您所在的位置:cisco专区 > 思科技术 > vista 不能穿过ASA

vista 不能穿过ASA

2011-05-10 12:41 佚名 网络转载 字号:T | T
一键收藏,随时查看,分享好友!

内部机器全部在同一网段,经过一个二层交换机接入防火墙,通过防火墙的 NAT 访问互联网;以前内部办公机器都是 xp 操作系统,现在新采购了一批 vista 操作系统新机器。让我们来看一下vista 不能穿过ASA的过程。

AD:

防火墙实验网络拓扑

故障现象

1、 vista操作系统的办公机器在接入网络时,本地连接便显示网络连接正在识别,提示找不到网络;

2、 使用ifconfig/all命令查看vista系统的ip地址情况如下图所示:

通过上图,我们发现:vista系统的首选地址变成了169.254.180.208,而不是先前收到设置的192.168.0.23了;

1、 用户反馈,如果vista系统的办公机器只接入交换机不会出现这种情况,但一旦接入防火墙,故障现象就会出现。

2、 XP系统的办公机器一切正常。

故障现象

首先根据用户反馈的故障现象,从自己的经验出发,个人认为这个跟网络应该没有什么关系,估计是操作系统的问题,于是打microsoft OEM厂商的800电话咨询关于vista系统ip地址“突变”的原因,得到的回复是:从未出现过此类问题,可能跟现场环境有关。

根据用户反馈的情况测试:首先,设好vista系统机器的ip地址后,将其接入一台普通的交换机,查看vista机器的ip地址,的确正常,如下图所示

难道真的跟防火墙有关?

1、 既然怀疑跟防火墙有关,我们便将注意力放到防火墙上来,telnet到防火墙上,使用使用tcpdump –i eth2 host 192.168.0.23 –n命令抓取测试vista主机的数据包。

重启vista主机,发现vista主机在系统启动后,发送了一个源ip为0.0.0.0、目的ip为其配置的ip的arp请求包,同时,防火墙回应了该arp请求包,如下图所示

2、防火墙为什么会回应该数据包?我们检查防火墙配置,发现防火墙上手动将内部办公网段设为静态arp代理。跟用户确认该问题,原来用户误认为该功能可能会解决arp欺骗问题,尝试设置后,忘记将其删除了。

故障解决

删除防火墙上手动添加的arp代理项,故障现象消失,故障解决。

【编辑推荐】

  1. vista无线路由设置全分析
  2. 图解Vista下无线网配置方法
  3. 清清楚楚学vista无线上网设置
  4. 思科ASA防火墙实现动态路由协议的全冗余
  5. 负载均衡和Web应用防火墙作为梭子鱼发展重点
【责任编辑:liyan TEL:(010)68476606】



分享到:

栏目热门

更多>>

热点职位

更多>>

热点专题

更多>>

读书

JavaScript核心技术
它从最简单的地方入手,不仅讲述了JavaScript的基础知识,还讲述了JavsScript如何操作CSS、DOM等Ajax基础技术。而关于跨浏览器兼

51CTO旗下网站

领先的IT技术网站 51CTO 领先的中文存储媒体 WatchStor 中国首个CIO网站 CIOage 中国首家数字医疗网站 HC3i 51CTO学院