您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 管理学资料 > 防火墙丢包问题分析报告
厦门TD-SCDMA试验局防火墙丢包问题分析报告组网描述:1.核心网侧防火墙Netscreen和业务侧PIX防火墙的DMZ口通过业务侧三层交换机上的VLAN101互通,VLAN101不配置IP,使其和三层交换机上的其他VLAN不能通信,保证业务内部和外部设备的隔离。2.业务侧内部,PIX防火墙的inside接入三层交换机上的VLAN10,WAP网关接入三层交换机上的VLAN50,VLAN10和VLAN50配置IP,WAP网关和PIX防火墙inside口通过在三层交换机上启用IPRouing功能,实现VLAN间直连路由互通。组网如图1所示。图1系统组网图问题描述:厦门TD-SCDMA试验局割接新建WAP网关上线、替代旧系统,测试大彩信时发现:1.当WAP网关MTU为1500(这时WAP的MSS值为1500-40=1460)、PIX的MSS为默认值时,TCPSegementSize为1460的手机发送大彩信、,数据包会被PIX防火墙的dmz口丢弃;2.当WAP网关MTU为1500(即MSS为1460)、PIX的MSS为默认值时,TCPSegementSize为1024的手机发送大彩信、,数据包不会被PIX防火墙的dmz口丢弃。3.当WAP网关MTU为1063(即MSS为1023)、PIX的MSS为1460时,TCPSegementSize为1024的手机发送大彩信,数据包会被PIX防火墙的dmz口丢弃。4.手机似乎不能实现MSS值的协商,向外发包时MSS值是固定的。注:使用ZTE和大唐的手机测试结果相同问题分析:我们在PIX防火墙的dmz口和inside口抓包,结果如下1.从PIX的dmz口抓包的结果可以看出,手机PDP激活后向WAP网关发起TCP三方握手时,手机发送给WAP网关的TCPSYN消息中MSS(TCPMaxSegementSize)值为16384,即手机TCPBuffer的大小16K。如图2所示,行1中手机终端168.94.1.129发送到WAP的SYN消息中的MSS值为16384。图2码流文件如下:2.从PIX的inside口抓包的结果可以看出,TCP三方握手时手机发送给WAP网关的SYN消息通过防火墙后,其中的MSS(TCPMaxSegementSize)值被替换成了1380。如图3所示,行1中手机终端168.94.1.129发送到WAP的SYN消息中的MSS值为1380。图3码流文件如下:因此我们和判断可能是防火墙允许通过的包的MSS值最大为1380,这时当手机发过来的MSS值为1460时,就被防火墙判断为超长包,被丢弃。和CISCO的工程师确认后,PIX默认的MSS值为1380,小于手机发送过来的1460的包,通过以下命令在全局模式下可以修改防火墙的MSS值:ZXIN-XM515-FR01(config)#sysoptconnectiontcpmss1460我们将这个值修改后测试,当WAP网关MTU为1500(这时WAP的MSS值为1500-40=1460),TCPSegementSize为1460的手机发送大彩信可以通过防火墙。之后我们优化WAP网关时,将WAP的MTU值修改为1350(这时WAP的MSS值为1350-40=1310),这时我们测试发现无法MSS值为1460的手机无法发送了。因此我们怀疑是防火墙有MSS值协商的功能,当防火墙的MSS值为1460,WAP的MSS值为1310时,协商后防火墙会将这次传输中自己的MSS值修改为1310,且防火墙未做切片处理,这样MSS为1460的包就无法通过防火墙的dmz口。和供应商神州数码的工程师咨询PIX是否支持MSS值的协商,对方答复不支持。为证实是否支持自协商,我们做了以下测试,结果表明PIX防火墙是支持MSS值的协商的:将防火墙的MSS值修改为1460,WAP网关的MTU值修改为1063(这时WAP的MSS值为1063-40=1023),使用MSS值为1024的手机发送大彩信时,如果防火墙不支持MSS值的协商,那么理论上这时数据包是能通过防火墙的,因为防火墙的MSS值远大于手机发出的数据包的MSS值。但是实际我们测试的结果是这种情况下手机发出的数据包无法通过防火墙。如图4和图5所示所示。图4PIX防火墙DMZ口数据包图4对应的数据包如下:图5PIX防火墙Inside口数据包图5对应的数据包如下:对比DMZ口和Inside口的数据包我们可以判断防火墙DMZ口将数据包丢弃了。另外我们从图5中可以看出,在手机完成PDP激活后,手机和WAP网关TCP三方握手时,WAP网关回送给手机的TCPSYN+ACK消息经过中的MSS值为1023,因此手机手机如果支持MSS的协商功能,那么手机发出的数据包的MSS值就应当为1023而不是1024。另仍有以下问题需要和防火墙厂商确认,为何在防火墙的MSS值为1380,手机发送的包的MSS为1460,且该数据包的Don’tFragment字段的值为0,即可以分片的情况下,防火墙没有做分片处理,而是直接丢弃。
本文标题:防火墙丢包问题分析报告
链接地址:https://www.777doc.com/doc-1998874 .html