认识Ping与Telnet通过Fwsm的区别

大家都知道是无状态的三层报文，而是有状态的四层以上的报文。下面从一个现象来说明问题。

环境

CISCO7609上面配置了多个VLan包括vlan100和vlan109，并且7609上面配置了3个VRF，vlan100属于vlan31，vlan109属于vlan32。不同vrf之间通过互联。有2台服务器，其一（命令为SerA）的IP分别为123.37.109.15。另外一台(命令为SerB)比较特别，其网口配置成了trunk模式，不同子接口IP包括123.37.100.246，123.37.108.246以及123.37.109.246等，其路由表如下：

测试结果

从123.37.109.15 123.37.100.246，结果通讯正常；但是从123.37.109.15 123.37.100.246 22（此端口本地测试通讯正常）却不通。

分析

1、从123.37.109.15 123.37.100.246

经过转发后，SerB从接口bond0.100上面接收到123.37.109.15的echo request的数据包，然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发，所以从bond0.109转发

数据包，经过转发到源服务器SerA，通讯正常。如下SerB上bond0.100和bond0.109的抓包：

2、从123.37.109.15 123.37.100.246 的 22端口

经过转发后，SerB从接口bond0.100上面接收到123.37.109.15的syn的数据包，然后查找路由表发现返回到123.37.109.15的数据包需要通过bond0.109接口转发，所以从bond0.109转发ack数据包，经

过转发到源服务器SerA，但是通讯却失败。于是抓包如下：

在SerA上抓到dst port 22的数据包：

在SerB上抓从123.37.109.15过来的ssh数据包：

在SerB上抓到123.37.109.15的返回数据包：

在SerA上抓到从123.37.100.246返回的数据包：

分析结论

所以根据上面截图可以分析出源服务器SerA收到了发往123.37.100.246的22端口的返回数据包，而且源和目的端口都正确，但是为什么就是不通呢？而包为什么又是通的呢？这就需要从和上面来分析了。首先大家都知道是无状态的三层数据包，而是有状态的四层以上的数据包，所以在针对这些数据包的处理方式上肯定存在区别。当包经过了后，由于其为无状态报文，所以制作简单处理后转发数据包；然后当的报文经过后，由于其为有状态报文，所以需要做序列号的重新编号和状态检测处理，然后转发数据包。虽然源服务器貌似接收到了的返回数据包，但是与自己发送的syn报文的序列号不匹配，所以此进程就失败了。