華為防火墻鏈路狀態檢測功能實驗
場景:client訪問webserver時,前往webserver的流量走路由器直接到達webserver,返回的流量先到達路由器,然後通過策略路由,將webserver回應給客戶端的流量重定向給防火墻,然後從防火墻再到路由器,最後到達
路由器所有接口的地址均為254。
路由器策略路由配置:
acl number 3000
rule 5 permit icmp destination 192.168.0.0 0.0.0.255
rule 10 permit tcp destination 192.168.0.0 0.0.0.255
rule 15 permit ip destination 192.168.0.0 0.0.0.255
policy-based-route aa permit node 10
if-match acl 3000
apply ip-address next-hop 172.16.1.1
interface GigabitEthernet0/0/1
ip address 172.16.0.254 255.255.255.0
ip policy-based-route aa
防火墻配置:
interface GigabitEthernet0/0/1
ip address 172.16.1.1 255.255.255.0
interface GigabitEthernet0/0/3
ip address 172.16.2.1 255.255.255.0
firewall zone trust
add interface GigabitEthernet0/0/3
firewall zone untrust
add interface GigabitEthernet0/0/1
配置untrust到達
policy interzone trust untrust inbound
policy 1
action permit
policy service service-set tcp
policy destination 192.168.0.0 mask 255.255.255.0
配置到達client的路由
ip route-static 192.168.0.0 255.255.255.0 172.16.2.254
測試,當鏈路狀態檢測功能開啟狀態時,用client訪問webserver,流量無法返回
關閉防火墻鏈路狀態檢測
undo firewall session link-state check
再次測試
[SRG]display firewall session table verbose
15:40:16 2017/11/15
Current Total Sessions : 2
tcp VPN:public --> public
Zone: untrust--> trust TTL: 00:00:10 Left: 00:00:02
Interface: GigabitEthernet0/0/3 NextHop: 172.16.2.254 MAC: 54-89-98-fe-41-5f
<--packets:0 bytes:0 -->packets:4 bytes:465
172.16.0.1:80-->192.168.0.1:2071
tcp VPN:public --> public
Zone: untrust--> trust TTL: 00:10:00 Left: 00:09:52
Interface: GigabitEthernet0/0/3 NextHop: 172.16.2.254 MAC: 54-89-98-fe-41-5f
<--packets:0 bytes:0 -->packets:3 bytes:425
172.16.0.1:80-->192.168.0.1:2072
總結:
協議 開啟狀態檢測功能 關閉狀態檢測功能
TCP SYN報文 創建會話,轉發報文 創建會話,轉發報文
SYN+ACK,ACK報文 不創建會話,丟棄報文 不創建會話,丟棄報文
UDP 創建會話,轉發報文 創建會話,轉發報文
ping回顯請求報文 創建會話,轉發報文 創建會話,轉發報文
ICMP ping回顯應答報文 不創建會話,丟棄報文 創建會話,轉發報文
其他ICMP報文 不創建會話,丟棄報文 不創建會話,丟棄報文
本文出自 “1443735” 博客,請務必保留此出處http://1453735.blog.51cto.com/1443735/1983425
華為防火墻鏈路狀態檢測功能實驗