USG5310 配置ip-link导致访问公网不成功

发布时间:  2012-07-17 浏览次数:  127 下载次数:  0
问题描述
客户配置USG5310出去上网,但是所有上网该做的配置都做了访问外网还是不通,ping出口公网地址是通的。
告警信息
处理过程
检查配置发现,没有做nat转换。让客户加上nat outbound后,还是不能上公网。但是能ping通出口公网地址了,但ping公网网关还是不通。由于客户不希望外网访问设备,就配置了local到untrust的默认拒绝访问的包过滤。但是域间是允许了所有包裹滤,所以也觉得不会影响内网去访问公网。
由于不能ping通公网网关,所以想放开local到untrust的默认包过滤,在设备上ping看看能否ping通公网网关。放开后,能够ping通公网网关,同时弹出如下消息:
2011-09-25 13:58:42 USG5310 %%01IPLINK/4/WARNING(l): Link 1 change to up
并且访问公网正常了。
才发现客户配置了一条带ip-link的静态路由
 ip-link check enable
 ip-link 1 destination 110.189.88.1 mode icmp
 ip route-static 0.0.0.0 0.0.0.0 1.1.1.1 ip-link 1
如果local到untrust的默认包过滤为拒绝,ip-link状态如下:
[USG5310]dis ip-link 1
13:51:53  2011/09/25
num state timer mode  vpn-instance        ip-address       interface-name
1   down  3     icmp                      1.1.1.1
才找到原因是包过滤把从local域的ip-link检查链路的icmp包过滤掉了,状态就down了,所以认为远端不可达,导致无法访问外网。要么取消ip-link,要么就放开local到untrust的默认包过滤,问题解决。
根因
怀疑没有配置完整,或者配置错误。
建议与总结
如果防火墙本地策略里拒绝了ping测试,建议不要配置发送icmp包的ip-link链路检查。

END