PIX Firewall che causa la perdita di pacchetti

Attualmente sto procedendo a modificare come Internet raggiunge i miei server front-end e sto avendo un problema strano con uno degli stack esistenti.

C'è un firewall fisico che è al di sopra del server, se lo uso, inizia a ricevere la perdita di pacchetti su tutta la substring, se utilizzo il wireshark posso vedere le richieste arp ma ho ancora la perdita di pacchetti. Il secondo ho portto via questo firewall, il problema è scomparso. Se giro in giro il firewall direttamente al server front-end, non ho ancora alcun problema.

Tutto questo mi port a credere che ci sia qualcosa di sbagliato con il mio config, ma non riesco a vedere cosa per la vita di me:

interface ethernet0 100full interface ethernet1 100full interface ethernet2 auto shutdown nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 intf2 security4 enable password ************ encrypted passwd ************ encrypted hostname sbc-cfw-02 fixup protocol dns maximum-length 512 no fixup protocol ftp 21 no fixup protocol h323 h225 1720 no fixup protocol h323 ras 1718-1719 fixup protocol http 80 no fixup protocol rsh 514 no fixup protocol rtsp 554 no fixup protocol sip 5060 no fixup protocol sip udp 5060 no fixup protocol skinny 2000 no fixup protocol smtp 25 no fixup protocol sqlnet 1521 fixup protocol tftp 69 names name 10.17.2.0 as-net name 10.17.2.1 sbc-fw-02-E1 name 10.17.2.2 sbc-as-01-E0 name 10.150.0.0 fe-net name 10.150.0.221 sbc-fe-01-E1 name 10.150.0.222 sbc-fw-02-E0 name 10.150.0.223 sbc-as-01-nat object-group service webstuff tcp port-object eq www port-object eq https port-object eq 8888 access-list inside_access_in permit icmp any any access-list inside_access_in permit ip any any access-list inside_access_in permit tcp any any access-list inside_access_in permit udp any any access-list inside_access_in permit tcp any host sbc-as-01-nat access-list acl-web permit icmp any any access-list acl-web permit tcp any any access-list acl-web permit tcp any any object-group webstuff access-list acl-web permit tcp any host sbc-as-01-nat eq ssh pager lines 24 icmp permit any outside icmp permit any inside mtu outside 1500 mtu inside 1500 mtu intf2 1500 ip address outside sbc-fw-02-E0 255.255.255.0 ip address inside sbc-fw-02-E1 255.255.255.0 no ip address intf2 ip audit info action alarm ip audit attack action alarm pdm logging informational 100 pdm history enable arp timeout 14400 global (outside) 1 10.150.0.1-10.150.0.210 nat (inside) 1 0.0.0.0 0.0.0.0 0 0 static (inside,outside) sbc-as-01-nat sbc-as-01-E0 netmask 255.255.255.255 0 0 access-group acl-web in interface outside access-group inside_access_in in interface inside route outside 0.0.0.0 0.0.0.0 10.150.0.27 1 route outside 10.0.0.0 255.255.255.0 10.150.0.12 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10 aaa-server RADIUS protocol radius aaa-server RADIUS max-failed-attempts 3 aaa-server RADIUS deadtime 10 aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable telnet timeout 5 ssh timeout 5 console timeout 0 terminal width 80 

Il server web front-end (sbc-as-01) si trova sulla gamma 10.17.2.0 e il lato che ha problemi è la substring 10.150.0. *.

Fammi sapere se hai bisogno di ulteriori informazioni!

One Solution collect form web for “PIX Firewall che causa la perdita di pacchetti”

Le probabilità sono abbastanza buone che hai una impostazione di velocità / duplex non corrispondente su uno (o entrambi) di questi collegamenti …

 interface ethernet0 100full interface ethernet1 100full 

Quasi tutte le interfacce ethernet sono predefinite per la negoziazione automatica. Se avete configurato velocità / duplex manuali su queste interfacce firewall, allora l'autonegotiation dall'altra parte non riuscirà (di solito torna a 100-metà). Il duplex non corrispondente produce collisioni (e quindi perdita di pacchetti). Basta rimuovere le impostazioni velocità / duplex manuali su Cisco …

Non esiste alcuna buona ragione per la velocità di codifica hard-duplex in questi giorni. Nei primi giorni di autoneg, non era ben standardizzato; comunque, quei giorni sono passati a lungo.

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.