Topologie de réseau physique
Description du défaut
Échec de l'envoi d'une requête ping au FW3 avec l'adresse IP 1.1.2.1.
Fichiers de configuration
l FW1
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3333
rule 5 permit icmp
#
ipsec proposal p1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer b
undo version 2
pre-shared-key %^%#Z$pF2wqe9V.VP5V>P,qLJ:R^)="-W28~N9!LWE!3%^%#
ike-proposal 1
remote-address 192.168.101.1
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal p1
sa trigger-mode auto
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/7
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 3.3.3.0 255.255.255.0 2.2.2.2
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
rule name untrust_to_local
source-zone untrust
destination-zone local
action permit
rule name local_to_untrust
source-zone local
destination-zone untrust
action permit
#
l FW2
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
acl number 3333
#
ipsec proposal p1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer b
undo version 2
pre-shared-key %^%#Z$pF2wqe9V.VP5V>P,qLJ:R^)="-W28~N9!LWE!3%^%#
ike-proposal 1
remote-address 192.168.101.1
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal p1
sa trigger-mode auto
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 2.2.2.2 255.255.255.0
service-manage ping permit
redirect-reverse next-hop 2.2.2.1
#
interface GigabitEthernet1/0/7
undo shutdown
ip address 3.3.3.2 255.255.255.0
service-manage ping permit
redirect-reverse next-hop 3.3.3.1
#
interface GigabitEthernet1/0/8
undo shutdown
lldp enable
lldp tlv-enable basic-tlv all
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/0
#
firewall zone dmz
set priority 50
add interface GigabitEthernet1/0/7
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 1.1.2.0 255.255.255.0 2.2.2.1
#
nat server dc1_dc2 0 global 5.5.5.1 inside 1.1.1.1 no-reverse
#
security-policy
rule name untrust_to_local
source-zone untrust
destination-zone local
action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
rule name local_to_untrust
source-zone local
destination-zone untrust
action deny
#
auth-policy
rule name auth_policy
source-zone trust
destination-zone dmz
source-address 1.1.0.0 mask 255.255.0.0
action auth
rule name no_auth_policy
source-zone trust
destination-zone dmz
source-address 1.1.2.0 mask 255.255.255.0
action none
#
traffic-policy
#
policy-based-route
rule name dc1_to_dc2
source-zone trust
destination-address 1.1.0.0 mask 255.255.0.0
action pbr next-hop 3.3.3.1
rule name dc2_to_dc1
source-zone trust
source-zone dmz
destination-address 1.1.0.0 mask 255.255.0.0
action pbr next-hop 2.2.2.1
#
nat-policy
rule name no_nat
egress-interface GigabitEthernet1/0/0
source-address 10.1.1.0 mask 255.255.255.0
action no-nat
rule name nat_policy
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
destination-address 10.1.2.0 mask 255.255.255.0
action nat easy-ip
rule name test
destination-zone dmz
destination-address 1.1.1.1 mask 255.255.255.255
action nat easy-ip
#
l FW3
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal p1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer b
undo version 2
pre-shared-key %^%#OZ2Q@cbWlRZ8XTJKqc8,q^dT6kP^82qBDz)Cbx_H%^%#
ike-proposal 1
remote-address 192.168.8.1
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal p1
sa trigger-mode auto
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/7
add interface GigabitEthernet1/0/4
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 1.1.2.0 255.255.255.0 3.3.3.2
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
Procédure de dépannage
Étape 1 Vérifiez les détails de la table de session sur le FW_2.
[R5U22-USG6600] display firewall session table verbose source inside 1.1.2.1
2018-01-07 16:59.990
Current Total Sessions : 0
Étape 2 Configurez les statistiques de trafic pour confirmer pourquoi la session n'a pas été établie.
[R5U22-USG6600] diagnose
[R5U22-USG6600-diagnose] display firewall statistics acl
...
********************************************************************************
* Detailed information of ACL-based packet statistics *
********************************************************************************
Protocol(ICMP) SourceIp(1.1.2.1) DestinationIp(3.3.3.1)
SourcePort(44038) DestinationPort(2048) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 5 0 2 5 0
Reverse(pkts) : 0 0 1 0 0
Discard detail information:
UM process fail packets discarded: 5
ICMP packet detail information:
ICMP_ECHO : 5
Confirmez que la perte de paquets est gérée pour l'utilisateur pour auth-policy.
Étape 3 Vérifiez la configuration de auth-policy.
#
auth-policy
rule name auth_policy
source-zone trust
destination-zone dmz
source-address 1.1.0.0 mask 255.255.0.0
action auth
rule name no_auth_policy
source-zone trust
destination-zone dmz
source-address 1.1.2.0 mask 255.255.255.0
action none
Vérifiez que le segment de réseau du segment de réseau d'authentification comprend le segment de réseau 1.1.2.1/24.
Une stratégie d'authentification est un ensemble de règles d'authentification. Un micrologiciel fait correspondre les paquets avec plusieurs règles d'authentification de haut en bas. Si les attributs d'un paquet correspondent à toutes les conditions d'une règle d'authentification, la règle est correctement mise en correspondance et le micrologiciel ne correspond pas au paquet avec d'autres règles.
Solution: déplace la règle no_auth_policy pour modifier la priorité de la règle de stratégie d'authentification.
[R5U22-USG6600] auth-policy
[R5U22-USG6600-policy-auth] rule move no_auth_policy before auth_policy
Effectuez à nouveau le test ping et vérifiez la table de session.
Il est possible de constater qu’il n’ya pas de table de session, puis configurez les statistiques de trafic pour savoir pourquoi la session n’a pas été établie.
Étape 4 Configurez les statistiques de trafic pour confirmer pourquoi la session n'a pas été établie.
[R5U22-USG6600] diagnose
[R5U22-USG6600-diagnose] display firewall statistics acl
...
********************************************************************************
* Detailed information of ACL-based packet statistics *
********************************************************************************
Protocol(ICMP) SourceIp(1.1.2.1) DestinationIp(3.3.3.1)
SourcePort(44038) DestinationPort(2048) VpnIndex(public)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 19 0 0 19 0
Reverse(pkts) : 0 0 0 0 0
Discard detail information:
Packet default filter packets discarded: 19
ICMP packet detail information:
ICMP_ECHO : 19
Solution: configure l'action dans la règle de politique de sécurité selon laquelle le trafic mis en correspondance est autorisé.
[R5U22-USG6600] security-policy
[R5U22-USG6600-policy-security] rule name local_to_untrust
[R5U22-USG6600-policy-security-rule-local_to_untrust] action permit
Racine Cause
La stratégie d'authentification n'a pas été configurée correctement et la stratégie de sécurité n'a pas été publiée.