Hola amigos,
En esta publicacion entenderemos el impacto que tiene la politica de enrutamiento de FFW.
Planteamiento
Como la topología mostrada, desde la interfaz eth-trunk 1 y gi 0/0/2 hasta el mensaje AR3260 para realizar el drenaje de la estrategia de enrutamiento al servidor de seguridad de SACG de bypass. Por eth-trunk1, los paquetes de sitio de desvío pueden a través del filtro de firewall acceder a la red interna; pero a partir de g0 / 0/2, los paquetes de sitio de desvío de puertos no pueden acceder a la red interna. Use la directiva tracert para encontrar el enrutamiento, el paquete para encontrar está saltando entre 192.168.1.6 (cortafuegos del puerto no confiable) y 192.168.1.1 (el puerto se conecta a AR3260 y el cortafuegos al puerto de confianza).
Proceso de Gestion
En el puerto AR3260 g0 / 0/2 para ejecutar el dictado: deshacer la habilitación de reenvío rápido de ip, inhabilitar la capacidad de reenvío rápido de interfaz. Prueba, el usuario local puede pasar a través del firewall para acceder a la red interna.
Causa Raiz
Puerto AR3260 habilitación predeterminada: habilitación de reenvío rápido de IP (capacidad de reenvío rápido), es decir, el primer mensaje de reenvío de un flujo de datos al encontrar la tabla de enrutamiento, para generar información de reenvío en la memoria caché. El avance rápido no necesita pasar por una serie de operaciones de tabla de consulta de reenvío ordinario para determinar la interfaz, pero directamente desde la tabla de avance rápido para averiguar la interfaz, acelerar la velocidad de reenvío. La tabla de reenvío rápido establece un proceso: para lograr un tráfico rápido, cuando llegó el primer paquete de tráfico, la tabla de reenvío rápido no se ha establecido en este momento, por lo que no avanzará rápidamente, se llevará a cabo el reenvío de paquetes normal . Después de reenviado normalmente, registrará una tabla de reenvío rápido. Esta tabla registra la información de la interfaz de salida de paquete y algunos campos de paquetes modificados, los paquetes subsiguientes se pueden reenviar según esta tabla, lo que acelera la velocidad de reenvío.
AR3260 usa la información de la tupla de la corriente siete para consultar la tabla de reenvío rápido. Seven-tuple: IP de origen, IP de destino, número de puerto de origen, número de puerto de destino, número de protocolo, dscp, vpnid. Esta tupla de siete no tiene información de interfaz, por lo que no distinguirá la interfaz de tráfico entrante. El diagrama de topología muestra que, los paquetes de usuarios locales con desvío de puertos g0 / 0/2, el caché producen información de enrutamiento de reenvío rápido. Cuando el flujo de datos salió del firewall y alcanzó AR3260 de nuevo, no vio la tabla de enrutamiento del enrutador, y de acuerdo con la información de enrutamiento de la caché enviada directamente, lo que provocó que el flujo de datos saltara entre el enrutador y el firewall. El puerto que se realizó Eth-trunk port habilitará automáticamente la capacidad de reenvío rápido, por lo que los paquetes que a través de eth-trunk1 desviación pueden acceder sin problemas a la red interna.
Sugerencia
La configuración del desvío de AR3260 debe deshabilitar la capacidad de reenvío rápido, lo que puede evitar que los paquetes no se reenvíen de acuerdo con la tabla de enrutamiento del enrutador.