CBAC on 2911 工作不正常

网络工程 思科 防火墙
2021-07-25 14:56:33

我正在尝试在我的 2911 路由器之一上配置 CBAC,以通过更少的配置和更清晰的访问列表更好地保护远程站点。

我们有两个电路,一个宽带电路和一个 MPLS 电路。我们使用 IP SLA 语句进行基于策略的路由,并使用我们的宽带电路进行互联网流量。我们正在使用 LAN 地址空间构建我们的公共 Internet 接口。

以下是 CBAC 和我们的接口的配置详细信息:

ip inspect name cbac tcp
ip inspect name cbac udp
ip inspect name cbac icmp

int gi0/0
ip address LAN IP 255.255.255.0
ip nat inside


int gi0/1
ip address INTERNET IP 255.255.255.248
access-group POLICE in
ip inspect cbac out
ip nat outside

int s0/0/0:0
ip address MPLS ADDRESS 255.255.255.252


ip access-list extended POLICE
permit ip host 'OUR HQ IP ADDRESS FOR OUTSIDE MANAGEMENT' any
deny ip any any

以下是我们用来选择路由的 SLA 语句:

track 10 ip sla 1
 delay down 1 up 1
track 20 ip sla 2
 delay down 1 up 1
ip sla 1
 icmp-echo MPLS NEXT HOP
ip sla schedule 1 life forever start-time now
ip sla 2
 icmp-echo INTERNET NEXT HOP source-interface GigabitEthernet0/1
ip sla schedule 2 life forever start-time now

当我在需要的地方应用访问列表和 ip 检查语句时,我无法接收任何流量进入此接口,因为我们的 SLA 不再有效。我通过放入以下内容克服了这个问题:

5 permit ip host 'WAN NEXT HOP' any

这使轨道保持正常运行,但随后我什至无法 ping 通 Google。它没有显示来自路由器上任何接口的 ICMP 的任何会话,使用:

sh ip inspect all

或 sh ip 检查会话

我在这里错过了一些愚蠢的东西吗?路由器流量不视为 LAN 流量吗?我读了一些关于命令的内容:

ip inspect name <NAME> router-traffic <TYPE>

但这在我们的 2811 或 2911 解析器中都不存在。

1个回答

现在已经解决了。我读过的命令是倒退的。我应用了命令:

ip inspect cbac tcp router-traffic
ip inspect cbac icmp router-traffic
ip inspect cbac udp router-traffic

这让我可以 ping 出并将其保留在状态表中,获得响应,从而保持我的 SLA 正​​常运行。

其它你可能感兴趣的问题
上一篇VXLAN 入口复制限制? 下一篇无法在 Cisco Packet Tracer 中使用“dot1x”命令