本局的防火墻F100下連各個(gè)鄉(xiāng)鎮(zhèn),各個(gè)鄉(xiāng)鎮(zhèn)出口為二層交換機(jī),鄉(xiāng)鎮(zhèn)終端的網(wǎng)關(guān)在F100上����。F100旁掛一臺(tái)服務(wù)器��,中間通過二層交換機(jī)互連�����。F100上連一臺(tái)其他廠商的AR路由器�,AR路由器作為服務(wù)器的網(wǎng)關(guān)并且通過外網(wǎng)連接市局。
現(xiàn)在各個(gè)鄉(xiāng)鎮(zhèn)的終端可以正常訪問市局服務(wù)器�,但是訪問不了本局的服務(wù)器。
(1)在防火墻查看鄉(xiāng)鎮(zhèn)終端以及本局服務(wù)器的ARP學(xué)習(xí)正常��,并且在防火墻上ping直連設(shè)備沒有問題�����。
(2)防火墻域間策略為全放通��。
(3)在本局的服務(wù)器上做ping測試��,通過dis session table ipv4 verbose查看會(huì)話��,發(fā)現(xiàn)從F100防火墻設(shè)備發(fā)出了5個(gè)ping包�,回應(yīng)為0個(gè)��。初步懷疑是鄉(xiāng)鎮(zhèn)終端有沒有正確配置網(wǎng)關(guān)����,讓其檢查終端設(shè)置。確認(rèn)鄉(xiāng)鎮(zhèn)終端配置無誤后,鄉(xiāng)鎮(zhèn)終端依舊ping不通本局服務(wù)器���,同時(shí)訪問市局服務(wù)器正常��。
(4)分析一下流量的經(jīng)過���,從鄉(xiāng)鎮(zhèn)的終端ping出來的包首先到達(dá)F100網(wǎng)關(guān),F(xiàn)100通過直連路由傳遞給本局服務(wù)器���。本局服務(wù)器的網(wǎng)關(guān)在AR路由器上���,AR路由器與F100之間的互連地址和F100與本局服務(wù)器互連地址為同一網(wǎng)段。由于本局服務(wù)器和鄉(xiāng)鎮(zhèn)終端屬于不同網(wǎng)段�,本局服務(wù)器在回應(yīng)的時(shí)候需要將報(bào)文先交給網(wǎng)關(guān)(AR路由器),然后AR路由器再查找路由表將報(bào)文送給防火墻���?�!?/p>
這就導(dǎo)致了流量來回路徑不一致��,對于F100防火墻來說:會(huì)話狀態(tài)機(jī)為嚴(yán)格模式�。在非對稱路徑網(wǎng)絡(luò)中�,需要將會(huì)話狀態(tài)機(jī)的模式配置為寬松模式���,可以避免設(shè)備異常丟包。
在防火墻上將配置會(huì)話狀態(tài)機(jī)為寬松模式:
[Sysname] session state-machine mode loose
當(dāng)終端經(jīng)過防火墻設(shè)備出現(xiàn)不通時(shí)�����,除了要注意域間策略外���,還需要關(guān)注流量的走向�。防火墻會(huì)話狀態(tài)機(jī)默認(rèn)為嚴(yán)格模式����,需要將其改為寬松模式���,可以避免設(shè)備異常丟包或無法正常通信�。
一般情況下�,不建議改為寬松模式,可以規(guī)范現(xiàn)場組網(wǎng)以及IP地址分配����。
