从我的 INSIDE 接口获取的全局 IP 到 OUTSIDE 接口上的另一个全局 IP

网络工程 路由 思科-ASA 系统日志
2022-02-11 19:20:52

我有一个 Cisco ASA,它给了我一些我不理解的 sylog。我的 INSIDE 界面是我工作的企业的所有私有 IP 地址所在的位置。我的 OUTSIDE 接口是分配给我的公共 IP 地址块的接口。我经常看到以下我不理解的日志,一个可路由的 IP 地址来自 INSIDE 接口,其目标是 OUTSIDE 接口上的另一个可路由公共 IP。有任何想法吗?

这些日志中的 IP 地址都不属于我或分配给我的任何设备。

08:24:02.418:Jun 08 08:24:02 EDT: %ASA--4-419002: Duplicate TCP SYN from INSIDE:123.201.138.87/20219 to OUTSIDE:209.118.224.55/2323 with different initial sequence number
08:24:02.384:Jun 08 08:24:02 EDT: %ASA--4-419002: Duplicate TCP SYN from INSIDE:123.201.138.87/20219 to OUTSIDE:209.118.224.55/2323 with different initial sequence number
08:24:02.351:Jun 08 08:24:02 EDT: %ASA--4-419002: Duplicate TCP SYN from INSIDE:123.201.138.87/20219 to OUTSIDE:209.118.224.55/2323 with different initial sequence number
2个回答

好的,我相信我发现了问题。我的远程站点有自己的路由器和自己的互联网连接。除了返回总部的 IPSEC 隧道用作备用 WAN 链接之外,我们并没有真正将其用于任何其他用途。

我使用 EIGRP 来构建路由表,因此远程站点上的这些路由器碰巧没有静态默认路由。因此,每当他们的公共 IP 被 ping、扫描等时,回复都会使用 EIGRP 学习的默认路由发出,该路由通过我们的 WAN 线路到达我的 CORE 交换机,然后通过我的 ASA 防火墙到达互联网。

只要我在每个远程站点添加静态默认路由,问题就消失了。

当公共 IP 地址出现在您的专用网络中时,您应该对其进行追踪。检查 ASA 上的 ARP 表,无论源是直接连接还是从那里工作到源路由器。获得源 MAC 后,您可以通过交换机查找源端口。

其它你可能感兴趣的问题
上一篇在计算摘要或身份验证数据时处理 IP 标头中的可变字段的疑问 下一篇为什么西班牙互联网调制解调器/路由器不需要 DSL 过滤器?