因路由问题导致TSM WEB推送失败解决案例

发布时间:  2012-07-17 浏览次数:  67 下载次数:  0
问题描述
某局点测试环境中没有提供交换机做组网辅助,只通过一台硬件SACG将终端与服务器连接起来,终端与服务器分别处于TRUSTUNTRUST区域。并在USG5300上配置了WEB推送。客户端和服务器的网关分别配置为各自相连的接口IP。组网如下图显示
告警信息
处理过程

1、客户端上ping服务器的IP地址是通的,说明网络连通性正常;

2、在客户端上直接访问http://192.168.0.100:8080/webauth,能推送出来;证明防火墙上的web推送配置正常;

3、在客户端上再次访问一个任意IP 1.1.1.1并抓包分析,发现提示目的地址不可达;

4、防火墙上查看,没有到达1.1.1.1的路由,因此配上一条缺省路由,下一跳地址为192.168.0.100,再次访问,WEB推送成功。

根因
由于防火墙上没有缺省的路由,在终端发出目的地为1.1.1.1http请求报文在到达防火墙trust即可时被丢弃,导致报文没有从TRUST流到UNTRUST,所以也就不会应用域间的WEB推送规则。
建议与总结

END