经过Eudemon 100E防火墙不能访问公网地址的1111端口

发布时间:  2012-07-18 浏览次数:  72 下载次数:  0
问题描述

用户网络结构:

内网-----Eudemon(81.8.8.86/28)公网----81.8.8.18/27
     Eudemon公网接口地址81.8.8.86/28,81.8.8.18禁ping
     内网用户通过nat后访问81.8.8.18 的1111端口 不能连接成功。内网用户nat上网都正常
     在Eudemon设备上直接telnet 81.8.8.18 1111 不能连接成功
     将公网地址直接配置在pc上能够访问81.8.8.18 的1111端口
     客户以前使用的其他防火墙没有问题,能够连接成功。

 

告警信息
处理过程

1、将公网地址81.8.8.86/28 这个地址全映射到内网一个地址,还是不能成功访问61.8.8.18的 1111端口

2、尝试把81.8.8.86的掩码改为和81.8.8.18一样的27位,改完过后短时间连接成功,但随后中断,再也不能连接成功

3、在防火墙上查看会话,有访问81.8.8.18的会话

4、在防火墙上查看debugg信息:

  

telnet 81.8.8.18 1111                                                                                                 
*0.68522400 Eudemon ARP/8/arp_rcv:Receive an ARP Packet, operation : 1, sender_eth_addr : 0090-0b04-f248, sender_ip_addr : 81.8.8.18, target_eth_addr : 0000-0000-0000, target_ip_addr : 81.8.8.86                                                             
Trying 81.8.8.18 ...                                                                                                           
Press CTRL K to abort                                                                                                              
*0.68523400 Eudemon ARP/8/arp_rcv:Receive an ARP Packet, operation : 1, sender_eth_addr : 0090-0b04-f248, sender_ip_addr : 81.8.8.18, target_eth_addr : 0000-0000-0000, target_ip_addr : 81.8.8.86   


   通过信息可以看到81.8.8.18直接向我们请求ARP了,说明该设备认为跟我们同网段,而我们的掩码是28为,认为和该IP不同网段,不会回应该ARP请求,对端就无法学到ARP请求,造成不通。正常情况下对端设备请求的应该是网关的arp信息。

   改为27位掩码,我们设备会发免费ARP,所以对端短暂能通,等ARP老化后,再次出现不通。

5、将Eudemon 100E的81.8.8.86的掩码改成24位后问题解决,怀疑81.8.8.18的掩码设置上有问题,建议用户确认下对端地址的掩码设置

    

  
根因

1、对端设备配置问题

2、E100E防火墙策略问题 

建议与总结

END