ASA对Traceroute报文的处理问题-白红宇

ASA对Traceroute报文的处理问题

阅读量：800 次

发布时间：2023-04-17

本文共 1175 字，大约阅读时间需要 3 分钟。

ASA 5500 系列防火墙丢弃 LINUX 主机的 traceroute 报文

技术领域

ASA 5500 系列防火墙在处理 traceroute 报文时可能会出现丢弃某些 LINUX 主机的 traceroute 报文问题。本文将详细分析问题描述及其解决方法。

问题描述

ASA 防火墙丢弃 LINUX 主机的 traceroute 报文，导致网络故障排除困难。这类问题通常发生在网络调试或故障排除过程中，需要及时解决以保障网络正常运行。

ASA 对 Traceroute 报文的处理机制

Traceroute 报文的发送和处理涉及两种主要机制：基于 UDP 端口的 Traceroute 和基于 ICMP 的 Traceroute。

基于 UDP 端口的 Traceroute

这种 Traceroute 工作机制需要在防火墙的 ACL 中允许相应的 UDP 端口。例如，Linux 主机通常使用基于 UDP 的 Traceroute，其目标端口为 33434 到 33534 之间的连续端口。

基于 ICMP 的 Traceroute

基于 ICMP 的 Traceroute 更为复杂。默认情况下，ASA 会将 ICMP 报文视为无状态连接。为了支持基于 ICMP 的 Traceroute，需要在防火墙上启用 ICMP 检查。这样，ASA 会将 ICMP 会话视为有状态连接，从而允许返回流量。同时，需要启用 ICMP 错误检查以支持 Traceroute 的 time-exceeded 错误响应。

故障排除步骤

确定 Traceroute 的类型

如果使用基于 UDP 端口的 Traceroute，需要在 ACL 中允许多个连续的 UDP 端口。

如果使用基于 ICMP 的 Traceroute，可以通过在 traceroute 命令中添加 -I 选项强制使用基于 ICMP 的机制。

配置防火墙支持基于 ICMP 的 Traceroute

启用 ICMP 检查：

ciscoasa(config-pmap)# class inspection_default  
ciscoasa(config-pmap-c)# inspect icmp

启用 ICMP 错误检查：

验证配置

使用 packet-tracer 命令验证防火墙行为。

检查防火墙的日志和抓包，确认 Traceroute 报文是否能正常通过。

总结

确认 Traceroute 类型：检查主机使用的是基于 UDP 端口还是基于 ICMP 的 Traceroute。

配置防火墙：在 ACL 中允许相应的 UDP 端口或启用 ICMP 检查。

验证配置：通过 packet-tracer 和抓包工具确认防火墙行为。

ASA 5500 系列防火墙丢弃 LINUX 主机的 traceroute 报文

技术领域

问题描述

ASA 对 Traceroute 报文的处理机制

故障排除步骤

总结

相关文档