本文解析了一条PIX525防火墙日志,详细分析了其网络配置及问题现象,探讨了内外网络间通讯受阻的原因。
IDC机房网络拓朴如下:
IDC核心交换机-----通过一条网线-------机柜D-LNKI交换机------PIX 525------CISCO交换机------各WEB服务器。
其中D-LINK交换机的IP为192.168.2.11,也就是下面日志中的IP。另外,之所以IDC和PIX之间再加一台DLINK是因为有些服务器不在PIX保护之下。同时,各服务器均是双网卡系统。无论是在PIX外的服务器(DLINK联接的服务器)还是PIX保护内的服务器(CISCO联接的服务器)都可以通过私有IP相联。
其中PIX 525是UR版本,IOS为7.1
日志如下:
PIX-4-106023: Deny protocol 2 src outside:192.168.2.11 dst inside:239.255.255.100 by access-group "out-list"
我的防火墙上总是出现这样的提示。其中192.168.2.11是PIX 525外端的D-LINK交换机IP。
#################################
您查询的IP:239.255.255.100
本站主数据:IANA
查询结果2:IANA
查询结果3:IANA保留地址 用于多点传送
###################################
造成的问题:
搞的PIX后面的部分网络服务器总不能被外面的客户端访问。但在此服务器上PING外部的IP就可以通,然后就能被访问了。
IDC核心交换机-----通过一条网线-------机柜D-LNKI交换机------PIX 525------CISCO交换机------各WEB服务器。
其中D-LINK交换机的IP为192.168.2.11,也就是下面日志中的IP。另外,之所以IDC和PIX之间再加一台DLINK是因为有些服务器不在PIX保护之下。同时,各服务器均是双网卡系统。无论是在PIX外的服务器(DLINK联接的服务器)还是PIX保护内的服务器(CISCO联接的服务器)都可以通过私有IP相联。
其中PIX 525是UR版本,IOS为7.1
日志如下:
PIX-4-106023: Deny protocol 2 src outside:192.168.2.11 dst inside:239.255.255.100 by access-group "out-list"
我的防火墙上总是出现这样的提示。其中192.168.2.11是PIX 525外端的D-LINK交换机IP。
#################################
您查询的IP:239.255.255.100
本站主数据:IANA
查询结果2:IANA
查询结果3:IANA保留地址 用于多点传送
###################################
造成的问题:
搞的PIX后面的部分网络服务器总不能被外面的客户端访问。但在此服务器上PING外部的IP就可以通,然后就能被访问了。
请各位分析下是原因。多谢!
本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/125299,如需转载请自行联系原作者
扫一扫
140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
