如何从数据包跟踪器输出中破译丢弃的数据包?

网络工程 思科 ACL
2021-08-03 16:18:51

我有一个巨大的 ACL 正在处理,我似乎无法找到阻止我的线路。数据包跟踪器有没有办法帮助我更具体地找出我被阻止的地方?

packet-tracer input AAAA tcp 10.A.B.1 5555 10.C.D.80 PORT# d

Phase: 3
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in   0.0.0.0         0.0.0.0         AAAA

Phase: 4
Type: ACCESS-LIST
Subtype: 
Result: DROP
Config:
Implicit Rule
Additional Information:
 Forward Flow based lookup yields rule:
 in  id=0x7ffd9a7f9e40, priority=111, domain=permit, deny=true
        hits=28704780, user_data=0x0, cs_id=0x0, flags=0x4000, protocol=0
        src ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0
        dst ip/id=0.0.0.0, mask=0.0.0.0, port=0, tag=0 dscp=0x0
        input_ifc=AAAA, output_ifc=AAAA

Result:
input-interface: AAAA
input-status: up
input-line-status: up
output-interface: AAAA
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

我收集到的一些线索(但不确定它们是否正确)

  • 丢弃原因表明配置的线路正在丢弃数据包,而不是最后的默认拒绝
  • 数据包在接口 AAAA 上的输出 ACL 处被拒绝
  • 有一个 id 字符串和一个计数器,但我不知道如何将其与任何内容匹配
2个回答

Implicit Rule并且AAAA是进出接口……这就是所谓的发夹,一般是不允许的。它适用于我的 asa,但我启用了以下功能:

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
其它你可能感兴趣的问题
上一篇当我需要使用中间交换机时,如何实现 802.1x? 下一篇端口通道不能捆绑流量控制不匹配