引用:
原帖由 sdjjt 于 2008-3-9 18:38 发表 
PIX IOS版本为7。21。用小凡的软件生成的批处理文件,把地址都配置好后,每个路由器都无法和PIX PING 通,直接相连的路由器或者通过交换机连接的路由器之间可以PING通。
不知道怎么搞的,搜 ...
根据你的描述,推测的可能原因有:
1,是否在PIX接口上启用了“no shutdown"命令,没有启用会Ping不通的
2,是否在接口启用了”icmp permit any outside/inside“命令,否则也会ping不通
发现你是用小凡的软件生产批处理,以前我也用过小凡的,但是PEMU的批处理很不稳定,所以后来就干脆自己写批处理了,建议你用PIX lab v1.9试一试吧?
对于PEMU的模拟,一般网络链接方式有三种:UDP、TAP、和Ethernet方式。 个人认为,TAP方式是最不可取的,我也是从来不选择这种方式,对于他的错误我也没发言权了,我觉得最稳定的是UDP方式,因为Dynamips就是这种方式的基础。锅巴修改过的PEMU版本即支持UDP有支持Ethernet桥接。是首先版本。
如果在WinPcap安装正常,且PEMU已正常启动,网络还是无法链接的原因分析,请大家一起思考补充。
1,如果是UDP方式,无法链接可能性:
A,接口对应是错误。如你把设备的F0/0当成了F0/1,请认真检查你的批处理
B,UDP端口对应错误。如你的批处理源目的端口对应不对。仍需检查批处理
C,UDP通信受挫。如有防火墙拦截了UDP端口间的通信
2,如果是Ethernet桥接模式无法链接可能性:
A,首先确定你的NPF没有错误,也就是在PEMU启动时,出现过”Eth:opened \device\NPF_{##########}"
B,确定你的物理网卡的NPF参数准确无误。且准确配置地址
3,对于PIX中ICMP协议的问题。
A,对于单向的ICMP协议,PIX/ASA有了专门的命令接收ICMP协议,需要在接口启用命令“icmp permit any outside/inside"
B,对于穿过的ICMP我们知道PIX是状态监测型防火墙。也就是说PIX防火墙默认只能监测状态型协议(简单理解就是传输层以上的协议)。对于ICMP这种非状态型协议是无法监测的。如果我们要监测ICMP协议,需要配置针对ICMP的监测。
PIX和ASA在7.x上默认是不检查穿越防火墙的icmp的状态的,这意味着从内向外做出的ping操作只能单向穿越防火墙,被ping设备回应的icmp echo-reply无法穿越防火墙——防火墙会认为这些数据包是来自安全级别低的外网的,不可以穿过。如果我们要求(一般是不建议的,我们更喜欢选择Telnet协议测试)ICMP协议通过,也就是Ping,一般有两种方法,一种就是使用访问列表,第二种就是配置ICMP的状态监测。
先说这么多,有兄弟补充了~!
