B院区 核心——fw(1口)——(2口)msr——专线——(99.34)125 A院区,防火墙是二层透传,型号F1030,版本为D012分支的9313P07
现场在b院区内部ping内部服务器大包均正常,但是只要经过防火墙,则ping大包不通,具体测试为ping到4000以上就不通了,4000以下的包可以正常ping通;从a院区125交换机经过专线ping出口msr路由器大包也正常,但经过防火墙后大包不通
收集现场配置,接口超长帧放行默认开启,查看安全策略均为rule pass全放通,未做特殊限制,ping大包测试时在防火墙上收集会话信息,发现有会话,但是只有init发起方的包,没有respond响应方向的包。
Slot 1:
Initiator:
Source IP/port: 192.168.126.x/1
Destination IP/port: 192.168.99.x/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface99
Source security zone: Trust
Responder:
Source IP/port: 192.168.99.x/1
Destination IP/port: 192.168.126.x/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: InLoopBack0
Source security zone: Local
State: ICMP_REQUEST
Application: ICMP
Start time: 2019-07-26 09:14:18 TTL: 55s
Initiator->Responder: 8 packets 12000 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
继续检查防火墙的配置,发现该防火墙上开启了攻击防范功能,并且启用了icmp-flood攻击防范,在防火墙web上看到有很多相关的攻击日志,怀疑是流量被当做了泛洪攻击,而查看相关配置指导,icmp-flood攻击默认门限值为1000pps,后续现场将icmp-flood攻击门限值改大到10000后问题解决。
# attack-defense policy defense
icmp-flood threshold 10000
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作