Трафик реплицируется через несколько VLAN - ASA

Включите коммутатор, подключенный к FW через соединительную линию. Приемный интерфейс на FW является PO с субимом для каждой VLAN на магистрали. У нас есть поток, который мы хотим отслеживать в VLAN 306 /SEC_Data, оставив в VLAN 307 /SEC_TELEPHONY, packet-tracer проверяет, являются ли они действительными в /из if. Имея эту информацию, мы настраиваем захват как на if (сопоставление с VLAN 306 и 307 соответственно). В результате мы фиксируем идентичные потоки на обоих интерфейсах. Я не уверен, что это проблема логики захвата ASA, или если это не так, как это возможно.

Шаблон трафика

SRC - 10.97.48.188

DST - 10.97.85.11

OVER - TCP 1099

Настройка интерфейса

Port-channel2.306        SEC_Data               10.97.48.1      255.255.240.0   manual
Port-channel2.307        SEC_TELEPHONY          10.97.80.1      255.255.240.0   manual

Трассировщик пакетов, проверяющий вход /выход if

packet-tracer input SEC_Data tcp 10.97.48.188 1024 10.97.63.33 1099 det
Result:
input-interface: SEC_Data
input-status: up
input-line-status: up
output-interface: SEC_TELEPHONY
output-status: up
output-line-status: up
Action: allow

Захват строк

capture test2 type raw-data interface SEC_Data [Capturing - 0 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 
capture sectel type raw-data interface SEC_TELEPHONY [Capturing - 0 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 

Результаты захвата

capture test2 type raw-data interface SEC_Data [Capturing - 1728 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 
capture sectel type raw-data interface SEC_TELEPHONY [Capturing - 1728 bytes] 
  match tcp host 10.97.48.188 host 10.97.85.11 eq 1099 

NY-CORE-FW1# sh cap test2

16 packets captured

   1: 15:33:30.311751       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: S 1531525431:1531525431(0) win 29200 <mss 1460,sackOK,timestamp 3343832270 0,nop,wscale 7> 
   2: 15:33:30.311888       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: S 4154378133:4154378133(0) ack 1531525432 win 14480 <mss 1380,sackOK,timestamp 1852592717 3343832270,nop,wscale 7> 
   3: 15:33:30.312193       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 4154378134 win 229 <nop,nop,timestamp 3343832271 1852592717> 
   4: 15:33:30.343274       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525432:1531525439(7) ack 4154378134 win 229 <nop,nop,timestamp 3343832302 1852592717> 
   5: 15:33:30.343335       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 1531525439 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   6: 15:33:30.343427       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 4154378134:4154378153(19) ack 1531525439 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   7: 15:33:30.343610       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 4154378153 win 229 <nop,nop,timestamp 3343832302 1852592749> 
   8: 15:33:30.344281       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525439:1531525457(18) ack 4154378153 win 229 <nop,nop,timestamp 3343832303 1852592749> 
   9: 15:33:30.344357       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525457:1531525507(50) ack 4154378153 win 229 <nop,nop,timestamp 3343832303 1852592749> 
  10: 15:33:30.344418       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 1531525507 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  11: 15:33:30.344556       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 4154378153:4154378380(227) ack 1531525507 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  12: 15:33:30.372371       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 1531525507:1531525522(15) ack 4154378380 win 237 <nop,nop,timestamp 3343832331 1852592750> 
  13: 15:33:30.412316       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 1531525522 win 114 <nop,nop,timestamp 1852592818 3343832331> 
  14: 15:33:45.374126       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: F 1531525522:1531525522(0) ack 4154378380 win 237 <nop,nop,timestamp 3343847332 1852592818> 
  15: 15:33:45.374492       802.1Q vlan#306 P0 10.97.85.11.1099 > 10.97.48.188.41956: F 4154378380:4154378380(0) ack 1531525523 win 114 <nop,nop,timestamp 1852607779 3343847332> 
  16: 15:33:45.374766       802.1Q vlan#306 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 4154378381 win 237 <nop,nop,timestamp 3343847333 1852607779> 
16 packets shown
NY-CORE-FW1# sh cap sectel

16 packets captured

   1: 15:33:30.311797       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: S 3575611247:3575611247(0) win 29200 <mss 1380,sackOK,timestamp 3343832270 0,nop,wscale 7> 
   2: 15:33:30.311888       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: S 3333267844:3333267844(0) ack 3575611248 win 14480 <mss 1460,sackOK,timestamp 1852592717 3343832270,nop,wscale 7> 
   3: 15:33:30.312209       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 3333267845 win 229 <nop,nop,timestamp 3343832271 1852592717> 
   4: 15:33:30.343289       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611248:3575611255(7) ack 3333267845 win 229 <nop,nop,timestamp 3343832302 1852592717> 
   5: 15:33:30.343335       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 3575611255 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   6: 15:33:30.343411       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 3333267845:3333267864(19) ack 3575611255 win 114 <nop,nop,timestamp 1852592749 3343832302> 
   7: 15:33:30.343625       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 3333267864 win 229 <nop,nop,timestamp 3343832302 1852592749> 
   8: 15:33:30.344281       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611255:3575611273(18) ack 3333267864 win 229 <nop,nop,timestamp 3343832303 1852592749> 
   9: 15:33:30.344373       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611273:3575611323(50) ack 3333267864 win 229 <nop,nop,timestamp 3343832303 1852592749> 
  10: 15:33:30.344418       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 3575611323 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  11: 15:33:30.344556       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: P 3333267864:3333268091(227) ack 3575611323 win 114 <nop,nop,timestamp 1852592750 3343832303> 
  12: 15:33:30.372386       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: P 3575611323:3575611338(15) ack 3333268091 win 237 <nop,nop,timestamp 3343832331 1852592750> 
  13: 15:33:30.412316       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: . ack 3575611338 win 114 <nop,nop,timestamp 1852592818 3343832331> 
  14: 15:33:45.374141       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: F 3575611338:3575611338(0) ack 3333268091 win 237 <nop,nop,timestamp 3343847332 1852592818> 
  15: 15:33:45.374492       802.1Q vlan#307 P0 10.97.85.11.1099 > 10.97.48.188.41956: F 3333268091:3333268091(0) ack 3575611339 win 114 <nop,nop,timestamp 1852607779 3343847332> 
  16: 15:33:45.374766       802.1Q vlan#307 P0 10.97.48.188.41956 > 10.97.85.11.1099: . ack 3333268092 win 237 <nop,nop,timestamp 3343847333 1852607779> 
16 packets shown
1 голос | спросил A L 31 PM00000060000005431 2017, 18:31:54

2 ответа


2

На мой взгляд, речь идет скорее об «Логике ASA-захвата», а не «Трафик, реплицируемый через несколько VLAN».


Я расскажу вам больше:

  1. Два следующих захвата (по интерфейсу SEC_Data и аналогичные мысли для интерфейса SEC_TELEPHONY) одинаковы, хотя мы меняем местоположение исходных и целевых хостов.

    capture test3 interface SEC_Data match tcp host 10.97.48.188 host 10.97.85.11 eq 1099

    capture test4 interface SEC_Data match tcp host 10.97.85.11 eq 1099 host 10.97.48.188

    Захват test3 кажется более логичным, потому что (трафик с) хоста 10.97.48.188 поступает из интерфейса SEC_Data, и мы правильно помещаем его в позицию src-address команды, а хост 10.97.85.11 (TCP 1099) находится на des-address position.

    Однако, тест capture4 показывает те же результаты, что и test3. Мы знаем, что его логика звучит «неправильно», когда мы помещаем хост 10.97.85.11 (TCP 1099) в позицию src-address (в то время как захват интерфейса SEC_Data) и хост 10.97.48.188 на де-адрес.

    = > Трафик /логика захвата ASA не похожа на поток доступа ASA . С списком доступа, если вы помещаете хосты в неправильном порядке, он не будет работать вообще.

    Для меня функция захвата больше заботится о том, находится ли хост A или хост B в интерфейсе захвата и весь трафик в /из них, а не из-за того, что пакет SYNC изначально генерируется из интерфейса захвата (и правильный /реальные позиции хостов).

  2. Чтобы лучше понять, вы можете использовать список доступа с захватом, чтобы увидеть, как захват работает с потоком трафика.

    Очистите все захваты и создайте новую секцию2, которая имеет тот же результат с sectel1, но с разными положениями точек (см. пункт 1 выше)

    capture sectel2 interface SEC_TELEPHONY match tcp host 10.97.85.11 eq 1099 host 10.97.48.188

    Создайте две фиктивные строки ACL ниже. Они безвредны, поскольку они не применяются к любому интерфейсу:

    access-list Data-Telephony extended permit tcp host 10.97.48.188 host 10.97.85.11 eq 1099

    access-list Telephony-Data extended permit tcp host 10.97.85.11 eq 1099 host 10.97.48.188

    Примените две строки выше к новым захватам, а затем создайте трафик:

    capture sectel3 access-list Data-Telephony interface SEC_TELEPHONY

    capture sectel4 access-list Telephony-Data interface SEC_TELEPHONY

    Результаты:

    • Захватывает sectel1 и sectel2 имеют одинаковые выходы.

    • Захват sectel3 содержит все пакеты (начиная с пакета SYNC) от 10.97.48.188 до 10.97.85.11 при TCP 1099 (только одно направление из-за доступа к данным Data-Telephony).

    • Захват sectel4 содержит все пакеты (начиная с пакета SYNC + ACK) от 10.97.85.11 при TCP 1099 до 10.97.48.188 (только одно направление из-за данных Telephony-Data списка доступа).

    • Объедините выходы sectel3 и sectel4, вы увидите, что они одинаковы с sectel1 или sectel2.

Надеюсь, у вас есть идея, и это полезно!

Edit: Я считаю, что следующие два изображения прояснят это:

  1. Что вы думаете /думаете: «Захват

    1. Тем не менее, это именно так:

 Capture Traffic ASA 2

ответил Hung Tran 2 ndEurope/Moscowp30Europe/Moscow09bEurope/MoscowSat, 02 Sep 2017 17:59:57 +0300 2017, 17:59:57
2

Для меня это выглядит совершенно нормально.

Я не думаю, что эти записи идентичны.

Глядя на заголовки TCP первого кадра (TCP SYN), вы можете видеть, что, хотя все остальные свойства идентичны, порядковые номера разные.

EDIT: О .. также происходит зажим MSS - ASA перезаписывает поле MSS с 1460 по 1380, как в сегменте SYN от инициатора, так и в сегменте SYN-ACK от ответчика.

Я думаю, что это временная рандомизация номера последовательности серии ASA .

EDIT: И ASA также выполняет некоторые манипуляции с TCP MSS.

Кроме этого, я бы искренне надеялся, что все другие свойства фрейма /пакета не будут изменены, когда он будет поступать через один из субфитов канала порта и выйдет через другой (дайте или возьмите NAT, переписывая вещи здесь и там , но NAT явно не используется здесь).

ответил Marc 'netztier' Luethi 31 PM00000060000000631 2017, 18:54:06

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132