设为首页收藏本站language 语言切换
开启辅助访问 切换到宽版

鸿鹄论坛

 找回密码
 论坛注册

QQ登录

先注册再绑定QQ

鸿鹄论坛»鸿鹄论坛 ≡□≡思科认证≡□≡ CCIE题库战报 个人分享区 关于CBAC的2个问题
返回列表 发新帖
查看: 2508|回复: 8
收起左侧

[其他] 关于CBAC的2个问题

[复制链接]
1988
发表于 2012-11-4 21:41:04 | 显示全部楼层 |阅读模式
一、: x4 x/ V3 P3 }- A' X& P' k
CBAC ignores ICMP Unreachable messages.
9 ?* w( H* ]( M  ?4 R; D- m" y
) R* p% ~1 m5 r- [
/ N; ?8 m3 ~: T) L2 v" |7 c1 ~0 K二、' N! t$ g0 Y# `0 B! ]. F
When you configure an inspect rule on both the ingress and egress interfaces and the protocol configured in the egress inspect rule is not present in the ingress inspect rule, the traffic in the egress direction is not inspected. ; H: A+ f, B% K

/ ^# Y7 j3 U' \% G4 \' b' Y2 r
However, the traffic is inspected on both the ingress and egress interfaces if* ^* ]& D% l  v9 F" E, C
the protocol is configured on both the ingress and egress interfaces and if the protocol is configured only on the egress interface.
- K! A2 e! T8 J& _4 `1 i: U
7 w0 u! h- T# n2 m7 q- Y# U3 U* ~0 L3 Y6 ?
上面这两段英文说的的是CBAC的什么,看得很纠结啊?* o* A) q, U( ]# N# p
. _3 [: s8 N4 d; ^1 f# c
1 L) o: v2 M- B3 \/ Q/ F+ Y

: {9 s+ O1 U; r! z/ I# J2 Q+ @) {
' H/ O2 C* H- h8 ^
                               
登录/注册后可看大图
该贴已经同步到 1988的微博
回复

使用道具 举报

顾心怡爱上大
发表于 2012-11-5 16:32:20 | 显示全部楼层
1、CBAC忽视ICMP不可达报文。3 D* u9 X8 @1 i$ s- l) J- \
2、当你在接口的出方向和入方向都配置了一个检查规则,且在出方向检查规则中配置的协议没出现在入方向的检查规则中,那么在接口出方向含该协议的流量将不会被检查。2 q" {2 }/ E  p
然而,如果协议在接口的出方向和入方向上都被配置或协议只在接口的出方向上被配置,那么含该协议的流量将在接口的出方向和入方向上被检查。
沙发 2012-11-5 16:32:20 回复 收起回复
回复 支持 反对

使用道具 举报

winddew
发表于 2012-11-5 17:36:24 | 显示全部楼层
顶楼上的翻译!
板凳 2012-11-5 17:36:24 回复 收起回复
回复 支持 反对

使用道具 举报

1988
 楼主| 发表于 2012-11-5 17:39:04 | 显示全部楼层
顾心怡爱上大 发表于 2012-11-5 16:32
/ d) R( p4 B# z$ Y
                               
登录/注册后可看大图
+ ~! s+ r- I( o
1、CBAC忽视ICMP不可达报文。
3 `5 X3 l5 D, z; @. W9 ]" E( c7 h: ~. v2、当你在接口的出方向和入方向都配置了一个检查规则,且在出方向检查规则中 ...
7 ?! ?: t8 j+ h# R5 G
为什么,可否举例?
地板 2012-11-5 17:39:04 回复 收起回复
回复 支持 反对

使用道具 举报

顾心怡爱上大
发表于 2012-11-6 19:28:05 | 显示全部楼层
1988 发表于 2012-11-5 17:39
3 _* E' f. ~. S, b/ M5 |& P
                               
登录/注册后可看大图
1 L+ L- E" t" r7 Y2 |. X
为什么,可否举例?

4 [. t& c: p% ]5 {% \/ d/ ]5 ^首先,我发现我之前的翻译有点问题,应把“接口的出方向/入方向”更正为“出方向/入方向接口”。; a/ s8 k. V' f
至于原因嘛,这是cisco的ios特性,你做下实验测试一下就知道了。
5 t- g7 C/ C( F  e+ T我用dynamips模拟器(版本12.4(13a))测试了一下,发现第一条CBAC忽视ICMP不可达报文这个特性不存在,因为我配的CBAC还是放行了icmp unreachable的报文。。。(可能是模拟器问题,真机可能不一样)
1 J' @3 w/ v: L( p% ]" o但第二条就完全符合了,我先在内网到外网的出方向接口挂上我的cbac发现完全能实现内网与外网通信,但同一协议由外网发起的就不能和内网通信了。。。而后我在入方向接口上挂上另一个cbac但规则中不包含刚才的协议,结果用刚才的协议突然无法和外网通信了。最后我在入方向接口的cbac上补上这个协议的检查规则,才使内网与外网的通信恢复。
5# 2012-11-6 19:28:05 回复 收起回复
回复 支持 反对

使用道具 举报

1988
 楼主| 发表于 2012-11-7 11:32:04 | 显示全部楼层
本帖最后由 1988 于 2012-11-7 11:43 编辑 / K( j9 k, R; d
顾心怡爱上大 发表于 2012-11-6 19:28
* m8 ~# D5 _0 a) b
                               
登录/注册后可看大图
/ j! R+ P9 U7 i- a% I7 C
首先,我发现我之前的翻译有点问题,应把“接口的出方向/入方向”更正为“出方向/入方向接口”。  ]) a& X0 j, j; o) I5 V
至于原 ...
  d  x2 x0 W1 B
在一台路由器上做如下配置:! M$ n3 _4 [  w
ip inspect name a telnet audit-trail on' J# v& z5 X( N; }% y5 W
ip inspect name b http audit-trail on
8 x* ?2 V/ Y4 aint f0/1
7 j  r  }1 s, |( J    ip inspect a in
1 x3 f8 I1 a$ s4 W/ e) J    ip inspect b out
* h3 F6 x! m. v, ?; M2 a" B5 N$ l) I6 c& ~% q% v  U
上面这个配置,符合下面的要求:
# ?+ ]4 U1 C6 A/ z0 N9 g" w/ i(1)在接口的出方向和入方向都配置了检查规则7 ^& B$ s* J. h$ X' [
(2)在出方向监控的协议http没有出现在入方向的检查规则中& {5 R; U2 F5 C: R8 y

) K5 ?4 T) d  w$ [" @根据规则预测:http流量在f0/1接口出方向不会被检查。8 t" r, _) Y7 o: v) ~4 D
实验结果表明:*Mar  1 00:38:03.839: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (12.1.1.2:27363) -- responder (13.1.1.3:80)
6 L3 _* {6 d: q) g8 y检查了,与规则矛盾。
7 }0 ^5 V2 O& c9 ^) }) S9 v4 }$ J0 X1 R4 K
同时该配置还符合下面的要求:. B3 R" `6 `7 r" R- h
http协议只在接口的出方向上被配置0 b) Y# l% [5 a, X

* I0 b2 [3 c4 h* m: z4 q7 z! ~8 ?8 F/ w. V5 U0 P, x2 z) R
根据规则预测:http协议会在f0/1接口的2个方向上被检查6 l$ F3 o% P& T
实验结果表明:仅在出站方向被检查。% C2 z: O8 T; n/ z  C+ a
6# 2012-11-7 11:32:04 回复 收起回复
回复 支持 反对

使用道具 举报

顾心怡爱上大
发表于 2012-11-7 19:17:55 | 显示全部楼层
1988 发表于 2012-11-7 11:32
2 b1 \5 u5 C% O. g
                               
登录/注册后可看大图

, o4 A( ?3 \# ?& Z6 v. a* @在一台路由器上做如下配置:: u5 y7 V" p% h2 @: e* O
ip inspect name a telnet audit-trail on3 D: r1 O2 k6 K' h$ @2 G5 U
ip inspect name b http audit- ...

2 Q+ f7 }7 U) M! f9 l我不是说过翻译纠正过了吗?不是“接口的出方向/入方向”而是“出方向/入方向接口”。算了,我重新翻译一下吧:0 X4 i* [$ _* N- X" U
1、CBAC忽视ICMP不可达报文。
; _# l, |3 t4 Z4 {2、当你在出方向和入方向接口都配置了一个检查规则,且在出方向检查规则中配置的协议没出现在入方向的检查规则中,那么在出方向含该协议的流量将不会被检查。
2 p8 j0 b; d0 I/ I) b2 J7 v然而,如果协议在出方向和入方向接口上都被配置或协议只在出方向接口上被配置,那么含该协议的流量将在出方向和入方向上被检查。
( d. ^) r8 j8 h* W2 a" j* l# s- g+ a+ M. G) L6 p2 l6 f; {
你的实验应该做如下修改:$ D$ ^# [4 n8 W, }: k, @* I1 J6 y5 J
(1)验证当你在出方向和入方向接口都配置了一个检查规则,且在出方向检查规则中配置的协议没出现在入方向的检查规则中,那么在出方向含该协议的流量将不会被检查:
) ]  n  k: k. J0 }. k( f4 V4 Uip inspect name a telnet audit-trail on
9 r0 s$ u& f7 i- m. b! S, tip inspect name b http audit-trail on! j0 j* ~! g* r% i
interface FastEthernet0/1(外网接口/出方向接口)9 @, c$ W2 K  I: [+ \9 u+ p$ l
ip inspect b out0 y8 Y3 n7 X3 Z+ \# {3 l/ v, C: T$ t( B
interface FastEthernet0/2(内网接口/入方向接口)" @4 f' z2 L) e- o7 Q% [. L" J& y  g
ip inspect a in3 \; r1 q6 [: |' a8 s
应当看到的实验现象:当从内网向外网发起HTTP连接时无法建立session。
! B- Y* J; P8 q" O# [7 ^& y( O
! i  X, K2 o2 d. N, C(2)验证如果协议在出方向和入方向接口上都被配置那么含该协议的流量将在出方向和入方向上被检查:4 k: u2 }5 J' Z8 o8 J9 W" B6 J" ~
ip inspect name a telnet audit-trail on
; h  q8 ]0 z+ K% Y$ k# ?3 Fip inspect name a http audit-trail on6 j" Y0 s4 y* j. v/ K
ip inspect name b http audit-trail on5 c8 S. B- B% F3 i
interface FastEthernet0/1(外网接口/出方向接口)5 T* A* H5 _+ t) {! z
ip inspect b out; z& I3 z. E) L! X, N  N: b
interface FastEthernet0/2(内网接口/入方向接口)
+ ?/ j  ^4 r$ I+ X: y/ j- Oip inspect a in) V) B1 N; J4 }+ \" B
应当看到的实验现象:当从内网向外网发起HTTP连接时能建立session。
1 k$ j8 \2 `& w$ Z) g" K  s7 ~' j/ E  W- E1 |
(3)验证如果协议只在出方向接口上被配置那么含该协议的流量将在出方向和入方向上被检查:- U' p1 r  ?0 x
ip inspect name a http audit-trail on. M  l( I0 m& f/ I
interface FastEthernet0/1(外网接口/出方向接口)
% U- e0 b* z  @+ C$ K( aip inspect a out1 a" d5 V9 _: M( C6 m( b' k
应当看到的实验现象:当从内网向外网发起HTTP连接时能建立session。
7# 2012-11-7 19:17:55 回复 收起回复
回复 支持 反对

使用道具 举报

1988
 楼主| 发表于 2012-11-7 21:45:21 | 显示全部楼层
顾心怡爱上大 发表于 2012-11-7 19:17
# Q5 U% f+ l' m: L% e
                               
登录/注册后可看大图

. z( X8 }6 A9 w$ y6 i( v+ c) y/ U我不是说过翻译纠正过了吗?不是“接口的出方向/入方向”而是“出方向/入方向接口”。算了,我重新翻译一 ...
; ~0 h, }" k' {
谢谢,我懂了。
8# 2012-11-7 21:45:21 回复 收起回复
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 论坛注册

本版积分规则

QQ|Archiver|手机版|小黑屋|sitemap|鸿鹄论坛 ( 京ICP备14027439号 )  

GMT+8, 2025-2-3 13:09 , Processed in 0.056991 second(s), 12 queries , Redis On.  

  Powered by Discuz!

  © 2001-2025 HH010.COM

快速回复 返回顶部 返回列表