多出口组网Dialer接口down后NAT转换失败

发布时间:  2012-07-18 浏览次数:  115 下载次数:  0
问题描述

USG2000上配置有三个Dialer接口到公网,当其中一个Dialer2接口down后,内网访问公网NAT转换失败,配置如下:

 

#
interface Vlanif2
 pppoe-client dial-bundle-number 2       
#
interface Vlanif3
 pppoe-client dial-bundle-number 3
#
interface Vlanif4
 pppoe-client dial-bundle-number 4
#
interface Cellular5/0/0
 link-protocol ppp
#
interface Ethernet0/0/0
 pppoe-client dial-bundle-number 1

#
 ip route-static 0.0.0.0 0.0.0.0 Dialer1
 ip route-static 0.0.0.0 0.0.0.0 Dialer4
 ip route-static 0.0.0.0 0.0.0.0 Dialer2
 ip route-static 0.0.0.0 0.0.0.0 Dialer3
#
 policy-based-route 2 permit node 1
  if-match acl 2000
  apply output-interface Dialer2
 policy-based-route 2 permit node 2
  if-match acl 2000
  apply output-interface Dialer3
 policy-based-route 2 permit node 3
  if-match acl 2000
  apply output-interface Dialer4
#
nat-policy interzone trust untrust outbound
 policy 0
  action source-nat
  policy source 192.168.1.0 mask 255.255.255.0
  easy-ip Dialer1
#
nat-policy interzone trust untrust1 outbound
 policy 0
  action source-nat
  policy source 192.168.1.0 mask 255.255.255.0
  easy-ip Dialer2
#
nat-policy interzone trust untrust2 outbound
 policy 0
  action source-nat
  policy source 192.168.1.0 mask 255.255.255.0
  easy-ip Dialer3
#
nat-policy interzone trust untrust3 outbound
 policy 0
  action source-nat
  policy source 192.168.1.0 mask 255.255.255.0
  easy-ip Dialer4

告警信息
处理过程

1、让内网pc访问外网查看会话:

  tcp  VPN:public --> public
  Zone: trust--> untrust1  TTL: 00:00:05  Left: 00:00:00
  Interface: Dialer2  NextHop: 0.0.0.0  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:1 bytes:48
  192.168.1.248:53469[0.0.0.0:2143]-->112.95.240.11:443

  http  VPN:public --> public
  Zone: trust--> untrust1  TTL: 00:00:05  Left: 00:00:00
  Interface: Dialer2  NextHop: 0.0.0.0  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:1 bytes:48
  192.168.1.248:53470[0.0.0.0:2174]-->112.95.240.11:80

数据包依然从Dialer接口出去,策略路由依然生效,但是由于该接口已经down,所以转换地址是0.0.0.0,导致转换失败。

2、对应多出口Dialer接口,物理接口down但是dialer接口依然up,策略路由不会失效,需要配置ip-link链路检查才能保证接口down后正常切换。或者修改策略路由:

 policy-based-route 2 permit node 1
  if-match acl 2000
  apply output-interface Dialer2 

调整acl 2000中源地址,使之从另外一个接口转发出去。

根因

1、配置问题。

2、产品特性。

3、其他。

建议与总结

END