USG5350双出口默认路由导致访问发布的web站点无法打开页面上二级链接登陆框

发布时间:  2012-07-20 浏览次数:  197 下载次数:  0
问题描述
 客户发布的网站主页面上部分页面信息需要进行二级链接地址解析才能显示,用户网络为双出口链路,通过USG5350将内部服务器主站点及二级链接站点地址映射到公网,网页上只能显示主站点页面,无法显示二级链接站点登陆框。
   组网及非正常页面如图:
告警信息
处理过程

经过分析为默认路由导致来回路径不一致,因此处理方法如下:
    方法一:将到教育网的路由改写为精确路由。
    方法二:配置策略路由将服务器的报文都从GigabitEthernet0/0/2转发出去。

根因
1、在外网直接访问二级链接页面,能够正常打开,说明地址发布无问题。
 2、在外网访问网站主页面,产看防火墙session,没有到10.18.110.3(二级链接地址)会话。分析到二级连接报文被丢弃,未建会话。
      <USG5350>disp firewall session table destination inside  10.18.110.3
         DNS  VPN: public -> public 172.23.38.20:24268-->10.18.110.3:53
         DNS  VPN: public -> public 172.23.38.20:24201-->10.18.110.3:53
3、 检查检查主要配置
       接口地址:
          interface GigabitEthernet0/0/2
             ip address 61.155.66.222 255.255.255.240
          interface GigabitEthernet0/0/3
             ip address 218.91.159.58 255.255.255.252
       地址池:nat address-group 21 61.155.66.222 61.155.66.222
       映射的主页地址及二级链接地址:
          nat server global 61.155.66.215 inside 10.18.110.3
          nat server global 61.155.66.216 inside 10.18.110.4
      从配置看映射公网地址和出口地址都在同一个网段,访问页面报文应从 0/0/2 转发。  

      查看默认路由配置:
           ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 61.155.66.209
           ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/3 218.91.159.57
      一条默认路由到internet,另一条默认路由为到教育网,应该是路由导致访问页面时,防火墙对报文转发来回路径不一致,导致用户访问页面无法打开二级链接。
    4、将到教育网的接口shutdown,主页上的二级链接登录框页面能够正常显示,更改配置为默认路由,确定为到两条默认路由导致数据包转发来回路径不一致,故访问不成功,访问成功session表:

         <USG5350>disp firewall session table destination inside 10.18.110.3
           10.18.110.4:4323[61.155.66.216:4323]-->61.155.66.215:8000[10.18.110.3:8000]

建议与总结
涉及到双出口组网时,如有web等业务,建议不要多条配置默认路由。

END