我司防火墙替换友商设备后局域网内服务器无法访问的故障处理一例

发布时间:  2012-07-18 浏览次数:  76 下载次数:  0
问题描述

使用我司USG2200HSR设备替换友商的防火墙。

组网图示:

internet--------------USG2200HSR----------SW1--------DMZ域服务器群 (网关指向USG2200HSR)
                                             |_____________SW2_____trust域用户群(网关指向USG2200HSR)

替换后出现从用户群无法访问部分服务器的情况,从服务器域访问这些服务器正常。网络中的交换机都是二层交换机,服务器域的服务器和用户域的用户网关都是指向USG2200HSR的。

告警信息
处理过程

检查防火墙的转发策略,没有异常,

检查这些无法访问的服务器,发现服务器里有大量的ARP攻击记录,进一步检查发现这些服务器设置了网关IP MAC绑定,更换设备后,网关的MAC地址改变,导致这些服务器学习到底网关MAC发生变化,认为是ARP攻击,解除这些服务器的网关IP MAC绑定后故障消失,从用户域可以正常访问服务器域 的这些服务器了。

根因

从用户域能够访问服务器域的部分服务器,而无法访问另一部分服务器,这些服务器都在同一个网段和同一台交换机下,检查防火墙配置,DMZ域的访问策略都是相同的,不应该出现个体访问差异,同时,从DMZ域内网访问这些服务器正常,出现跨网关无法访问这种情况应该与服务器个体配置有关。

建议与总结
在设备更换后,要注意局域网中服务器的某些安全设置。及时更新配置。

END