ASA显示行动:掉在数据包追踪器上，没有原因或阶段。

Question

我正在用一台asa和两台计算机做一个非常简单的实验室。PC1连接到dms，PC2连接到外部

: Hardware:   ASA5506, 4096 MB RAM, CPU Atom C2000 series 1250 MHz, 1 CPU (4 cores)
:
ASA Version 9.6(1)
!
[omitted]
!
interface GigabitEthernet1/1
 nameif dms
 security-level 100
 ip address 100.0.10.2 255.255.255.252
!
interface GigabitEthernet1/2
 nameif outside
 security-level 0
 ip address 100.10.9.5 255.255.255.252
!
[omitted]
!
access-list PING extended permit icmp any any
!
access-group PING in interface dms
access-group PING out interface dms
access-group PING in interface outside
access-group PING out interface outside
access-group PING global

在尝试从PC1到防火墙时没有问题。但是我不能从PC2到任何地方

YKS(config)# packet-tracer input dms icmp 100.0.10.1 1 2 3 100.10.9.5

Result:
Action: drop

它不显示任何理由，下降或其他。据我所知，它应该有理由放弃。在我的情况下，它只是下降。如何解决此问题？

Answer 1

这是因为您正在处理ICMP，它终止于Asa上的一个接口。除了ACL之外，您还需要允许使用以下命令访问接口

“icmp permit 100.0.10.0 255.255.255.0 outside”

请参阅cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/…用于完整的语法。

是的，令人讨厌的是，在ASA上，您需要执行这个神奇的命令才能正常工作。恐怕我们都是很难学到的。;-)