我目前正在修改互联网到达我的前端服务器的过程,我对现有的一个堆栈有一个奇怪的问题。
在服务器上面有一个物理防火墙,如果我使用这个防火墙,我开始在整个子网上接收数据包丢失,如果我使用wireshark,我可以看到ARP请求,但是我仍然会丢失数据包。 第二我把这个防火墙拿出来,问题消失了。 如果我绕过防火墙直接到前端服务器,我仍然没有得到任何问题。
所有这一切使我相信我的configuration一定有什么问题,但我看不到我的生活:
interface ethernet0 100full interface ethernet1 100full interface ethernet2 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 enable password ************ encrypted passwd ************ encrypted hostname sbc-cfw-02 fixup protocol dns maximum-length 512 no fixup protocol ftp 21 no fixup protocol h323 h225 1720 no fixup protocol h323 ras 1718-1719 fixup protocol http 80 no fixup protocol rsh 514 no fixup protocol rtsp 554 no fixup protocol sip 5060 no fixup protocol sip udp 5060 no fixup protocol skinny 2000 no fixup protocol smtp 25 no fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 10.17.2.0 as-net name 10.17.2.1 sbc-fw-02-E1 name 10.17.2.2 sbc-as-01-E0 name 10.150.0.0 fe-net name 10.150.0.221 sbc-fe-01-E1 name 10.150.0.222 sbc-fw-02-E0 name 10.150.0.223 sbc-as-01-nat object-group service webstuff tcp port-object eq www port-object eq https port-object eq 8888 access-list inside_access_in permit icmp any any access-list inside_access_in permit ip any any access-list inside_access_in permit tcp any any access-list inside_access_in permit udp any any access-list inside_access_in permit tcp any host sbc-as-01-nat access-list acl-web permit icmp any any access-list acl-web permit tcp any any access-list acl-web permit tcp any any object-group webstuff access-list acl-web permit tcp any host sbc-as-01-nat eq ssh pager lines 24 icmp permit any outside icmp permit any inside mtu outside 1500 mtu inside 1500 mtu intf2 1500 ip address outside sbc-fw-02-E0 255.255.255.0 ip address inside sbc-fw-02-E1 255.255.255.0 no ip address intf2 ip audit info action alarm ip audit attack action alarm pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 10.150.0.1-10.150.0.210 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) sbc-as-01-nat sbc-as-01-E0 netmask 255.255.255.255 0 0 access-group acl-web in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 10.150.0.27 1 route outside 10.0.0.0 255.255.255.0 10.150.0.12 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 前端Web服务器(sbc-as-01)位于10.17.2.0范围内,有问题的一侧是10.150.0。*子网。
如果您需要更多信息,请与我们联系!
机会是相当不错的,你有一个(或两个)这些链接不匹配的速度/双工设置…
interface ethernet0 100full interface ethernet1 100full
几乎所有的以太网接口默认为自动协商。 如果您在这些防火墙接口上configuration了手动速度/双工,则另一方的自动协商将失败(通常回落到100)。 不匹配的双工导致冲突(并因此丢失数据包)。 只需删除思科的手动速度/双工设置…
现在没有什么好的理由来硬编码速度/双工。 在autoneg的早期,它不是很规范, 然而,那些日子早已逝去。