关于CBAC的2个问题

1988

一、
1 t9 x4 e' B! J' JCBAC ignores ICMP Unreachable messages.
: A) P% a8 Q0 H- W4 B6 w( [

% c* m4 o) D" i8 I! c/ i# X% k二、
4 Z" v. T5 I6 d8 F; U4 P, ]When you configure an inspect rule on both the ingress and egress interfaces and the protocol configured in the egress inspect rule is not present in the ingress inspect rule, the traffic in the egress direction is not inspected.


8 I1 v, [$ T( n( `! jHowever, the traffic is inspected on both the ingress and egress interfaces if
8 ~  `# i$ i8 k/ Y& ~& H1 xthe protocol is configured on both the ingress and egress interfaces and if the protocol is configured only on the egress interface.


2 ?5 {9 j( M. Q. N0 e4 [9 y9 ]上面这两段英文说的的是CBAC的什么，看得很纠结啊？


. B4 X& w4 F. w# \& K0 a0 }4 [) i
该贴已经同步到 1988的微博

顾心怡爱上大

1、CBAC忽视ICMP不可达报文。
8 S" f8 Z# O* }2、当你在接口的出方向和入方向都配置了一个检查规则，且在出方向检查规则中配置的协议没出现在入方向的检查规则中，那么在接口出方向含该协议的流量将不会被检查。
5 v8 M3 E# r4 Y( H/ u# v* @然而，如果协议在接口的出方向和入方向上都被配置或协议只在接口的出方向上被配置，那么含该协议的流量将在接口的出方向和入方向上被检查。

winddew

顶楼上的翻译！

1988

顾心怡爱上大 发表于 2012-11-5 16:32
1、CBAC忽视ICMP不可达报文。
& m. J& U5 Q# Z# S& |' s( n2、当你在接口的出方向和入方向都配置了一个检查规则，且在出方向检查规则中 ...

为什么，可否举例？

顾心怡爱上大

1988 发表于 2012-11-5 17:39
/ r! i% V& W7 l+ u9 U8 ?为什么，可否举例？

首先，我发现我之前的翻译有点问题，应把“接口的出方向/入方向”更正为“出方向/入方向接口”。
至于原因嘛，这是cisco的ios特性，你做下实验测试一下就知道了。
  v  }) Z( B" }* [我用dynamips模拟器（版本12.4(13a)）测试了一下，发现第一条CBAC忽视ICMP不可达报文这个特性不存在，因为我配的CBAC还是放行了icmp unreachable的报文。。。（可能是模拟器问题，真机可能不一样）
但第二条就完全符合了，我先在内网到外网的出方向接口挂上我的cbac发现完全能实现内网与外网通信，但同一协议由外网发起的就不能和内网通信了。。。而后我在入方向接口上挂上另一个cbac但规则中不包含刚才的协议，结果用刚才的协议突然无法和外网通信了。最后我在入方向接口的cbac上补上这个协议的检查规则，才使内网与外网的通信恢复。

1988

顾心怡爱上大 发表于 2012-11-6 19:28
: ?6 X: z: x5 I) J% k首先，我发现我之前的翻译有点问题，应把“接口的出方向/入方向”更正为“出方向/入方向接口”。
: b* r: j  S/ P5 S6 K1 k- T至于原 ...

在一台路由器上做如下配置：
- i* m5 o: y. d; X" w1 z5 g3 qip inspect name a telnet audit-trail on
ip inspect name b http audit-trail on
int f0/1
* y% \1 T* l! b: t! s- D( m/ H    ip inspect a in
7 V* X  W/ s6 b1 _* @) r    ip inspect b out

( e1 L2 k7 A6 K* ?上面这个配置，符合下面的要求：
（1）在接口的出方向和入方向都配置了检查规则
（2）在出方向监控的协议http没有出现在入方向的检查规则中

根据规则预测：http流量在f0/1接口出方向不会被检查。
实验结果表明：*Mar  1 00:38:03.839: %FW-6-SESS_AUDIT_TRAIL_START: Start http session: initiator (12.1.1.2:27363) -- responder (13.1.1.3:80)
8 j, k# A* [: r% \1 {检查了，与规则矛盾。

' Z* d* c: X/ q1 y& C同时该配置还符合下面的要求：
http协议只在接口的出方向上被配置
) Z/ c( z5 P! X4 E5 W& n& o

根据规则预测：http协议会在f0/1接口的2个方向上被检查
实验结果表明：仅在出站方向被检查。
! a+ ]+ L9 o# C2 n. W3 N

顾心怡爱上大

1988 发表于 2012-11-7 11:32
在一台路由器上做如下配置：
ip inspect name a telnet audit-trail on
- z/ d. b4 I' f! L7 u/ g/ yip inspect name b http audit- ...

我不是说过翻译纠正过了吗？不是“接口的出方向/入方向”而是“出方向/入方向接口”。算了，我重新翻译一下吧：
1、CBAC忽视ICMP不可达报文。
2、当你在出方向和入方向接口都配置了一个检查规则，且在出方向检查规则中配置的协议没出现在入方向的检查规则中，那么在出方向含该协议的流量将不会被检查。
# `' a8 [: m! h$ t+ z: X! a. b; F- g然而，如果协议在出方向和入方向接口上都被配置或协议只在出方向接口上被配置，那么含该协议的流量将在出方向和入方向上被检查。
  B' U" d4 X- l, P! Y) @# \. ]) C/ P
6 F6 s& G: f& H/ I) {  v你的实验应该做如下修改：
8 _2 S# I  n  z0 g(1)验证当你在出方向和入方向接口都配置了一个检查规则，且在出方向检查规则中配置的协议没出现在入方向的检查规则中，那么在出方向含该协议的流量将不会被检查：
ip inspect name a telnet audit-trail on
ip inspect name b http audit-trail on
! B% ?" L- u; _" {  g( U: \2 Kinterface FastEthernet0/1（外网接口/出方向接口）
ip inspect b out
- F; P4 z& C' `1 h- Winterface FastEthernet0/2（内网接口/入方向接口）
ip inspect a in
应当看到的实验现象：当从内网向外网发起HTTP连接时无法建立session。
5 @! S) {9 }- W. R
(2)验证如果协议在出方向和入方向接口上都被配置那么含该协议的流量将在出方向和入方向上被检查：
ip inspect name a telnet audit-trail on
/ r+ F! l0 q% P6 p2 fip inspect name a http audit-trail on
ip inspect name b http audit-trail on
6 @% c* X, X6 b# K; hinterface FastEthernet0/1（外网接口/出方向接口）
1 [7 z) a) q3 K& A; S- w/ h: }ip inspect b out
interface FastEthernet0/2（内网接口/入方向接口）
* F8 ^9 Y  q, J& Y* T& O: h- g* Mip inspect a in
应当看到的实验现象：当从内网向外网发起HTTP连接时能建立session。

: A" j$ l9 l) D6 \6 G8 `* X(3)验证如果协议只在出方向接口上被配置那么含该协议的流量将在出方向和入方向上被检查：
8 c- e& V0 Q' M8 Jip inspect name a http audit-trail on
5 D5 i  C. J% M# k$ I' finterface FastEthernet0/1（外网接口/出方向接口）
ip inspect a out
, k' c) e6 i0 W3 o" Z7 I# a5 q应当看到的实验现象：当从内网向外网发起HTTP连接时能建立session。

1988

顾心怡爱上大 发表于 2012-11-7 19:17
我不是说过翻译纠正过了吗？不是“接口的出方向/入方向”而是“出方向/入方向接口”。算了，我重新翻译一 ...

谢谢，我懂了。