认识Ping与Telnet通过Fwsm的区别
程序员文章站
2022-07-07 15:20:06
认识Ping与Telnet通过Fwsm的区别...
大家都知道ping是无状态的三层报文,而telnet是有状态的四层以上的报文。下面从一个现象来说明问题。
环境
cisco7609上面配置了多个vlan包括vlan100和vlan109,并且7609上面配置了3个vrf,vlan100属于vlan31,vlan109属于vlan32。不同vrf之间通过fwsm互联。有2台服务器,其一(命令为sera)的ip分别为123.37.109.15。另外一台(命令为serb)比较特别,其网口配置成了trunk模式,不同子接口ip包括123.37.100.246,123.37.108.246以及123.37.109.246等,其路由表如下:
测试结果
从123.37.109.15 ping 123.37.100.246,结果通讯正常;但是从123.37.109.15 telnet 123.37.100.246 22(此端口本地测试通讯正常)却不通。
分析
1、从123.37.109.15 ping 123.37.100.246
经过fwsm转发后,serb从接口bond0.100上面接收到123.37.109.15的echo request的数据包,然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发,所以从bond0.109转发
数据包,经过fwsm转发到源服务器sera,通讯正常。如下serb上bond0.100和bond0.109的抓包:
2、从123.37.109.15 telnet 123.37.100.246 的 22端口
经过fwsm转发后,serb从接口bond0.100上面接收到123.37.109.15的syn的数据包,然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发,所以从bond0.109转发ack数据包,经
过fwsm转发到源服务器sera,但是通讯却失败。于是抓包如下:
在sera上抓到dst port 22的数据包:
在serb上抓从123.37.109.15过来的ssh数据包:
在serb上抓到123.37.109.15的返回数据包:
在sera上抓到从123.37.100.246返回的数据包:
分析结论
所以根据上面截图可以分析出源服务器sera收到了发往123.37.100.246的22端口的返回数据包,而且源和目的端口都正确,但是为什么就是不通呢?而ping包为什么又是通的呢?这就需要从ping和telnet上面来分析了。首先大家都知道ping是无状态的三层数据包,而telnet是有状态的四层以上的数据包,所以在针对这些数据包的处理方式上肯定存在区别。当ping包经过了fwsm后,由于其为无状态报文,所以fwsm制作简单处理后转发数据包;然后当telnet的报文经过fwsm后,由于其为有状态报文,所以fwsm需要做序列号的重新编号和状态检测处理,然后转发数据包。虽然源服务器貌似接收到了telnet的返回数据包,但是与自己发送的syn报文的序列号不匹配,所以此telnet进程就失败了。
环境
cisco7609上面配置了多个vlan包括vlan100和vlan109,并且7609上面配置了3个vrf,vlan100属于vlan31,vlan109属于vlan32。不同vrf之间通过fwsm互联。有2台服务器,其一(命令为sera)的ip分别为123.37.109.15。另外一台(命令为serb)比较特别,其网口配置成了trunk模式,不同子接口ip包括123.37.100.246,123.37.108.246以及123.37.109.246等,其路由表如下:
测试结果
从123.37.109.15 ping 123.37.100.246,结果通讯正常;但是从123.37.109.15 telnet 123.37.100.246 22(此端口本地测试通讯正常)却不通。
分析
1、从123.37.109.15 ping 123.37.100.246
经过fwsm转发后,serb从接口bond0.100上面接收到123.37.109.15的echo request的数据包,然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发,所以从bond0.109转发
数据包,经过fwsm转发到源服务器sera,通讯正常。如下serb上bond0.100和bond0.109的抓包:
2、从123.37.109.15 telnet 123.37.100.246 的 22端口
经过fwsm转发后,serb从接口bond0.100上面接收到123.37.109.15的syn的数据包,然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发,所以从bond0.109转发ack数据包,经
过fwsm转发到源服务器sera,但是通讯却失败。于是抓包如下:
在sera上抓到dst port 22的数据包:
在serb上抓从123.37.109.15过来的ssh数据包:
在serb上抓到123.37.109.15的返回数据包:
在sera上抓到从123.37.100.246返回的数据包:
分析结论
所以根据上面截图可以分析出源服务器sera收到了发往123.37.100.246的22端口的返回数据包,而且源和目的端口都正确,但是为什么就是不通呢?而ping包为什么又是通的呢?这就需要从ping和telnet上面来分析了。首先大家都知道ping是无状态的三层数据包,而telnet是有状态的四层以上的数据包,所以在针对这些数据包的处理方式上肯定存在区别。当ping包经过了fwsm后,由于其为无状态报文,所以fwsm制作简单处理后转发数据包;然后当telnet的报文经过fwsm后,由于其为有状态报文,所以fwsm需要做序列号的重新编号和状态检测处理,然后转发数据包。虽然源服务器貌似接收到了telnet的返回数据包,但是与自己发送的syn报文的序列号不匹配,所以此telnet进程就失败了。
上一篇: cisco?·óé????μ??ù±?????ê??é
下一篇: 10Gb以太网和双绞线铜缆的应用