1.4 ASA数据包处理
CCNP安全VPN 642-648认证考试指南(第2版)
关键当处理来自或者去往内外网的数据包时,ASA设备经历了路由查找,对主机会话的数量进行限制,将数据包与所配置的访问控制列表(ACL)进行匹配检查等一系列操作。
为VPN应用配置特性和相关的设置时,理解ASA设备在接收路径和发送路径上如何执行流操作是非常重要的。当对一个配置错误进行故障排查,甚至怀疑ASA设备的某个错误时,理解这些信息可以为你节省大量的时间。
然而,取决于接收流量的接口(流量的方向),ASA以不同的顺序处理这些操作。下面列出了ASA从Inside接口收到了一个目的地址是位于外部接口的一个主机的数据包时所经历的操作顺序。
从接口收到数据包:Inside。
查找流:这个数据包属于一个现有的数据流的条目吗?
查找路由:将数据包的目标IP地址与ASA路由表的路由信息进行匹配,对路由表执行最长的掩码查找与找到匹配的路由。
访问控制列表:将数据包与接收路径中所配置的访问控制列表进行匹配。
IP选项(模块化策略框架[MPF]):将数据包与所配置的MPF策略进行匹配(服务质量、半连接等)。
匹配VPN crypto:这个数据包是通过VPN隧道访问另一个主机吗?
NAT:基于所配置的NAT规则,对数据包中的字段执行NAT转换。
NAT主机限制:这个数据包受制于任何限制从而被丢弃吗(例如,半开放连接)?
IP选项(MPF):将数据包与所配置的MPF策略进行匹配(QoS、半连接等)。
建立流:如果这个数据包属于一个新流,在设备上为它建立一个新的数据流条目。
从这个接口发送数据包:Outside。
下面显示了ASA从Outside接口收到了一个数据包而这个数据包的目标地址是与内部接口相接的一个网络的主机时,ASA采取的操作顺序。
从接口收到数据包:Outside。
查找流。
查找路由。
访问控制列表。
IP选项(MPF)。
匹配VPN crypto。
NAT(反向路径查找[RPF]):路由表中与数据包源IP地址匹配的最佳路由的出方向的接口与ASA接收这个数据包的入方向的接口是同一个吗?
NAT对主机会话的限制。
查找NAT。
从接口发送数据包:Inside。
我们也可以使用Packet Tracer工具,将其作为一个可视的指南来了解ASA设备是如何处理一个数据包的。使用它时,可以指定源和目标的IP地址、端口、协议和数据包被接收的接口。
图1-16显示了ASDM窗口上部的Tools菜单下的Packet Tracer工具。当对一个问题进行故障排查时,这个工具是非常有用的,例如,你正在经历数据包的丢弃并怀疑这个问题是由ASA设备的配置错误导致的,那么使用这个工具可以帮助你快速地定位故障根源。
Packet Tracer工具将你输入的IP、端口、协议和接口信息与所配置的访问控制列表、MPF、NAT规则等进行对照评估,并提供每一步检查的结果。