El impacto de la política de enrutamiento de reenvío rápido en AR3260

106 0 1 0

Hola amigos,


En esta publicacion entenderemos el impacto que tiene la politica de enrutamiento de FFW.

  • Planteamiento


f0e89c98532c458faa13b00451b4a986

Como la topología mostrada, desde la interfaz eth-trunk 1 y gi 0/0/2 hasta el mensaje AR3260 para realizar el drenaje de la estrategia de enrutamiento al servidor de seguridad de SACG de bypass. Por eth-trunk1, los paquetes de sitio de desvío pueden a través del filtro de firewall acceder a la red interna; pero a partir de g0 / 0/2, los paquetes de sitio de desvío de puertos no pueden acceder a la red interna. Use la directiva tracert para encontrar el enrutamiento, el paquete para encontrar está saltando entre 192.168.1.6 (cortafuegos del puerto no confiable) y 192.168.1.1 (el puerto se conecta a AR3260 y el cortafuegos al puerto de confianza).


  • Proceso de Gestion

En el puerto AR3260 g0 / 0/2 para ejecutar el dictado: deshacer la habilitación de reenvío rápido de ip, inhabilitar la capacidad de reenvío rápido de interfaz. Prueba, el usuario local puede pasar a través del firewall para acceder a la red interna.


  • Causa Raiz

Puerto AR3260 habilitación predeterminada: habilitación de reenvío rápido de IP (capacidad de reenvío rápido), es decir, el primer mensaje de reenvío de un flujo de datos al encontrar la tabla de enrutamiento, para generar información de reenvío en la memoria caché. El avance rápido no necesita pasar por una serie de operaciones de tabla de consulta de reenvío ordinario para determinar la interfaz, pero directamente desde la tabla de avance rápido para averiguar la interfaz, acelerar la velocidad de reenvío. La tabla de reenvío rápido establece un proceso: para lograr un tráfico rápido, cuando llegó el primer paquete de tráfico, la tabla de reenvío rápido no se ha establecido en este momento, por lo que no avanzará rápidamente, se llevará a cabo el reenvío de paquetes normal . Después de reenviado normalmente, registrará una tabla de reenvío rápido. Esta tabla registra la información de la interfaz de salida de paquete y algunos campos de paquetes modificados, los paquetes subsiguientes se pueden reenviar según esta tabla, lo que acelera la velocidad de reenvío.

 

AR3260 usa la información de la tupla de la corriente siete para consultar la tabla de reenvío rápido. Seven-tuple: IP de origen, IP de destino, número de puerto de origen, número de puerto de destino, número de protocolo, dscp, vpnid. Esta tupla de siete no tiene información de interfaz, por lo que no distinguirá la interfaz de tráfico entrante. El diagrama de topología muestra que, los paquetes de usuarios locales con desvío de puertos g0 / 0/2, el caché producen información de enrutamiento de reenvío rápido. Cuando el flujo de datos salió del firewall y alcanzó AR3260 de nuevo, no vio la tabla de enrutamiento del enrutador, y de acuerdo con la información de enrutamiento de la caché enviada directamente, lo que provocó que el flujo de datos saltara entre el enrutador y el firewall. El puerto que se realizó Eth-trunk port habilitará automáticamente la capacidad de reenvío rápido, por lo que los paquetes que a través de eth-trunk1 desviación pueden acceder sin problemas a la red interna.


  • Sugerencia

La configuración del desvío de AR3260 debe deshabilitar la capacidad de reenvío rápido, lo que puede evitar que los paquetes no se reenvíen de acuerdo con la tabla de enrutamiento del enrutador.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje