【文章內容簡介】 反過來從 PCA能 ping通 PCB，不能 ping通 PCC和 PCD。 Router A Router B Router C Router D PCD PCC PCB PCA 29 IPSec和 IKE故障案例分析（六） ?原因分析 ?由于 ACL配置的數(shù)據(jù)流為允許所有數(shù)據(jù)包通過 ?從 PCA到 PCC和從 PCA到 PCD的數(shù)據(jù)流都被匹配到從 PCA到 PCB的數(shù)據(jù)流中 ?處理過程 ?把 RouterA上的允許所有數(shù)據(jù)包通過改為拒絕。 ?[RouterAacl3001] rule deny ip source any destination any ?[RouterAacl3002] rule deny ip source any destination any ?[RouterAacl3003] rule deny ip source any destination any ? IPSec和 IKE故障排除 ? 包過濾防火墻故障排除 ? L2TP故障排除 ? GRE故障排除 ? DCC、 ISDN故障排除 目錄 31 包過濾防火墻故障排除綜述 ? 包過濾防火墻知識簡介 ? 包過濾防火墻故障排除的一般步驟 ? display、 debugging命令介紹 ? 故障案例分析 32 包過濾防火墻知識簡介 ? 防火墻概述 ? 包過濾和訪問控制列表概述 ? 構建包過濾防火墻應用的基本方法 ? 配置訪問控制列表的基本方法 ? 其他相關問題 Ether Ether Inbound Server 1 PC 1 PC 2 Server 2 Interface1 Interface2 Interface2 Interface1 Inbound Outbound Outbound Connection 1 Connection 2 33 包過濾防火墻知識簡介 ? 其他相關問題 ?配置多條規(guī)則時，某條規(guī)則被匹配則立刻停止后續(xù)規(guī)則查找 ?訪問控制列表缺省情況下采用 “深度優(yōu)先”的規(guī)則進行自動排序，當使用了 acl number accesslistnumber matchorder config命令時，則按照輸入順序進行排序 ?訪問控制列表定義網絡范圍采用 “通配位”（即反掩碼形式），它和掩碼正好相反，在使用的時候注意這種差別 ?支持默認過濾規(guī)則，默認為允許轉發(fā)，并可以通過命令 firewall default命令靈活修改默認值 34 包過濾防火墻故障排除的一般步驟 ?防火墻故障排除的一般步驟 ?display firewallstatistics ?是否使能防火墻功能 firewall enable ?debugging ip packet ?debugging firewall ?訪問控制列表故障排除的一般步驟 ?display acl ?繪制拓撲圖，查看防火墻實施的方向和連接是否對應 ?檢查 TCP/UDP端口的方向 ?檢查訪問控制列表的通配位是否正確 35 display、 debugging命令介紹 ? display acl [ all | accesslistnumber | interface type number ] ? display firewallstatistics all Firewall is enable, default filtering method is 39。permit39。. Interface: Ether1/0 Inbound Policy: acl 3000 輸入 /輸出報文被允許通過和被拒絕的數(shù)目統(tǒng)計 ? [ undo ] debugging firewall { all | icmp | tcp | udp | fragmentsinspect | others } [ interface type number ] 36 包過濾防火墻故障案例分析（一） ? 訪問控制策略錯誤導致防火墻失效 ? 配置防火墻，要求只有 PC2可通過 FTP訪問內部網中的 FTP服務器，并且只有內網中的 PC1可以訪問 Inter網絡上的 WWW服務器。 ? 配置完后 ,發(fā)現(xiàn)從 PC2訪問 FTP Server不能成功， PC1不能訪問 WWW Server。 Ether FTP Server PC1 PC2 Ser0/0 Eth1/0 WWW Server 37 包過濾防火墻故障案例分析（一） ? 原因分析 ? 在 Serial0/0入方向上源地址為 、源端口為 80的報文被拒絕了，說明序號為 3000的規(guī)則拒絕了 HTTP訪問的返回報文。 ? 在 Serial0/0的出口方向上源地址為 、源端口為 21的報文被拒絕了，說明序號為 3001的規(guī)則拒絕了 FTP訪問的返回報文 。 ? 處理過程 ? [H3Cacladv3000] rule permit tcp source sourceport eq destination ? [H3Cacladv3001] rule permit tcp source sourceport eq ftp destination ? [H3Cacladv3001] rule permit tcp source sourceport eq ftpdata destination ? [H3Cacladv3000] rule permit tcp source destination destinationport eq ftpdata 38 包過濾防火墻故障案例分析（二） ? 忽略其他信息使防火墻不通： ?RTA啟動防火墻，要求只有 PC2可以訪問 PC1，PC1不能訪問 PC2 。配置完后，從 PC2可以訪問 PC1，但是一段時間后 PC2不能訪問 PC1。 Ether PC1 PC2 E0/0 Ether RTA RTB 39 包過濾防火墻故障案例分析（二） ?原因分析 ?開始可以 ping通，一段時間之后不通 ?關閉防火墻后能夠 ping通 ?說明與防火墻有關，檢查發(fā)現(xiàn)動態(tài)路由協(xié)議的數(shù)據(jù)包也被禁止 ?處理過程 ?從原因分析可以得出，修改 ACL規(guī)則，允許 RIP協(xié)議數(shù)據(jù)包通過即可 ?[RTAacladv3002] rule permit udp source any destination any ? IPSec和 IKE故障排除 ? 包過濾防火墻故障排除 ? L2TP故障排除 ? GRE故障排除 ? DCC、 ISDN故障排除 目錄 41 L2TP故障排除綜述 ? L2TP知識簡介 ? L2TP功能和性能的常見問題 ? L2TP故障排除的一般步驟 ? 與 L2TP故障相關的 display、 debugging命令介紹 ? L2TP故障案例分析 42 L2TP知識簡介 VPDN概述 ? Virtual Private Dial Network隧道協(xié)議包括 PPTP、L2F和 L2TP三種，目前最廣泛使用的是 L2TP。 ? L2TP（ Layer 2 Tunneling Protocol ）成為 IETF有關二層隧道協(xié)議的工業(yè)標準。 ? L2TP Access Concentrator ? L2TP Network Server PSTN/ISDN LAC Inter LNS Branch Inner S