De acuerdo

Caso de análisis de problema: Los servicios que pasan a través del firewall se interrumpen.

124 0 1 0 0

Hola a todos. En esta publicación conoceremos de un caso en el algunos servicios que pasan a través de un firewall se ven interrumpidos. Pasemos a la información para conocer sobre el tema.

 

Descripción del tema.

El ACL que es referenciado por la directiva IPSec tiene una regla (rule permit ip), que causa que el firewall no pueda hacer ping a la dirección IP del ISP.

 

La topología de red es la siguiente.

b7

Proceso de análisis del problema

1. Los paquetes ARP se aprenden desde la interface GE1/0/0 que conecta con el ISP, y la dirección MAC es 4c1f-cc1b-23df, pero el ping del FW al ISP no es accesible.

b8


2. Se verifica la tabla de la sesión del firewall y se encuentra el paquete de la petición del icmp se envió al ISP pero no hay paquete de retorno del ISP.


3. De la tabla de sesión, la dirección MAC del nexthop 1.1.3.2 es 0000-0000-0000, así que sospechamos que el paquete ping se remite a través del túnel IPSec.

 

4. Se Verifico la política para IPSec asignada a la interface GE1/0/0 y la ACL 3001 referenciado tiene una regla 10 (rule permit IP), significa que todos los tráficos IP coincidirán esta regla y serán reenviados al túnel IPSec, pero el túnel IPSec está abajo ya que no se utiliza actualmente, por lo tanto los paquetes de ping del FW al ISP no son exitosos.


b9


Causa raíz

Cuando se aplicó la política de IPSec a la interface GE1/0/0 y en la ACL 3001 al que se hace referencia tiene una regla 10 (rule permit IP), todos los paquetes se remiten al túnel IPSec, pero el túnel IPSec está abajo porque no se utiliza actualmente, así que los paquetes ping del FW al ISP no pueden alcanzar el dispositivo ISP, el FW no puede hacer ping al ISP.

 

Solución

Hay 2 soluciones:

 

1. Quite la regla 10 del ACL 3001.

 

2. Deshacer la directiva IPSec en la interfaz GE1/0/0.

 

Sugerencias

Configure las reglas exactas en el ACL que son referenciadas por la política IPSec para evitar la interrupción del servicio.


Saludos.

                

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.