PIX Firewall causando perda de pacotes

2

Atualmente, estou no processo de modificar como a Internet chega aos meus servidores front-end e estou tendo um problema estranho com uma das pilhas existentes.

Existe um firewall físico que está acima do servidor, se eu usar isso, eu começo a receber a perda de pacotes através de toda a sub-rede, se eu usar o wireshark eu posso ver solicitações arp mas ainda assim recebo perda de pacotes. No segundo em que tiro esse firewall, o problema desaparece. Se eu encaminhar o firewall diretamente para o servidor front-end, ainda não receberei nenhum problema.

Tudo isso me leva a acreditar que deve haver algo errado com minha configuração, mas não consigo ver o que, para minha vida:

interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security4
enable password ************ encrypted
passwd ************ encrypted
hostname sbc-cfw-02
fixup protocol dns maximum-length 512
no fixup protocol ftp 21
no fixup protocol h323 h225 1720
no fixup protocol h323 ras 1718-1719
fixup protocol http 80
no fixup protocol rsh 514
no fixup protocol rtsp 554
no fixup protocol sip 5060
no fixup protocol sip udp 5060
no fixup protocol skinny 2000
no fixup protocol smtp 25
no fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.17.2.0 as-net
name 10.17.2.1 sbc-fw-02-E1
name 10.17.2.2 sbc-as-01-E0
name 10.150.0.0 fe-net
name 10.150.0.221 sbc-fe-01-E1
name 10.150.0.222 sbc-fw-02-E0
name 10.150.0.223 sbc-as-01-nat
object-group service webstuff tcp
  port-object eq www
  port-object eq https
  port-object eq 8888
access-list inside_access_in permit icmp any any
access-list inside_access_in permit ip any any
access-list inside_access_in permit tcp any any
access-list inside_access_in permit udp any any
access-list inside_access_in permit tcp any host sbc-as-01-nat
access-list acl-web permit icmp any any
access-list acl-web permit tcp any any
access-list acl-web permit tcp any any object-group webstuff
access-list acl-web permit tcp any host sbc-as-01-nat eq ssh
pager lines 24
icmp permit any outside
icmp permit any inside
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside sbc-fw-02-E0 255.255.255.0
ip address inside sbc-fw-02-E1 255.255.255.0
no ip address intf2
ip audit info action alarm
ip audit attack action alarm
pdm logging informational 100
pdm history enable
arp timeout 14400
global (outside) 1 10.150.0.1-10.150.0.210
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) sbc-as-01-nat sbc-as-01-E0 netmask 255.255.255.255 0 0
access-group acl-web in interface outside
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 10.150.0.27 1
route outside 10.0.0.0 255.255.255.0 10.150.0.12 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3
aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
aaa-server RADIUS max-failed-attempts 3
aaa-server RADIUS deadtime 10
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80

O front-end webserver (sbc-as-01) está na faixa 10.17.2.0, e o lado com problemas é a sub-rede 10.150.0. *.

Deixe-me saber se você precisar de mais informações!

    
por boburob 28.07.2012 / 08:53

1 resposta

4

É muito provável que você tenha uma configuração de velocidade / duplex incompatível em um (ou ambos) desses links ...

interface ethernet0 100full
interface ethernet1 100full

Quase todas as interfaces ethernet são padronizadas para negociação automática. Se você configurou a velocidade manual / duplex nessas interfaces de firewall, a negociação automática do outro lado falhará (geralmente voltando para a metade). O duplex incompatível resulta em colisões (e, portanto, perda de pacotes). Basta remover as configurações manuais de velocidade / duplex no Cisco ...

Não há bons motivos para codificar a velocidade / duplex nestes dias. Nos primeiros dias de autoneg, não era bem padronizado; no entanto, esses dias se foram há muito tempo.

    
por 28.07.2012 / 16:09