Команда ping tcp на cisco asa
Команда ping є «де-факто» стандартом при діагностиці пов'язаності між двома хостами. Як ми знаємо, команда посилає ICMP пакети на віддалений хост і чекає ICMP відповідь від віддаленої сторони.
Починаючи з ASA 8.4 (1) і в більш нових, Cisco включила розширену версію команди ping - ping tcp. Вона дозволяє пристроям ASA посилати будь TCP пакет (замість ICMP) з будь-якого source IP на будь-який destination IP і порт (як source, так і destination). Це відмінний інструмент для пошуку та усунення неполадок в мережі, в чому ми переконаємося на прикладі нижче. Посилаючи TCP пакети, ви також перевіряєте, що сервіс на віддаленій стороні запущений і працює, в доповненні до перевірки маршрутизації.
Давайте розглянемо ситуацію, в якій ви зможете використовувати ping tcp для діагностики. Ми маємо мережу з site-to-site VPN як на схемі нижче:
Припустимо, що ми підключені до ASA2. Давайте використаємо команду ping tcp для діагностики:
[Console] ASA2 # ping tcp
Sending 5 TCP SYN requests to 192.168.1.100 port 3389
from 192.168.2.1 starting port 1000, timeout is 2 seconds:
.
Success rate is 100 percent (5/5), round-trip min / avg / max = 50/50/50 ms
[/ Console]
Вище ми переконалися, що все працює відмінно. Трафік з source IP 192.168.2.1 доходить до RDP сервера (192.168.1.100), запущеного на порту 3389, через VPN тунель. Ви також можете використовувати команду show crypto ipsec sa і show crypto isakmp sa для того, щоб побачити, що пакети всередині VPN шифруються / дешифруються.