2016年7月18日 星期一

ping指令帶來源IP進行測試


這是我的架構圖,防火牆1和防火牆2做Site to Site VPN,只允許192.168.184.0/24和192.168.127.0/24互通。



我們進去PC1上測試確實可以透過VPN ping到192.168.127.0/24的網段,trace的路徑也正常。



跑到用戶端電腦進行測試很麻煩,所以我們telnet連進L3 swtich上,因為L3 swtich上也有184的IP網段,我們進行測試,發現封包沒有回應。



抓一下封包,原來它是帶最靠近的出口介面IP當來源IP。







進入防火牆果然因為防火牆規則,我們只允許192.168.184.0/24和192.168.127.0/24互通VPN,所以來源172.16.30.1被阻擋掉了。



這時候我們可以把ping的指令帶來源IP,來源IP不能無中生有,一定是介面上有的IP,果然出現驚嘆號通了,也可以選擇直接打ping 進入一問一答互動模式。



抓封包看到來源是192.168.184.254 目的地 192.168.127.1。



進防火牆也有看到允許的封包LOG。

結論:
我們很少有機會跑到客戶的電腦上做ping或trace,通常只能連到router或switch上做測試,但是像L3 switch上的interface vlan ip很多,你也不知道他是帶哪個IP 出去,可是來源IP卻很重要,像是此案例,我帶 172.16.30.1被防火牆阻擋,但是帶192.168.184.254就可以通過。



2 則留言: