP, 즉 TCP/UDP가 아닌 IP 

패킷입니다.

inline-tag tag — (

선택사항) Layer 2 CMD 헤더에 삽입된 보안 그룹 태그 값입니다. 유효한 

값의 범위는 0~65533입니다.

다음으로, 소스 주소와 프로토콜 기준을 입력합니다.

...{sip | user username | security-group {name name | tag tag} | fqdn fqdn-string}...

여기서 각 항목은 다음을 나타냅니다.

sip — 

패킷 추적을 위한 IPv4 또는 IPv6 소스 주소입니다.

user username — domain\

사용자의 형식으로 된 사용자 ID입니다. 사용자에 대해 가장 최근

에 매핑된 주소(있는 경우)가 추적에 사용됩니다.

security-group {name name | tag tag} — Trustsec

에 대한 IP-SGT 조회에 기초한 소스 보

안 그룹입니다. 보안 그룹 이름 또는 태그 번호를 지정할 수 있습니다.

fqdn fqdn-string — 

소스 호스트, IPv4 전용의 정규화된 도메인 이름입니다.

다음으로, 프로토콜 특성을 입력합니다. 

ICMP — ICMP 

유형(1-255), ICMP 코드(0-255) 및 선택사항인 ICMP Id를 입력합니다. 각 변

수에 대해 숫자를 사용해야 합니다(예: 에코의 경우 8).

... type code [ident]...

TCP/UDP — 

소스 포트 번호를 입력합니다.

... sport ...

Raw IP — 0-255 

사이의 프로토콜 번호를 입력합니다.

... protocol ...

마지막으로, TCP/UDP 추적을 위해 수신 주소 기준, 대상 포트 및 선택사항 키워드를 입력하고 
Enter 

키를 누릅니다.

...{dip | security-group {name name | tag tag} | fqdn fqdn-string}

dport 

[detailed] [xml]