Masalah jaringan dapat timbul dari
transportasi lapisan masalah pada router, terutama di tepi jaringan mana lalu
lintas diperiksa dan dimodifikasi. Dua teknologi lapisan umumnya dilaksanakan
transportasi adalah akses daftar kontrol (ACL) dan Network Address Translation
(NAT), seperti yang ditunjukkan dalam
Masalah yang paling umum dengan ACLs
disebabkan oleh konfigurasi pantas, seperti ditunjukkan pada gambar 2. Masalah
dengan ACLs dapat menyebabkan jika tidak bekerja sistem gagal. Ada beberapa
daerah yang mana misconfigurations sering terjadi:
- Pilihan arus lalu lintas – misconfiguration router yang paling umum adalah menerapkan ACL untuk lalu lintas yang salah. Lalu lintas didefinisikan oleh kedua antarmuka router melalui yang lalu lintas adalah bepergian dan arah di mana lalu lintas ini bepergian. Sebuah ACL harus diterapkan ke antarmuka yang benar, dan ke arah lalu lintas benar harus dipilih untuk berfungsi dengan baik.
- Perintah akses kontrol entri – entri di ACL harus dari spesifik untuk umum. Meskipun ACL mungkin memiliki entri khusus mengizinkan arus lalu-lintas tertentu, paket pernah cocok entri jika mereka ditolak oleh lain entri sebelumnya dalam daftar. Jika router menjalankan ACLs dan NAT, urutan di mana setiap teknologi ini diterapkan untuk arus lalu lintas penting. Lalu lintas masuk diproses oleh inbound ACL sebelum diproses oleh lalu lintas NAT. Outbound luar di-dalam diproses oleh ACL keluar setelah diproses oleh dalam di-luar NAT.
- Implisit menyangkal semua – ketika keamanan yang tinggi tidak diperlukan pada ACL, elemen kontrol akses implisit ini dapat menjadi penyebab misconfiguration ACL.
- Alamat dan masker wildcard IPv4 – kompleks IPv4 wildcard masker memberikan peningkatan yang signifikan dalam efisiensi, tetapi lebih tunduk pada kesalahan konfigurasi. Contoh topeng wildcard kompleks menggunakan alamat IPv4 10.0.32.0 dan wildcard topeng 0.0.32.15 untuk memilih host pertama 15 alamat baik 10.0.0.0 jaringan atau 10.0.32.0 jaringan.
- Pilihan protokol transport-layer – saat mengkonfigurasi ACLs, sangat penting bahwa hanya protokol lapisan transport benar ditentukan. Banyak administrator jaringan, ketika Zhi arus lalu-lintas tertentu menggunakan TCP port atau UDP port, mengkonfigurasi keduanya. Menentukan kedua membuka sebuah lubang melalui firewall, mungkin memberikan penyusup avenue ke jaringan. Itu juga memperkenalkan elemen tambahan ke ACL, sehingga ACL memakan waktu lama untuk proses, memperkenalkan latensi lebih ke dalam jaringan komunikasi.
- Sumber dan tujuan Port – benar mengontrol lalu lintas antara dua host memerlukan elemen kontrol akses simetris untuk ACL inbound dan outbound. Alamat dan port informasi untuk lalu lintas yang dihasilkan oleh sejumlah menjawab adalah cerminan dari informasi alamat dan port untuk lalu lintas yang dihasilkan oleh tuan rumah memulai.
- Penggunaan kata kunci didirikan – kata kunci didirikan meningkatkan keamanan yang disediakan oleh ACL. Namun, jika kata kunci diterapkan secara tidak benar, hasil yang tidak diharapkan dapat terjadi.
- Protokol jarang – salah dalam mengonfigurasi ACLs sering menyebabkan masalah untuk protokol selain TCP dan UDP. Jarang protokol yang mendapatkan popularitas adalah VPN dan enkripsi protokol.
Kata kunci log adalah perintah yang
berguna untuk melihat ACL operasi pada entri ACL. Kata kunci ini
menginstruksikan router untuk menempatkan sebuah entri di log sistem setiap
kali entri kondisi yang cocok. Acara log termasuk rincian paket yang cocok
elemen ACL. Kata kunci log sangat berguna untuk pemecahan masalah dan juga
menyediakan informasi tentang intrusi upaya diblokir oleh ACL.
Chapter 9: Troubleshooting
the Network 9.2.2.5 Transport Layer Troubleshooting – NAT for IPv4
Ada beberapa masalah dengan NAT
seperti tidak berinteraksi dengan layanan seperti DHCP dan tunneling. Ini dapat
termasuk NAT misconfigured di dalam, NAT di luar, atau ACL. Isu-isu lain
termasuk interoperabilitas dengan teknologi jaringan lainnya, terutama mereka
yang mengandung atau memperoleh informasi dari pengalamatan jaringan host dalam
paket. Beberapa teknologi tersebut meliputi:
- Bootp dalam sistem operasi dan DHCP – protokol kedua mengelola otomatis penugasan alamat IPv4 kepada klien. Ingat bahwa paket pertama yang mengirim klien baru adalah sebuah paket IPv4 siaran DHCP-permintaan. Paket DHCP-permintaan memiliki sumber alamat IPv4 0.0.0.0. Karena NAT memerlukan yang berlaku tujuan dan sumber alamat IPv4, bootp dalam sistem operasi dan DHCP dapat mengalami kesulitan beroperasi router menjalankan statis atau dinamis NAT. mengkonfigurasi fitur penolong IPv4 dapat membantu memecahkan masalah ini.
- DNS dan menang – karena router menjalankan dinamis NAT berubah hubungan antara bagian dalam dan luar alamat secara teratur sebagai tabel entri berakhir dan diciptakan kembali, server DNS atau menang di luar NAT router tidak memiliki representasi akurat jaringan di dalam router. Mengkonfigurasi fitur penolong IPv4 dapat membantu memecahkan masalah ini.
- SNMP – mirip dengan paket DNS, NAT tidak mampu mengubah menangani informasi yang disimpan dalam payload data paket. Karena ini, SNMP manajemen Stasiun pada satu sisi NAT router mungkin tidak dapat menghubungi agen SNMP di sisi lain NAT router. Mengkonfigurasi fitur penolong IPv4 dapat membantu memecahkan masalah ini.
- Tunneling dan enkripsi protokol – enkripsi dan tunneling protokol sering memerlukan bahwa lalu lintas bersumber dari TCP atau UDP port tertentu, atau menggunakan protokol lapisan pengangkut yang tidak dapat diproses oleh NAT. Sebagai contoh, protokol IPsec tunneling dan generik protokol enkapsulasi routing yang digunakan oleh implementasi VPN tidak dapat diproses oleh NAT.
Catatan: DHCPv6 dari sebuah IPv6
klien dapat diteruskan oleh router menggunakan ipv6 dhcp relay perintah.
