CiscoPIX防火墙割接中的疑难分析

1、66cisco pix防火墙割接中的疑难分析刘铁民(中国联通山东分公司济南250014)摘要观察与交流本文通过对实际运行的大型网络系统pix防火墙设备割接过程中遇到的疑难分析和处理,详细阐述了防火墙设备割接疑难处理的步骤,强调了网络系统设备割接的注意之处,为提高大型网络系统管理水平,保证网络系统正常稳定运行提供参考。关键词pix防火墙割接主/备用服务器随着因特网业务的迅猛发展,目前国内各大电信运营商、网络服务提供商都在加紧网络建设和网络优化,为进一步适应业务发展、满足用户需要和提高服务水平奠定基础。在网络建设和优化的实际操作过程中,不可避免会遇到各种网络技术疑难问题。1系统割接背景系统割接前的

2、网络结构如图1所示,主/备用服务器通过一台c isco pix 520防火墙向internet提供服务,主/备用服务器之间采用veritas的ha双机热备方式 。 从网络结构可以看出, c isco pix 520防火墙有可能成为一个单点故障发生点。为避免单点故障,提高主/备用服务器的可靠性,决定采用cisco全新高端pix防火墙产品c iscosecure pix f irewall 525,通过failover (故障切换)结构,实现防火墙pix的冗余,系统割接后的网络结构如图2所示。2系统割接中的问题及解决在实际系统割接中,制定了较为详细的割接方案,按照下述步骤进行割接。(1)调测pix

3、525failover功能;(2)将需要配置的地址映射及ip控制规则配置在pix525由于整个系统为分布式的,密钥的分发不一定能保证所有终端都能同时得到当前最新的密钥,所以在密钥分发的过程中还存在密钥同步问题,也就是中心数据服务器将密钥分发给所有终端,这些终端是不是都能正常接收?如果在密钥分发的时候个别的终端出现故障,没有接收到更新的密钥,那么这个终端肯定还是使用过时的密钥,这样这个终端的通信就会出现问题。这个问题可以这样解决:中心数据服务器仍然定时更新密钥,并同时通过rsa加密方法发送给所有的终端来统一更新系统的密钥。如果个别终端出现故障而重新启动系统(包括采集系统和监控系统) ,那么这个终

4、端要主动到中心数据服务器要当前的密钥,这样就能解决整个系统密钥同步分发问题。就采集机和监控主机来讲,密钥更新后就马上用更新的密钥来加密数据,但是密钥更新前后的很短的时间内,网络中可能同时存在用过时密钥加密的数据和当前密钥加密的数据,这些加密的数据我们都要能解密并得到正确的数据。一个非常简单的方法是如果采用用当前密钥解密不成功时就用过时密钥来解,但这种方法很不经济。我们就在加密数据前面添加一个标志位(可以是一个字节) ,用来表示当前密钥还是过时的密钥。只要密钥一更新就将这个标志位取反就可以了。但是密钥存在同步问题,那么这个标志位也同样会出现同步问题。问题仍然出在个别终端出现故障时不能同步系统密钥

5、,在终端重新启动后要主动到中心数据服务器去索取密钥,那么同时要把表示是当前密钥/过时密钥的标志位也要取过来。强调一下,这些密钥、标志位都要采用公开密钥加密算法来完成分发和系统同步。这样能为密钥的分发提供安全通道,并免去人工修改密钥以及密钥的分发问题,也提高了系统的安全性。用密钥加密方法来对话单和日志数据加密,能提供比较快的加解密,有利于提高系统的实时性。(收稿日期:2002 - 04- 22)? 1995-2005 tsinghua tongfang optical disc co., ltd. all rights reserved.67电信科学2002年第8期图1系统割接前的网络结构图2系

6、统割接后的网络结构上(地址映射及相关规则由原pix520配置得到);(3)拔掉pix520的内、 外网卡的网线,按照新的网络结构进行连接;(4)测试各业务是否正常。在测试过程中,发现主服务器可以ping通内网地址,即可ping通pix525内网卡地址;但不能ping通外网(pix525上没有限制icmp包) ,等待数分钟后仍不能通过。因地址映射及相关规则都是由原来的pix520中的配置得到,初步分析问题可能与相连接的其它网络设备有关。故采取以下手段和步骤做进一步检查分析。(1)在2948交换机上清空cam表,问题依然存在。(2)在pix525上打开de bug icmptrace来捕获icmp

7、包,发现只有从主服务器发过来的包,而没有从外网回来的数据包。(3)在g sr上查看arp表,# showarp - cache看到:internet202.xx.x.1973700d0.xxxx.1806arpag i gabiteth2ernet5/1.5internet202.xx.x.19837 00d0.xxxx.1806arpag igabiteth2ernet5/1.5可 以 看 到 主 服 务 器 映 射 的 真 地址202.xx.x.197和202.xx.x. 198对应的mac地址还是原来pix520的外网卡地址,而非新的pix525外网卡地址。(4)再尝试将原来pix520

8、的外网卡连通,打开de bugicmptrace,看到有从外网回来的数据包,从而可以定位问题是g sr上ar p cache未更新造成的。(5)进一步查看g sr上的信息,# show interfaceg i5/ 1,看到:arptype: arpa, arp t imeout04: 00: 00,即arpcache的timeout时间为默认值4小时。(6)手工在g sr上cleararp- cahce后服务正常。3总结经过对上述过程分析,可以看出在拔掉pix520的内外网卡的网线后,交换机的对应端口会down掉,从而交换机的cam表会随之更新。而g sr与交换机是通过ge端口相联的, g sr的ge端口状态未发生任何改变,而mac地址timeout时间缺省为4小时,在这个时间内arpcache不更新,所以主服务器映射的真地址对应的mac地址发生改变g sr无法知道,因而造成pix防火墙不能正常工作。通过对c isco pix防火墙割接中的疑难分析,得到如下结论:在路由器、 交换机和防火墙等多种网络、主机设备组成的大型网络系统割接中,不能仅仅考虑要割接的网络设备的自身系统配置和特性,还要仔细分析与要割接设备网络相关的其它设备的配置和特性。只有摸清不同网络