USG5150做SACG准入控制针对打印机应用

发布时间:  2016-06-08 浏览次数:  95 下载次数:  0
问题描述

 

 

目前现网核心两台思科交换机,采用的HSRP负载均衡的方式,将内网不同网段分别走不同的核心交换机上,内网网关目前在核心交换机上。两台SACG为单独两台SACG硬件设备,配合内网部署的一套Agile Controller系统  分别将两个交换机引流过来的流量做准入控制。核心交换机在vlan下进行匹配源地址策略路由将流量引流到SACG,SACG通过默认路由进行回注。目前网段按照奇偶数之分,分别引流至不同SACG上。通过自定义联动策略对打印机的灵活控制。

问题现象:当偶数PC访问偶数打印机(或奇数PC—奇数打印机)时,对于没有添加自定义联动策略的用户也能进行通信。

告警信息
处理过程
1.在客户网络中进行偶数网段PC到偶数段打印机的访问,观察路由表发现由于所有的偶数终端的互访都被引流至同一个SACG后,会话呈现正反方向的数据信息。(该目的地址为未添加联动策略的打印机,也能访问)

<SACG_B>
<SACG_B>display firewall session table verbose destination inside 11.4.86.74
10:41:06  2016/05/25
Current Total Sessions : 1
   103650  icmp  VPN:public --> public
  Zone: trust--> trust  PolicyID: default  TTL: 00:00:20  Left: 00:00:18
  Output-interface: GigabitEthernet0/0/2  NextHop: 11.4.255.49  MAC: 00-16-9c-46-60-00
  <--packets:233 bytes:13980   -->packets:233 bytes:13980
  11.4.88.15:512-->11.4.86.74:2048

2.进行偶数PC到奇数打印机的访问测试,由于偶数段到奇数段之间的测试正反方向流量被引流至不同SACG上,所以会话呈现单方向数据。

<SACG_B>display firewall session table verbose destination inside 11.4.85.33
10:50:28  2016/05/25
Current Total Sessions : 1
  67722  icmp  VPN:public --> public
  Zone: untrust--> trust  PolicyID: default  TTL: 00:00:20  Left: 00:00:16
  Output-interface: GigabitEthernet0/0/2  NextHop: 11.4.255.49  MAC: 00-16-9c-46-60-00
  <--packets:0 bytes:0   -->packets:7 bytes:420
  11.4.88.15:512-->11.4.85.33:2048
3.对于偶数PC访问偶数打印机,未添加联动策略的打印机也能访问的问题。和客户了解后得知,在SACG配置的后域中客户将所有地址在后域中进行了添加,所以当偶数PC进行访问偶数打印机时,正方向的流量是可以正常通过的,由于反方向的流量同样被引流至同一个SACG,所以该流量匹配到正方向会话后直接转发。造成该未添加的偶数段打印机被偶数段PC访问。(奇数PC到奇数打印机访问同理)
根因
根因:客户网络中打印机IP在所有域里存在,PC认证后正方向可以到达打印机,打印机的反方向流量会被重定向到同一个SACG,反方向流量会匹配到正方向流量的会话,而直接转发到PC端。造成打印机不添加自定义联动策略也能够访问,来回路径不一致导致的,关闭状态检测。
解决方案

1、 偶数-偶数、奇数-奇数

解决办法:在SACG所有域(包括后域,或者新建域)中将打印机IP删除,针对需要开放的打印机访问时在联动策略中开放打印机为目的地址的联动策略。反方向流量在同一台SACG上会匹配会话直接转发。

policy right-manager

policy 0                      //允许任何终端访问打印机

  action permit

policy source ANY

policy destination 打印机

2、 偶数-奇数、奇数-偶数

对于偶数PC-奇数打印机(或奇数PC-偶数打印机)的访问。

解决方法:在所有域中将打印机IP删除,用联动策略来控制打印机的访问;

偶数-奇数的正方向流量需要开启该偶数引流SACG中开放打印机为目的地址的联动策略,

反方向流量需要开启该奇数打印机引流SACG中开放打印机为源地址的联动策略,



policy right-manager

policy 0                      //允许任何终端访问打印机

  action permit

policy source ANY

policy destination 打印机



policy 1                       //允许打印机回应任何终端

  action permit

policy source打印机

policy destination ANY

END