策略路由引起的内网用户无法访问别的区域的web服务器

发布时间:  2012-07-19 浏览次数:  103 下载次数:  0
问题描述

客户的是双出口,客户做了1条nat server protocol tcp global 218.5.132.54 www inside 192.168.1.200 www

客户还做了2个策略路由,

traffic classifier webserver
if-match acl 3100
traffic classifier user
if-match acl 3200

traffic behavior webserver
remark ip-nexthop 218.5.132.1 output-interface Vlanif2
traffic behavior user
remark ip-nexthop 220.162.12.37 output-interface GigabitEthernet0/0/0
traffic behavior 1

qos policy webserver
classifier webserver behavior webserver
qos policy user
classifier user behavior user

客户在接口下应用分别应用了这2条策略路由

nat的配置

nat address-group 1 218.5.132.54 218.5.132.54
nat address-group 2 220.162.12.38 220.162.12.38

firewall interzone trust untrust
nat outbound 3100 address-group 1

firewall interzone trust2 untrust2
nat outbound 3200 address-group 2

现在出现了1个情况就是trust2区域无法通过公网地址218.5.132.54,访问trust区域的web服务器

告警信息
处理过程

一)修改完配置后:
1.从trust 域pc通过218.5.132.54 访问 trust2域的http服务器,业务正常;
2.从trust 域pc直接访问访问 trust2域 192.168.1.200 http服务器,业务正常;
3.从公网 通过218.5.132.54 访问 trust2域的http服务器,业务正常;

修改现网设备qos引用acl规则:

acl number 3300
rule 1 deny ip destination 192.168.1.0 0.0.0.255
rule 5 permit ip source 192.168.0.0 0.0.0.255
rule 10 deny ip
acl number 3400
rule 1 deny ip destination 192.168.0.0 0.0.0.255
rule 5 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip

根因
因为策略路由,造成了数据包要转换后再去访问untrust,而服务器给回的包直接给untrust2回了,造成了路径不一致
建议与总结

END