отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
cancel
Объявления
Community Live

534
Просмотры
0
Полезный материал
9
Ответы

Traceroute through FWSM(Firewall Services Module

Hi!

Can't tracert through FWSM.
The only thing I have noticed is that last hop always shows up, but all prior hops are ***.
How can I solve this problem?

9 ОТВЕТ 9
Sergey Lisitsin
Collaborator

Добрый день,

 

Скорее всего разрешены только определённые типы сообщений ICMP, например только ICMP request и ICMP reply. При использовании traceroute, промежуточные узлы посылают сообщения ICMP TTL Expired, поэтому они блокируются. Если Вы хотите видеть промежуточные узлы, разрешите нужный тип ICMP или снимите ограничения по типам, например 

permit icmp any any.

 

Добрый день!

Спасибо за помощь!

Но никаких изменений. в tracert все равно не показывает след хопы, только последний.

Что можно сделать еще?

Sergey Lisitsin
Collaborator

Так... Я вижу, что у Вас вторая строчка access-list - permit ip any any. Это должно разрешать любые типы ICMP пакетов. А какие у Вас промежуточные устройства? Может они сами сконфигурированы не отправлять ICMP TTL exceeded. Например файрволы обычно не отсылают такие сообщения по соображениям безопасности. Если у Вас два промежуточных устройства и одно из них - FWSM, то возможно второе устройство также не посылает ICMP TTL exceeded. Проверьте трейсом до какого-нибудь "дальнего" IP адреса.

 

В первой строчке трейса должно показать первый хоп то есть мой шлюз, а это и есть FWSM, но не показывает(хоть стоит правило permit ip any any).
После FWSM тоже стоит firewall(какой именно я не знаю). у них закрыты ICMP сообщения в целях безопасности.
Что может еще блочить на самом FWSM?

По сути FWSM - это тот же файрвол, просто выполненый в конструктиве модуля для шасси 6500. А файрволы в целях снижения своей заметности не отправляют сообщения ICMP TTL exceeded. И access-list на это никак не влияет, поскольку он контролирует только транзитный трафик, проходящий через файрвол, тогда как сообщения ICMP TTL exceeded генерируются самим устройством. 

 

Попробуйте добавить в конфигурацию это:

 

policy-map global_policy
 class class-default
 set connection decrement-ttl

int Vlan 10
security level 10

Invl Vlan 20
security level 100

Int Vlan 30
security level 100

Такой вопрос ping с vlan 10 на vlan 20 ходит, а на vlan 30 нет. Аксес листы?

Нет, по умолчанию трафик между интерфейсами с одинаковым приоритетом безопасности (security level) не разрешён. Для того, чтобы разрешить его нужно добавить глобальную команду конфигурации

same-security-traffic permit inter-interface

Добрый день!


Как разрешить трафик с меньшего security level (10) на больший security level (100)?

Добрый день

 

А для этого как раз существует access list

 

Создать
Выразить признание своим коллегам
Content for Community-Ad

Сообщество Помогает Сообществу

Помощь по сообществу