文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >跨多个VLANs ASA复制通信量

跨多个VLANs ASA复制通信量
EN

Network Engineering用户
提问于 2017-08-31 15:31:54
回答 2查看 133关注 0票数 1

有一个开关连接到FW通过一个后备箱。FW上的接收接口是一个PO,为主干上的每个VLAN提供子is。我们想要跟踪VLAN 306 / SEC_Data上的流,离开VLAN 307 / SEC_TELEPHONY,数据包追踪器验证这些是实际的输入/输出if's。有了这些信息,我们在if's上设置了一个捕获(分别映射到VLAN 306和307 )。结果是,我们在两个接口上捕获相同的流。我不确定这是否是ASA捕获逻辑问题,或者如果不是,这怎么可能..

流量模式

SRC - 10.97.48.188

DST - 10.97.85.11

1099

接口设置

代码语言:javascript
复制
Port-channel2.306        SEC_Data               10.97.48.1      255.255.240.0   manual
Port-channel2.307        SEC_TELEPHONY          10.97.80.1      255.255.240.0   manual

数据包跟踪器验证输入/输出if的

代码语言:javascript
复制
packet-tracer input SEC_Data tcp 10.97.48.188 1024 10.97.63.33 1099 det
Result:
input-interface: SEC_Data
input-status: up
input-line-status: up
output-interface: SEC_TELEPHONY
output-status: up
output-line-status: up
Action: allow

捕获字符串

代码语言:javascript
复制
capture test2 type raw-data interface SEC_Data [Capturing - 0 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 
capture sectel type raw-data interface SEC_TELEPHONY [Capturing - 0 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099

捕获结果

代码语言:javascript
复制
capture test2 type raw-data interface SEC_Data [Capturing - 1728 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 
capture sectel type raw-data interface SEC_TELEPHONY [Capturing - 1728 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 

NY-CORE-FW1# sh cap test2

16 packets captured

   1: 15:33:30.311751       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: S 1531525431:1531525431(0) win 29200 <mss 1460,sackOK,timestamp 3343832270 0,nop,wscale 7> 
   2: 15:33:30.311888       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: S 4154378133:4154378133(0) ack 1531525432 win 14480 <mss 1380,sackOK,timestamp 1852592717 3343832270,nop,wscale 7> 
   3: 15:33:30.312193       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 4154378134 win 229 <nop,nop,timestamp 3343832271 1852592717> 
   4: 15:33:30.343274       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525432:1531525439(7) ack 4154378134 win 229 <nop,nop,timestamp 3343832302 1852592717> 
   5: 15:33:30.343335       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 1531525439 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   6: 15:33:30.343427       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 4154378134:4154378153(19) ack 1531525439 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   7: 15:33:30.343610       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 4154378153 win 229 <nop,nop,timestamp 3343832302 1852592749> 
   8: 15:33:30.344281       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525439:1531525457(18) ack 4154378153 win 229 <nop,nop,timestamp 3343832303 1852592749> 
   9: 15:33:30.344357       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525457:1531525507(50) ack 4154378153 win 229 <nop,nop,timestamp 3343832303 1852592749> 
  10: 15:33:30.344418       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 1531525507 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  11: 15:33:30.344556       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 4154378153:4154378380(227) ack 1531525507 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  12: 15:33:30.372371       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525507:1531525522(15) ack 4154378380 win 237 <nop,nop,timestamp 3343832331 1852592750> 
  13: 15:33:30.412316       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 1531525522 win 114 <nop,nop,timestamp 1852592818 3343832331> 
  14: 15:33:45.374126       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: F 1531525522:1531525522(0) ack 4154378380 win 237 <nop,nop,timestamp 3343847332 1852592818> 
  15: 15:33:45.374492       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: F 4154378380:4154378380(0) ack 1531525523 win 114 <nop,nop,timestamp 1852607779 3343847332> 
  16: 15:33:45.374766       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 4154378381 win 237 <nop,nop,timestamp 3343847333 1852607779> 
16 packets shown
NY-CORE-FW1# sh cap sectel

16 packets captured

   1: 15:33:30.311797       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: S 3575611247:3575611247(0) win 29200 <mss 1380,sackOK,timestamp 3343832270 0,nop,wscale 7> 
   2: 15:33:30.311888       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: S 3333267844:3333267844(0) ack 3575611248 win 14480 <mss 1460,sackOK,timestamp 1852592717 3343832270,nop,wscale 7> 
   3: 15:33:30.312209       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 3333267845 win 229 <nop,nop,timestamp 3343832271 1852592717> 
   4: 15:33:30.343289       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611248:3575611255(7) ack 3333267845 win 229 <nop,nop,timestamp 3343832302 1852592717> 
   5: 15:33:30.343335       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 3575611255 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   6: 15:33:30.343411       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 3333267845:3333267864(19) ack 3575611255 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   7: 15:33:30.343625       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 3333267864 win 229 <nop,nop,timestamp 3343832302 1852592749> 
   8: 15:33:30.344281       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611255:3575611273(18) ack 3333267864 win 229 <nop,nop,timestamp 3343832303 1852592749> 
   9: 15:33:30.344373       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611273:3575611323(50) ack 3333267864 win 229 <nop,nop,timestamp 3343832303 1852592749> 
  10: 15:33:30.344418       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 3575611323 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  11: 15:33:30.344556       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 3333267864:3333268091(227) ack 3575611323 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  12: 15:33:30.372386       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611323:3575611338(15) ack 3333268091 win 237 <nop,nop,timestamp 3343832331 1852592750> 
  13: 15:33:30.412316       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 3575611338 win 114 <nop,nop,timestamp 1852592818 3343832331> 
  14: 15:33:45.374141       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: F 3575611338:3575611338(0) ack 3333268091 win 237 <nop,nop,timestamp 3343847332 1852592818> 
  15: 15:33:45.374492       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: F 3333268091:3333268091(0) ack 3575611339 win 114 <nop,nop,timestamp 1852607779 3343847332> 
  16: 15:33:45.374766       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 3333268092 win 237 <nop,nop,timestamp 3343847333 1852607779> 
16 packets shown
cisco-asa
EN

回答 2

Network Engineering用户

回答已采纳

发布于 2017-09-02 14:59:57

在我看来,它更多的是关于“作为捕获逻辑问题”,而不是“跨多个VLAN复制的流量”。

我告诉你更多:

  1. 虽然我们交换了源主机和目标主机的位置,但是下面的两个捕获(关于接口SEC_Data,以及接口SEC_TELEPHONY的类似想法)是相同的。capture test3 interface SEC_Data match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 capture test4 interface SEC_Data match tcp host 10.97.85.11 eq 1099 host 10.97.48.188 Capture test3似乎更符合逻辑,因为主机10.97.48.188的流量来自接口SEC_Data,我们正确地将其放置在命令的src地址位置,而主机10.97.85.11 (TCP 1099)位于des地址位置。但是,捕获test4会产生与test3相同的输出。当我们将主机10.97.85.11 (TCP 1099)放在src-地址位置(而捕获接口是SEC_Data)和主机10.97.48.188位于des地址时,我们知道它的逻辑听起来是“错误的”。=>的业务流/逻辑与ASA访问列表不同.对于access-list,如果您将主机放在错误的顺序中,它将根本无法工作。对我来说,捕获特性更关心的是主机A或主机B是否驻留在捕获接口中,以及与它们之间的所有通信量,而不是最初是否从捕获接口(以及主机的正确/真实位置)生成同步数据包。
  2. 为了更好地理解,您可以使用带有capture的访问列表来查看capture是如何处理流量的。清除所有捕获并创建一个新的sectel2,它与sectel1具有相同的结果,但hots的不同位置(参见上文第1点) capture sectel2 interface SEC_TELEPHONY match tcp host 10.97.85.11 eq 1099 host 10.97.48.188在下面创建两个虚拟的ACL行。它们是无害的,因为它们没有应用于任何接口:access-list Data-Telephony extended permit tcp host 10.97.48.188 host 10.97.85.11 eq 1099 access-list Telephony-Data extended permit tcp host 10.97.85.11 eq 1099 host 10.97.48.188将上面的两行应用于新捕获,然后生成流量:capture sectel3 access-list Data-Telephony interface SEC_TELEPHONY capture sectel4 access-list Telephony-Data interface SEC_TELEPHONY结果:
    • 捕获sectel1和sectel2具有相同的输出。
    • 捕获sectel3包含所有数据包(从同步数据包开始),从10.97.48.188到10.97.85.11在TCP 1099 (只有一个方向由于访问列表数据-电话)。
    • Capture sectel4包含从TCP 1099到10.97.48.188的10.97.85.11之间的所有数据包(从同步+ ACK数据包开始)(只有一个方向因为访问列表电话-数据)。
    • 将sectel3和sectel4的输出组合在一起,您将看到它们与sectel1或sectel2相同。

我希望你得到这个想法,这是有帮助的!

编辑:我相信以下两张图片将澄清这一点:

  1. 你所关心的/所想的:
  1. 然而,这正是它的本质:
票数 2
EN

Network Engineering用户

发布于 2017-08-31 15:54:06

在我看来,这是完全正常的。

我不认为这些捕获是相同的。

查看第一个帧(TCP )的TCP头,您可以看到--尽管所有其他属性都是相同的--序列号是不同的。

编辑:哦..。也有MSS夹紧进行- ASA重写MSS字段从1460到1380,在SYN段从发起者和SYN段从响应者。

我认为这是ASA的TCP序列号随机化在起作用。

编辑: ASA也会执行一些TCP操作。

除此之外,我真诚地希望帧/包的所有其他属性在通过一个端口通道的子程序传入并通过另一个端口通道退出时保持不变(给或接受NAT重写了一点东西,但是NAT显然不在这里使用)。

票数 2
EN
页面原文内容由Network Engineering提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://networkengineering.stackexchange.com/questions/43781

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档