路由配置导致防火墙割接不成功

发布时间:  2012-07-23 浏览次数:  69 下载次数:  0
问题描述

割接前的业务流向是:S2300下面的用户拨号到MA5200F,然后由MA5200向公网上的RADIUS服务器发起认证。如果认证通过,则由MA5200F给客户端分配地址池里的私网IP地址。用户获取IP地址后,在NE08上做NAT后,访问公网。
   割接要求:在MA5200和NE08之间,新增USG5000,做访问控制,同时把NE08上的NAT 功能移到USG5000上。
   割接后,用户不能获取IP地址,不能正常上网,MA5200和公网上的RADIUS服务器不能正常的建立连接,用户怀疑USG5000把MA5200和RADIUS服务器的交互报文丢掉了,导致用户认证不成功,以致不能获取IP地址上网。
 
告警信息
处理过程
1、在NE08上增加到MA5200接口的静态路由,即到220.195.167.22/30的静态路由。
2、在NE08上增加到USG5000  NAT地址池的静态路由,即到220.195.241.3 -220.195.241.62的静态路由。
3、去掉到192.168.0.0网段的静态路由。
根因
从整体来看,在MA5200和NE08之间,新增USG5000,增加了220.195.167.17/30这个网段。
1、对比割接前后MA5200的配置,没有任何改动;
2、检查了USG5000的配置,发现USG5000上配置很简单,只是把NE08上的NAT POOL移到防火墙上,在TRUST- UNTRUST域间做NAT,同时USG5000域间默认的包过滤已经全打开了,基本排除丢包的可能。相应的路由都调通了。
3、检查了NE08的配置,除了去掉NAT功能之外,路由变化情况如下:
   割接前:
   ip route-static 192.168.0.0 255.255.252.0 220.195.167.22
   割接后:
   ip route-static 192.168.0.0 255.255.252.0 220.195.167.18
   从路由上我们可以发现以下几个问题:
  1. 在MA5200和NE08之间新增USG5000,当MA5200向RADIUS服务器发送认证信息,在NE08上没有回程路由;
(2)当客户端拨号成功后,用户去访问公网,由于防火墙接口的IP(220.195.167.18/32)和NAT地址池的IP(220.195.241.3 -220.195.241.62)不 在 同一网段,需要在NE08上配置到USG5000地址池的静态路由,在NE08上没有回程路由;
(3)由于用户已经在USG5000上NAT了,对NE08来说,192.168.0.0这个网段是不可见的,这条到192.168.0.0的静态路由是多余的,可以去掉。
 
建议与总结
1、当NAT地址池中IP与出接口不在同一网段,要注意添加到NAT地址池的路由。
2、当在网络中,以路由模式新增防火墙,要特别注意路由的调整。

END