+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
張賀,多年互聯網行業工作經驗,擔任過網絡工程師、系統集成工程師、LINUX系統運維工程師
個人網站:www.zhanghehe.cn
筆者微信:zhanghe15069028807,現居濟南歷下區
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
由於防火牆默認規則導致ospf無法正常建立鄰接關系
無論是哪家廠商的防火牆,配置思路都是一樣的,而且還有一點相同,都會分成幾個區域,我們拿結為防火牆來舉例子,默認分成三個區域:信任區(級別85),dmz(級別50)、,untrust(5),local(100),高區域級別的主機可以與低區域級別通信,反過來就不行了,就是因為這個特性,有時候會給我們帶來一些困擾,別問我是怎么知道的……
網絡中的一些業務需要經過防火牆轉發,還有一些業務是需要防火牆自身參與其中,例如管理員會登錄到防火牆上進行管理,分公司的人需要與防火牆建立VPN連接,防火牆和路由器之間會運行OSPF路由協議,這些業務想 要正常運行就必須在防火牆配置相應的安全策略,允許local區域接收各個業務的報文,具體來講,就是要在防火牆的local安全區域與業務使用的接口所在的安全區域之間配置安全策略。
默認情況下,防火牆上沒有開啟GE01/01接口所在untrust區域和local區域的安全策略,這兩個區域默認不允許單播報文通過,這會有什么后果呢?
后果就是防火牆的GE1/0/1接口和router1的GE0/0/1接口無法建立鄰接關系,通過dis ospf peer查看,發現雙方關系卡在exstart就不動了!
為什么?因為ospf在exstart狀態的時候要交互DD報文,這個報文是單播的,需要防火牆的local區域和untrust區域設定規則允許通過,現在沒有設置這個策略,於是就卡在exstart狀態了,這個在我工作之初,困擾了我好幾天的時間……,說多了都是淚
如果你在防火牆上通過dis firewall statistic system discarded查看丟包信息會發現丟棄了好多包,那應該怎么做呢?配置兩個策略,將untrust到local區域的input和output都允許了,就可以了。
綜上所述,我們需要在防火牆上開啟運行OSPF協議的接口所在的安全區域和local區域之間的安全策略,允許OSPF報文通過,這樣防火牆才能和相連的設備正常建立鄰接關系,而組播報文不受安全策略控制,也就不需要配置相應的安全策略。