大家都知道ping是无状态的三层报文,而telnet是有状态的四层以上的报文。下面从一个现象来说明问题。
环境:
CISCO7609上面配置了多个vlan包括vlan100和vlan109,并且7609上面配置了3个VRF,vlan100属于vlan31,vlan109属于vlan32。不同vrf之间通过fwsm互联。有2台服务器,其一(命令为SerA)的ip分别为123.37.109.15。另外一台(命令为SerB)比较特别,其网口配置成了trunk模式,不同子接口ip包括123.37.100.246,123.37.108.246以及123.37.109.246等,其路由表如下:
测试结果:
从123.37.109.15 ping 123.37.100.246,结果通讯正常;但是从123.37.109.15 telnet 123.37.100.246 22(此端口本地测试通讯正常)却不通。
分析:
1,从123.37.109.15 ping 123.37.100.246:
经过fwsm转发后,SerB从接口bond0.100上面接收到123.37.109.15的echo request的数据包,然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发,所以从bond0.109转发数据包,经过fwsm转发到源服务器SerA,通讯正常。如下SerB上bond0.100和bond0.109的抓包:
2,从123.37.109.15 telnet 123.37.100.246 的 22端口:
经过fwsm转发后,SerB从接口bond0.100上面接收到123.37.109.15的syn的数据包,然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发,所以从bond0.109转发ack数据包,经过fwsm转发到源服务器SerA,但是通讯却失败。于是抓包如下:
在SerA上抓到dst port 22的数据包:
在SerB上抓从123.37.109.15过来的ssh数据包:
在SerB上抓到123.37.109.15的返回数据包:
在SerA上抓到从123.37.100.246返回的数据包:
分析结论:
所以根据上面截图可以分析出源服务器SerA收到了发往123.37.100.246的22端口的返回数据包,而且源和目的端口都正确,但是为什么就是不通呢?而ping包为什么又是通的呢?这就需要从ping和telnet上面来分析了。首先大家都知道ping是无状态的三层数据包,而telnet是有状态的四层以上的数据包,所以在针对这些数据包的处理方式上肯定存在区别。当ping包经过了fwsm后,由于其为无状态报文,所以fwsm制作简单处理后转发数据包;然后当telnet的报文经过fwsm后,由于其为有状态报文,所以fwsm需要做序列号的重新编号和状态检测处理,然后转发数据包。虽然源服务器貌似接收到了telnet的返回数据包,但是与自己发送的syn报文的序列号不匹配,所以此telnet进程就失败了。
