登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>软件学院>网络技术>网络软件>正文
 
防火墙基于策略路由的配置技巧

http://www.dbit.cn 2010/3/23 8:37:27  来源:东北IT网  编辑:叶子
 
  我们可以这样测试我们所做的配置。在名为Cisco-1的路由器10.1.1.1上发送ping命令到Internet上的一个主机(这里就是192.1.1.1主机)。要查看名为Internet Router的路由器上的情况,我们在特权命令模式下执行debug ip packet 101 detail命令。(其中,在此路由器上有access-list 101 permit icmp any any配置命令)。下面是输出结果:

  Results of ping from Cisco-1 to 192.1.1.1/internet taken from Internet_Router:

  Pakcet never makes it to Internet_Router

  正如您所看到的:数据包没有到达Internet_Router路由器。下面的在Cisco WAN路由器上的debug命令给出了原因:

  Debug commands run from Cisco_WAN_Router:

  "debug ip policy"

  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

  2d15h: IP: route map net-10, item 10, permit

  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed

  2d15h: IP: Ethernet3/0 to Ethernet0/1 192.1.1.1

  这里,数据包确实匹配了net-10策略图中的第一条规则。但为什么还是没有达到预期的目的呢?用"debug arp"来看一下。

  "debug arp"

  2d15h: IP ARP: sent req src 172.16.39.3 0010.7bcf.5b02,

  dst 192.1.1.1 0000.0000.0000 Ethernet0/1

  2d15h: IP ARP rep filtered src 192.1.1.1 00e0.b064.243d, dst 172.16.39.3 0010.7bcf.5b02

  wrong cable, interface Ethernet0/1

  debug arp的输出给出了原因。路由器努力完成它被指示要做的动作,而且试图把数据包发向Ethernet0/1接口,但失败了。这要求路由器为目的地址192.1.1.1执行地址解析协议操作,当执行该任务时,路由器知道了目的地址不处于该接口。接下来,路由器发生封装错误。所以,最后数据包不能到达192.1.1.1。

  我们怎样避免这个问题呢?修改路由图使防火墙地址为下一跳。

  Config changed on Cisco_WAN_Router:

  !

  route-map net-10 permit 10

  match ip address 111

  set ip next-hop 172.16.39.2

  !

  修改后,在Internet Router上运行同样的命令:debug ip packet 101 detail。这时,数据包可以按配置前进。我们也能看到数据包被防火墙翻译成了172.16.255.1。192.1.1.1主机的回应:

  Results of ping from Cisco_1 to 192.1.1.1/internet taken from Internet_Router:

  2d15h: IP: s=172.16.255.1 (Ethernet1), d=192.1.1.1 (Serial0), g=192.1.1.1, len 100, forward

  2d15h: ICMP type=8, code=0

  2d15h:

  2d15h: IP: s=192.1.1.1 (Serial0), d=172.16.255.1 (Ethernet1), g=172.16.20.2, len 100, forward

  2d15h: ICMP type=0, code=0

  2d15h:

  在Cisco WAN路由器上执行debug ip policy命令后,我们可以看到数据包被传递到了防火墙,172.16.39.2:

  Debug commands run from Cisco_WAN_Router:

  "debug ip policy"

  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match

  2d15h: IP: route map net-10, item 20, permit

  2d15h: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy routed

  2d15h: IP: Ethernet3/0 to Ethernet0/1 172.16.39.2

本新闻共2页,当前在第2页  1  2  

收藏】【打印】【进入论坛
  相关文章:

·边界路由器加防火墙保证企业安全
·选择硬件防火墙注意紧抓四要素
·选择硬件防火墙注意紧抓四要素
·思科防火墙PIX ASA精华配置总结 
·路由器与防火墙安全性大对比
·企业选购指南:国内防火墙大比拼
·网络防火墙选购十要素
·强悍注册表防火墙 练就百毒不侵之躯 
·穿越防火墙 让远程桌面自由连接
·排除代理防火墙连接故障的技巧
·企业级防火墙应做到的十件事

 
 
 
最新文章

抢先苹果,消息称英特尔芯片采用台积电
三星揭晓业内首款单条 512GB DDR5 内存
vivo 高端新机爆料:120Hz 曲面屏 + 天
vivo Y21 在印度正式上市:Helio P35 芯
微星推出 GeForce RTX 3080 Sea Hawk X
消息称三星 Galaxy Tab S8 系列平板将放
机械革命推出 F6 轻薄本:16 英寸全面屏
英特尔 12 代 Alder Lake CPU 600 系列
雷军:向小米手机 1 首批用户每人赠送价
小米李明谈用户被踢出 MIUI 测试版:大

推荐文章
1
2
3
4
5
6
7
8
9
10
叛逆嫩模性感写真
宫如敏不雅照疯传 看张馨予韩一菲兽兽谁
不惧孔子抢位 阿凡达游戏影音配置推荐
2015第十七届“东北安博会”火爆招商
第十六届东北国际公共安全防范产品博览
2016年第五届中国国际商业信息化博览会
2016年第五届中国国际POS机及相关设备展
互联网电视熟了吗 2013最火电视深解析
桑达获邀出席2015中国(广州)国际POS机
宝获利报名参加“2015年度中国POS机行业
八卦图解 More>>
叛逆嫩模性感写真 宫如敏不雅照疯传 看张馨予韩一菲
周伟童魔鬼身材日本性感写真图  联想V360笔记本模特写真