透明模式下跨网段访问usg5300管理地址不通问题

发布时间:  2014-09-12 浏览次数:  417 下载次数:  0
问题描述
PC的网关在核心上,中间经过接二层交换机和usg5300,防火墙为透明模式,pc和设备管理地址不在同一个管理vlan,PC不能ping通防火墙的管理地址,网络结构如图:

各相关设备配置:

防火墙配置
#
firewall packet-filter default permit  all
#
interface GigabitEthernet0/0/0
  port trunk allow-pass vlan 1 51 to 53 1000 to 1001
#
interface GigabitEthernet0/0/3
  port trunk allow-pass vlan 1 51 1001
#
firewall zone trust
  add interface GigabitEthernet0/0/1
#
firewall zone untrust
  add interface GigabitEthernet0/0/0
#
interface Vlanif1001
  ip address 172.254.2.135 255.255.255.192
#
ip route-static 0.0.0.0 0.0.0.0 172.254.2.129

核心交换机
#
interface GigabitEthernet 1/1
  switchport mode trunk
#
interface VLAN 51
  no ip proxy-arp
  ip address 172.254.3.2 255.255.255.192
  vrrp 1 priority 120
  vrrp 1 timers advertise 3
  vrrp 1 version 3
  vrrp 1 ip 172.254.3.1
  vrrp 1 track 172.254.2.140 30
#
interface VLAN 1001
  no ip proxy-arp
  ip address 172.254.2.130 255.255.255.192
  vrrp 1 priority 120
  vrrp 1 timers advertise 3
  vrrp 1 version 3
  vrrp 1 ip 172.254.2.129

汇聚交换机
#
interface GigabitEthernet 0/16
  switchport access vlan 51
#
interface GigabitEthernet 0/17
  switchport mode trunk
#
interface VLAN 1001
  ip address 172.254.2.141 255.255.255.192
#
ip route 0.0.0.0 0.0.0.0 172.254.2.129

告警信息
处理过程

1、检查配置路由器包过滤等均无问题。
2、根据配置,访问usg的管理地址报文要多次经过防火墙,如下图。

  ping墙的管理地址时,查看会话:
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:09
  Interface: GigabitEthernet0/0/1  NextHop: 172.254.2.135  MAC: 00-00-5e-00-01-02
  <--packets:0 bytes:0   -->packets:5 bytes:420
  172.254.3.3:57-->172.254.2.135:2048
  按照上图的报文走向分析,上面的会话是第一次通过防火墙时建立,但是从核心交换机返回到usg上第二次经过防火墙的报文应该还要建一条session,方向是从untrust到local,但是由于源和目的地址都是一样,由于防火墙会话表转发关系,防火墙认为这是一个不合法报文,不建立新session,并将报文丢弃,访问不成功。
3、解决方法:将防火墙上的管理vlan加入虚拟防火墙,增加配置如下:
#
ip vpn-instance vfw1 vpn-id 1
  route-distinguisher 1:1
#
vlan 1001
   binding vpn-instance vfw1
#
firewall zone vpn-instance vfw1 trust
  add interface GigabitEthernet0/0/1
#
ip route-static vpn-instance vfw1 0.0.0.0 0.0.0.0 172.254.2.129

配置后访问成功,防火墙创建了两条会话用于区分第一次和第二次经过防火墙的场景。
icmp  VPN:vfw1--> vfw1
  Zone: trust--> local  TTL: 00:00:20  Left: 00:00:09
  Interface: GigabitEthernet0/0/0  NextHop: 172.254.2.135  MAC: 00-00-5e-00-01-02
  <--packets:5 bytes:420   -->packets:5 bytes:420
  172.254.3.3:57-->172.254.2.135:2048
icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:09
  Interface: GigabitEthernet0/0/1  NextHop: 172.254.2.135  MAC: 00-00-5e-00-01-02
  <--packets:5 bytes:420  -->packets:5 bytes:420
  172.254.3.3:57-->172.254.2.135:2048

根因
1、配置不正确
2、不支持此类访问场景
3、其他
建议与总结
由于会话表的关系,报文两次经过防火墙访问是不成功的,需要二次访问重新建立一条会话。

END