通信人家园
标题:
[转贴]流定义顺序对于黑名单生效情况经典案例
[查看完整版帖子]
[打印本页]
时间:
2020-11-6 17:11
作者:
公子大白和小白
标题:
[转贴]流定义顺序对于黑名单生效情况经典案例
本帖最后由 公子大白和小白 于 2020-11-6 17:22 编辑
1、故障现象
PC1 和 PC2 通过 DPX 进行三层转发,FW-BLADE 为在线转发板,IPS-BLADE为透明串接板,gige2_0 流定义为在线转发+透明串接,gige2_1 为在线转发。IPS 板卡上开启了黑名单功能。只将PC1 的IP 1.1.1.2 加入到黑名单当中后,PC1 和PC2 不能互通,且PC1 无法访问 DPX;只将 PC2 的 IP 加入到黑名单当中后,PC1 和 PC2 不能互通,但 PC2 能访问DPX。为什么PC1 不能访问DPX 而PC2 可以访问DPX?
2、问题分析
1)gige2_0 是透明串接+在线转发模式流定义,所以 PC1 加入黑名单后访问DPX的时候icmp request 先过IPS 板卡再过FW 板卡,透明串接板的报文通过接口对转发,访问本机的报文只能由在线转发板送往主控。而黑名单的生效位置是在IPS 板卡上,所以报文直接在IPS 板卡被阻断,无法上送到主控,也就不能访问DPX。
2)gige2_1 是在线转发模式流定义,PC2 在加入黑名单后访问 DPX 的时候 icmp request 先经过 FW 板卡,查路由为本机报文,直接上送主控,不会经过IPS 板卡,所以不会被阻断。
3、解决方案
此为流定义机制导致的,且PC1 加入黑名单后即为不可信终端,不允许访问设备也属于正常情况。
4、总结
1)流定义到透明串接板和在线透明板的接口,设备会自动生成一对接口对,从该接口对的某个接口进入的报文会直接从另一个接口送出,对于访问设备本身的流量无法从透明板上直接送到主控。
2)在线转发板可以将访问本机的报文上送主控。因为查路由转发发现是访问本机的工作是由在线转发板完成的。
3)对于多板卡混插的情况需要搞清楚设备开启的功能是在哪个板卡上生效,根据流定义分析报文在设备的板卡之间如何转发,才能使我们更快的解决问题。
附件:
zw.jpg
(2020-11-6 17:06, 60.32 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYxNjg2fGI2MmU5NWJhfDE3MTUyNDY0NjR8MHww
附件:
zw.jpg
(2020-11-6 17:07, 60.32 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NDYxNjg3fDM0YmNkOTUzfDE3MTUyNDY0NjR8MHww
通信人家园 (https://www.txrjy.com/)
Powered by C114
附件: zw.jpg (2020-11-6 17:06, 60.32 KB) / 下载次数 0附件: zw.jpg (2020-11-6 17:07, 60.32 KB) / 下载次数 0