背景介紹

最近某企業(yè)近期網(wǎng)絡(luò)改造，需要將部門對專網(wǎng)和公網(wǎng)的訪問權(quán)限隔離開來，即“研發(fā)部通過某C防火墻上研發(fā)專網(wǎng)，辦公區(qū)可以上互聯(lián)網(wǎng)，但要保證兩者均能互訪”。拓?fù)浜喕缦拢?/p>

• 研發(fā)部-VLAN10：網(wǎng)關(guān)為192.168.10.2即專網(wǎng)防護(hù)墻，可訪問研發(fā)專網(wǎng)
• 辦公區(qū)VLAN20：網(wǎng)關(guān)為192.168.10.1即核心交換機(jī)，可訪問互聯(lián)網(wǎng)
• 防火墻配置靜態(tài)路由，目的VLAN20下一跳交給核心

按照上述方式部署以后，IT人員發(fā)現(xiàn)只有研發(fā)部VLAN10能訪問到辦公區(qū)VLAN20而反之則不行，一通排查下來發(fā)現(xiàn)原因是訪問路徑不對等，防火墻將包給丟掉了！

問題分析

最玩過防火墻（后文簡稱FW）的朋友或多或少都聽說過FW會因?yàn)槁窂讲粚Φ榷鴣G包，其原理是什么呢？我們基于這個(gè)拓?fù)鋪砜匆幌隆?/p>

首先看VLAN10—>VLAN20成功，路徑如下：

可以看到VLAN10去往VLAN20的路徑是（PC2-FW-核心SW-PC1），即①②③④，PC2發(fā)出的ICMP Request經(jīng)過FW后會生成Session（會話）同時(shí)將包轉(zhuǎn)發(fā)出去。

VLAN20回包路徑是（PC2-核心SW-PC1），即⑤⑥。這個(gè)ICMP Reply不經(jīng)過防火墻直接到研發(fā)部，來回是成功的。

然后看VLAN20—>VLAN10失敗，路徑如下：

VLAN20訪問VLAN10的路徑是①②，ICMP Request能被研發(fā)部設(shè)備收到?jīng)]問題。但是VLAN20的回包路徑是③④，此時(shí)當(dāng)FW收到ICMP Reply后會檢查Session狀態(tài)是否存在，答案是沒有的！因?yàn)闆]收到過Request。

會話檢查后FW就把ICMP Reply丟掉了。這就是FW組網(wǎng)場景對路徑不對等的報(bào)文丟棄的原理，TCP三次握手也是一樣，我這里就不細(xì)說了。那么如何解決呢？

解決方案

通過上述分析可知防火墻基于會話狀態(tài)檢測機(jī)制丟包，即默認(rèn)的“嚴(yán)格模式”。華三防火墻可通過配置會話狀態(tài)機(jī)為“寬松模式”來實(shí)現(xiàn)類似寬松的效果，相關(guān)命令如下：

<H3C> system-view  
[H3C] session state-machine mode loose

需注意：開啟"寬松模式"可能會帶來一定的安全風(fēng)險(xiǎn)，建議根據(jù)具體的網(wǎng)絡(luò)環(huán)境和安全需求謹(jǐn)慎配置，并結(jié)合其他安全措施保障網(wǎng)絡(luò)安全。