一、网络拓朴(PIX525是透明模式)
internet----pix525---switch---各个具有公网IP的20台服务器
这20台服务器,其中有七台是IBM3650的。且PIX 525的IOS版本是IOS 7.2
A、现象是,其中一台服务器在internet上是PING(centos5.1 or win2k3-sp2)不通的。但在同一交换机上的其它服务器上是可以PING通的,如果通过ssh 或是远程桌面连上此台服务器后。再在internet上PING其或是TELNET其便可以了。
B、如果不通过PIX525是一直正常的。
C、如果internet---switch--其它19台服务器
--PIX 525--这台服务器
这种方式下仍然不行,仍需要通过交换机上同一子网的其他服务器SSH or 远程桌面后,才可以PING通。(此时防火墙仍只对这台服务器起作用。但仍可以在交换机上能PING通。有点怀疑是IDC上级交换机的问题?在于可是其它服务器怎么就没有此问题呢。)
(这时,就有问题了,好像和PIX525又没有关系了。郁闷)
为了解决这个问题。我采用过如下步骤:
1、升级这台服务器的BIOS
2、服务器安装LINUX或是WINDOWS后,升级网卡驱动Broadcom NetXtreme II BCM5708 1000Base-T (B2) PCI-X 64-bit 133MHz
3、更换网线,电源线,更改网卡MAC地址、绑定网关IP及MAC等均仍不行。
4、曾怀疑过路由的问题,但是只有一个路由。还是默认路由。
5、换过交换机,现在用的交换机是CISCO 2950的。
有过一次,安装了WINDOWS后,改MAC,升级网卡驱动。竟然行了。同样的网络条件下装成CENTOS5.1就又不行了。(但我需要用到的是LINUX)
请问各位达人,有没有遇到此问题。还请给点方法?
附近PIX 525的配置文件:
asdm image flash:/asdm521.bin
no asdm history enable
: Saved
:
PIX Version 7.2(1)
!
firewall transparent
hostname i360edu
domain-name default.domain.invalid
enable password YSZwhCRNWaQ9YBsy encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list out-list extended permit icmp any any
access-list out-list extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip address 192.168.2.1 255.255.255.0
no failover
monitor-interface outside
monitor-interface inside
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group out-list in interface outside
access-group out-list out interface outside
access-group out-list in interface inside
access-group out-list out interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
arp-inspection outside enable flood
arp-inspection inside enable flood
prompt hostname context
Cryptochecksum:c1a48610472b4da98ff0ea17b8b7759f
internet----pix525---switch---各个具有公网IP的20台服务器
这20台服务器,其中有七台是IBM3650的。且PIX 525的IOS版本是IOS 7.2
A、现象是,其中一台服务器在internet上是PING(centos5.1 or win2k3-sp2)不通的。但在同一交换机上的其它服务器上是可以PING通的,如果通过ssh 或是远程桌面连上此台服务器后。再在internet上PING其或是TELNET其便可以了。
B、如果不通过PIX525是一直正常的。
C、如果internet---switch--其它19台服务器
--PIX 525--这台服务器
这种方式下仍然不行,仍需要通过交换机上同一子网的其他服务器SSH or 远程桌面后,才可以PING通。(此时防火墙仍只对这台服务器起作用。但仍可以在交换机上能PING通。有点怀疑是IDC上级交换机的问题?在于可是其它服务器怎么就没有此问题呢。)
(这时,就有问题了,好像和PIX525又没有关系了。郁闷)
为了解决这个问题。我采用过如下步骤:
1、升级这台服务器的BIOS
2、服务器安装LINUX或是WINDOWS后,升级网卡驱动Broadcom NetXtreme II BCM5708 1000Base-T (B2) PCI-X 64-bit 133MHz
3、更换网线,电源线,更改网卡MAC地址、绑定网关IP及MAC等均仍不行。
4、曾怀疑过路由的问题,但是只有一个路由。还是默认路由。
5、换过交换机,现在用的交换机是CISCO 2950的。
有过一次,安装了WINDOWS后,改MAC,升级网卡驱动。竟然行了。同样的网络条件下装成CENTOS5.1就又不行了。(但我需要用到的是LINUX)
请问各位达人,有没有遇到此问题。还请给点方法?
附近PIX 525的配置文件:
asdm image flash:/asdm521.bin
no asdm history enable
: Saved
:
PIX Version 7.2(1)
!
firewall transparent
hostname i360edu
domain-name default.domain.invalid
enable password YSZwhCRNWaQ9YBsy encrypted
names
!
interface Ethernet0
nameif outside
security-level 0
!
interface Ethernet1
nameif inside
security-level 100
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
access-list out-list extended permit icmp any any
access-list out-list extended permit ip any any
pager lines 24
logging enable
logging asdm informational
mtu outside 1500
mtu inside 1500
ip address 192.168.2.1 255.255.255.0
no failover
monitor-interface outside
monitor-interface inside
asdm image flash:/asdm521.bin
no asdm history enable
arp timeout 14400
access-group out-list in interface outside
access-group out-list out interface outside
access-group out-list in interface inside
access-group out-list out interface inside
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
http server enable
http 192.168.2.0 255.255.255.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.2.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
!
service-policy global_policy global
arp-inspection outside enable flood
arp-inspection inside enable flood
prompt hostname context
Cryptochecksum:c1a48610472b4da98ff0ea17b8b7759f
: end
本文转自 rickyfang 51CTO博客,原文链接:http://blog.51cto.com/rickyfang/126881,如需转载请自行联系原作者