USG2200(V3R1)SSL业务出现访问故障

发布时间:  2014-09-11 浏览次数:  202 下载次数:  10
问题描述
某客户一台USG 2200部署SSL VPN业务,按操作指导部署完成后,用户可以正常拨入,获取私网地址并访问私网终端。
拓扑如图一:internet用户从untrust区域拨入后,访问trust1区域内设备。
后又新增一个区域trust2,并配置对应路由,local区域与trust2区域,untrust区域与trust2区域间包过滤均默认permit。
配置完成后internet用户可以获取私网地址,但无法访问trust2区域用户。
拓扑如图二:internet用户从untrust区域拨入后,无法访问trust2区域内设备。
告警信息
处理过程
1.检查防火墙会话表:dis firewall session table.
   发现未生成访问trust2的会话表;
2.防火墙未产生会话表一般原因:a.包过滤策略配置错误,b.路由不可达;
   检查trust2区域相关路由配置,在防火墙上启用loopback接口并配置SSL VPN私网地址池地址后,可以ping通trust2区域内主机。
   证明路由配置无误。
3.判断为域间包过滤策略有误,检查untrust区域和trust2区域,local区域和trust2区域均已放开,按一般思路,从internet外untrust区域通过
    SSL VPN拨入的用户,要么属于untrust区域,要么属于local区域。但现网情况与设想不符。
4.再测试internet用户访问trust1区域,检查会话表:dis firewall session table verbose,发现关于访问trust1区域的会话表是建立在
    trust1区域到trust1区域,即internet用户拨入后,属于trust1区域。
5. 将trust1区域和trust2区域包过滤配置为默认permit,测试internet用户拨入SSL VPN后可以访问trust2区域终端。
根因
查看防火墙会话表,发现未产生到trust2区域的会话。
防火墙无会话一般原因有两个:
1.域间包过滤策略配置有误;
2.路由不可达;
建议与总结
internet用户(区域1)经SSL VPN拨入后所属的区域,是第一次访问的内部区域(区域2),即拨入后的访问为域内互访(区域2),
所以不需要配置域间包过滤策略也可以互通。
此时若想访问第三个区域(区域3),则需要配置区域2与区域3之间的域间包过滤策略,实现互通。

END