目录
前言
在网络维护过程中,大家可能时常会碰到一些“奇怪”的问题,其实,许多问题只 要深入挖掘、仔细分析,是能够找到科学及合理的解释的。有这么一个小问题相信不少 读者曾经遇到过:“A能ping通B,但是B无法ping通A”。
“A能ping通B,但是B无法ping通A”的一个典型场景是在防火墙组网中位于两 个不同安全区域(Security Zone)的主机构成的拓扑。在图1・13所示的网络中存在一台 防火墙,PC1及PC2分别处于防火墙的两个不同安全区域中。PC1位于安全级别较高的 可信赖区域(Trust),而PC2则位于安全级别较低的非可信赖区域(Untrust),为了保证 Trust区域内PC的安全,可在防火墙上部署安全策略,允许Trust区域内的PC主动向 Untrust区域内的PC发起访问,反之则禁止。因此在这个环境中,当PC1主动访问PC2 时,去程流量能够被防火墙检测通过并放行(因为安全策略允许了这些流量),而PC1 访问PC2后所触发的、PC2发送的回程流量,也能够被防火墙放行,因此在这个场景中, PC1是能够ping通PC2的。然而PC2是无法主动向PC1发起访问的,换句话说,PC2 是无法ping通PC1的。PC2主动访问PC1时所产生的流量由于不被防火墙的安全策略所允许,因此将被防火墙直接丢弃。读者可能会有疑惑:为什么PC2响应PC1的访问时 所产生的回程流量能够被防火墙放行,而PC2主动访问PC1的流量则无法穿越防火墙? 流量的方向同样是从Untrust区域到Trust区域,为什么会区别对待?实际上这与防火墙 的工作机制有关,目前行业中多数的防火墙都是状态化防火墙,当一个会话的首包顺利 通过防火墙的安全检查并被其转发时,防火墙会为该会话动态地产生一个状态化信息 会话表项(Session Table Entry),该表项包含着这个会话的五元组信息(源IP地址、 目的IP地址、协议类型、源端口号及目的端口号),而回程流量由于拥有相匹配的五元组信息,因此防火墙根据会话表项的查询判断出该流量为一个已知会话的回程流量,于是将其放行,如图所示。而PC2主动访问PC1时,防火墙查询会话表后发现并无相匹配的表项,而且安全策略又禁止了这些流量,因此PC2主动发往PC1的流量被丢弃, 这就是PC2无法ping通PC1的原因。
除了防火墙组网经常容易出现“A能ping通B,但是B无法ping通A”的现象(当 然在防火墙组网中,这是正常现象,也是符合业务需求的现象)外,纯路由器组网也可 能会遇到类似的现象。在图中,网络管理员在R1上使用ping 1.1.1.1命令测试到 PC的可达性时,发现结果是成功的,但是从PC却无法ping通R1的接口地址10.1.12.1 。网络故障定位能力是一个网络从业人员必备的基本素质,在面对网络中出现的故障时, 最重要的是要有清晰的思路。
拓扑图
使用ENSP软件制作的拓扑图与上图的基本一致:
尝试在PC使用tracert 10.1.12.1命令测试一下:
我们发现只有第一跳设备即R5做了回应,因此需进一步检查网络中相关设备的路 由表。首先PC将默认网关设置为1.1.1.254,当PC ping 10.1.12.1时,其产生的ICMP Request报文的源IP地址为1.1.1.1,而目的IP地址为10.1.12.1,这个报文首先是被发往 PC的默认网关R5,而R5则通过在自己的路由表中查询到达10.1.12.1的路由来确定如何转发这个报文,在R5的路由表中存在如下路由:
那么,当R5收到去往10.1.12.1的报文时,会将其转发给R3O而网络管理员检查R3的路由表后发现,R3并没有到达目的网段的路由,因此报文在R3处被丢弃。这就是 PC无法ping通R1的原因。但是为何反过来,R1却能ping通PC呢?对于R1而言,有 两个接口连接到了这个网络,这两个接口的IP地址分别是10.1.12.1/24及10.1.14.1/24, 那么当R1 ping PC时,使用的源IP地址究竟是哪一个?实际上,在R1上执行ping 1.1.1.1 命令时,它所产生的ICMP Request报文的源IP地址缺省即该报文的出接口的IP地址, 也就是说,这个ICMP Request报文从哪个接口发出,缺省其源IP地址即该接口的IP地址。而R1是依据其路由表来决定将到达1.1.1.1的ICMP Request报文从哪个接口发出。
在R1的路由表中,网络管理员发现存在一条到达1.1.1.0/24的静态路由:
因此当R1 ping PC时,其产生的ICMP Request报文的源IP地址为10.1.14.1。而PC 在回应这个ICMP Request报文时,所产生的ICMP Reply报文的源IP地址为1.1.1.1,目 的IP地址为10.1.14.1。
报文的传输路径如图
由于处于该转发路径上的路由器都拥有到达目的网段的路由,因此R1可以ping通 PC。所以看似简单的A访问B, B访问A,实际上报文的源IP地址及目的IP地址是不 同的,转发路径也是不同的。
这里的话,使用静态路由即可。相关的配置如下:
R1的配置
#
sysname R1
#
interface GigabitEthernet0/0/1
ip address 10.1.12.1 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.14.1 255.255.255.0
#
ip route-static 1.1.1.0 255.255.255.0 10.1.12.4
ip route-static 1.1.1.0 255.255.255.0 10.1.14.4 preference 80
ip route-static 10.1.16.0 255.255.255.0 10.1.12.4
ip route-static 10.1.18.0 255.255.255.0 10.1.14.4
ip route-static 10.1.35.0 255.255.255.0 10.1.12.4
R2的配置
#
sysname R2
#
interface GigabitEthernet0/0/1
ip address 10.1.12.4 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.16.1 255.255.255.0
#
ip route-static 1.1.1.0 255.255.255.0 10.1.16.4
ip route-static 10.1.14.0 255.255.255.0 10.1.12.1
ip route-static 10.1.18.0 255.255.255.0 10.1.12.1
ip route-static 10.1.35.0 255.255.255.0 10.1.16.4
R3的配置
#
sysname R3
#
interface GigabitEthernet0/0/0
ip address 10.1.35.3 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 10.1.16.4 255.255.255.0
#
ip route-static 1.1.1.0 255.255.255.0 10.1.35.4
ip route-static 10.1.12.0 255.255.255.0 10.1.16.1
ip route-static 10.1.14.0 255.255.255.0 10.1.16.1
ip route-static 10.1.18.0 255.255.255.0 10.1.35.4
R4的配置
#
sysname R4
#
interface GigabitEthernet0/0/2
ip address 10.1.14.4 255.255.255.0
#
interface GigabitEthernet0/0/3
ip address 10.1.18.1 255.255.255.0
#
ip route-static 1.1.1.0 255.255.255.0 10.1.18.4
ip route-static 10.1.12.0 255.255.255.0 10.1.14.1
ip route-static 10.1.16.0 255.255.255.0 10.1.14.1
ip route-static 10.1.35.0 255.255.255.0 10.1.18.4
R5的配置
#
sysname R5
#
interface Ethernet0/0/1
ip address 1.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 10.1.35.4 255.255.255.0
#
interface GigabitEthernet0/0/3
ip address 10.1.18.4 255.255.255.0
#
ip route-static 10.1.12.0 255.255.255.0 10.1.35.3
ip route-static 10.1.14.0 255.255.255.0 10.1.18.1
ip route-static 10.1.16.0 255.255.255.0 10.1.35.3
PC1的配置
希望我的文章,可以对你有所帮助。
扫一扫
5205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
