本文共 1175 字,大约阅读时间需要 3 分钟。
ASA 5500 系列防火墙在处理 traceroute 报文时可能会出现丢弃某些 LINUX 主机的 traceroute 报文问题。本文将详细分析问题描述及其解决方法。
ASA 防火墙丢弃 LINUX 主机的 traceroute 报文,导致网络故障排除困难。这类问题通常发生在网络调试或故障排除过程中,需要及时解决以保障网络正常运行。
Traceroute 报文的发送和处理涉及两种主要机制:基于 UDP 端口的 Traceroute 和基于 ICMP 的 Traceroute。
基于 UDP 端口的 Traceroute
这种 Traceroute 工作机制需要在防火墙的 ACL 中允许相应的 UDP 端口。例如,Linux 主机通常使用基于 UDP 的 Traceroute,其目标端口为 33434 到 33534 之间的连续端口。基于 ICMP 的 Traceroute
基于 ICMP 的 Traceroute 更为复杂。默认情况下,ASA 会将 ICMP 报文视为无状态连接。为了支持基于 ICMP 的 Traceroute,需要在防火墙上启用 ICMP 检查。这样,ASA 会将 ICMP 会话视为有状态连接,从而允许返回流量。同时,需要启用 ICMP 错误检查以支持 Traceroute 的 time-exceeded 错误响应。确定 Traceroute 的类型
-I 选项强制使用基于 ICMP 的机制。配置防火墙支持基于 ICMP 的 Traceroute
ciscoasa(config-pmap)# class inspection_default ciscoasa(config-pmap-c)# inspect icmp
验证配置
转载地址:http://zxgfk.baihongyu.com/