Cisco LAB és az FWSM esete


Tagek: Cisco,
Írta: toshy
Publikálva: 2010-02-28 02:02:32

Eme cikk lényege, egy megválaszolatlan kérdés, illetve annak előzményei. Szóval életemben először voltam CISCO LAB-ban. Nagyon tetszett, meg minden, érdekes volt. Egy általunk össze rakott konfigurációt teszteltünk. A konfiguráció a következő képen nézet ki:

Amit tesztelni akartunk, az az volt, hogy úgynevezett downloadable ACL -eket akartuk kipróbálni nem éles környezetben, hogy ne élesben tesztelgessünk. Ennek a lényege hogy a külső A host-ról belépünk az egyik host-ra egy bizonyos felhasználói névről, majd a másikra másik felhasználói névvel. Mindeközben ellenőrizni hogy minkét esetben a hozzá tartozó ACL-eket tölti le az FWSM -re. Ez a része tökéletesen működött, és nem is volt semmi probléma. Kivéve, hogy a következő jelenségre lettünk figyelmesek.

Tehát be vagyunk lépve mondjuk SSH-n keresztül a B1 hostra és onnan át szeretnénk SSH-zni a B2 host-ra.
A lényeg hogy nem megy !
Na de nem azért nem megy mert megvan neki tiltva SŐT . Igazából tiltani is akartuk, de mielőtt tiltanánk kíváncsiak lettünk volna működik-e a tiltás előtt. ÉS NEM.
Nem ment.
Rögtön ellenőriztük a logokat. Routing táblát ellenőriztük. ….stb.

A jelenség az volt hogy miközben a kommunikációnk B1-ről B2 felé ment a logokban azt láttuk, hogy az fwsm „outside” interface-n keresztül menne a kommunikáció. Mint ilyen pedig authentikációt kért volna ha nem ping-el próbálkoztam volna. Na de kérdem én, MIÉRT ? És ha valaki segítene megtalálni a választ ! Miért van az, hogy a routing táblában két connected interface , egy harmadikon keresztül talál útvonalat ?

A konfiguráció a következő képen néz ki. ( Természetesen, csak az ide illő részek )

FWSM Version 2.3(5)

Ez akár fontos is lehet, de kipróbáltuk a legujabbal is, és ugyanaz volt a „hiba”.

nameif vlan10 outside security100

nameif vlan20 inside20 security10

nameif vlan30 inside30 security10



same-security-traffic permit inter-interface

Mivel mindkét interface security értéke 10 ezért eszerint a parancs szerint, mennie kellene a kommunikációnak, az interface-ek között. Hacsak ACL -ben nincs valami tiltva.

ip address outside 10.0.1.11 255.255.255.0 standby 10.0.1.12

ip address inside20 10.0.2.22 255.255.255.0 standby 10.0.2.23

ip address inside30 10.0.3.33 255.255.255.0 standby 10.0.3.34


icmp permit any outside

icmp permit any inside20

icmp permit any inside30


access-list AUTHIN extended permit ip any any


static (outside,inside20) 0.0.0.0 0.0.0.0 netmask 255.255.255.255

static (inside20,outside) 0.0.0.0 0.0.0.0 netmask 255.255.255.255

static (outside,inside30) 0.0.0.0 0.0.0.0 netmask 255.255.255.255

static (inside30,outside) 0.0.0.0 0.0.0.0 netmask 255.255.255.255


route outside 0.0.0.0 0.0.0.0 10.0.1.11 1

Ez lenne a default gateway.

aaa-server AuthInb protocol tacacs+

aaa-server AuthInb (outside) host 10.0.1.5 timeout 10

aaa authentication match AUTHIN outside AuthInb


auth-prompt prompt Ember ki itt belepsz hagyj fel minden remenyel !

auth-prompt accept I`m IN ! I`m IN ! Oh my GOD ! I`m IN !

auth-prompt reject Nem talált, próbáld újra !



És íme a routing tábla ide vonatkozó része

S 0.0.0.0 0.0.0.0 [1/0] via 10.0.1.11, outside
C 10.0.2.0 255.255.255.0 is directly connected, inside20
C 10.0.3.0 255.255.255.0 is directly connected, inside30
…....


Na kérem.
Valaki aki ezt érti az világitson már fel, hogy miért van ez !

Szólj hozzá

Hozzászólások(0)