SRG2210 NAT配置错误导致L2TP拨号用户无法上网

发布时间:  2013-03-08 浏览次数:  672 下载次数:  8
问题描述
SRG2210 V100R002C01SPC100配置l2tp拨号,故障时能拨号成功,获得的是172.16的地址,可以上内网,但是上不了外网。
告警信息
处理过程
1、 检查L2TP配置,配置完整没有问题
#
l2tp enable
tunnel switch enable
l2tp domain suffix-separator @
#
#
l2tp-group 2
mandatory-chap
mandatory-lcp
allow l2tp virtual-template 1 remote DY-ZJ-72J-BRAS-01.MAN.ERX1440
tunnel password simple  xxxxxx
tunnel name dyzjjyj
#
#
interface Virtual-Template1
ppp authentication-mode chap pap
ip address 172.16.1.1 255.255.255.0
#

2、检查ip地址池正常。
[DYZJJYJ-LNS-SRG2210-aaa]display ip pool domain dyzjjyj
16:51:32  2013/03/05 
  ---------------------------------------------------------------------------- 
  Pool-number  Pool-start-addr   Pool-end-addr   Pool-length  Used-addr-number 
  ----------------------------------------------------------------------------
      1        172.16.1.2        172.16.1.254        253            32         
  ----------------------------------------------------------------------------

3、检查fib表,Virtual-Template1下发fib表正常。
[DYZJJYJ-LNS-SRG2210-aaa]dis fib
16:51:45  2013/03/05
Destination/Mask   Nexthop         Flag TimeStamp     Interface
172.16.1.68/32     172.16.1.68     GHU  t[0]          Virtual-Template1
172.16.1.67/32     172.16.1.67     GHU  t[0]          Virtual-Template1
172.16.1.66/32     172.16.1.66     GHU  t[0]          Virtual-Template1
172.16.1.61/32     172.16.1.61     GHU  t[0]          Virtual-Template1
172.16.1.60/32     172.16.1.60     GHU  t[0]          Virtual-Template1
172.16.1.59/32     172.16.1.59     GHU  t[0]          Virtual-Template1
172.16.1.56/32     172.16.1.56     GHU  t[0]          Virtual-Template1
172.16.1.50/32     172.16.1.50     GHU  t[0]          Virtual-Template1
172.16.1.44/32     172.16.1.44     GHU  t[0]          Virtual-Template1
172.16.1.38/32     172.16.1.38     GHU  t[0]          Virtual-Template1
172.16.1.37/32     172.16.1.37     GHU  t[0]          Virtual-Template1
172.16.1.33/32     172.16.1.33     GHU  t[0]          Virtual-Template1
172.16.1.32/32     172.16.1.32     GHU  t[0]          Virtual-Template1
….

4、检查接口是否加入安全域,Virtual-Template1口和外网口都已经加入安全域。
[DYZJJYJ-LNS-SRG2210-aaa]dis zone
16:51:56  2013/03/05
local
priority is 100
#
trust
priority is 85
interface of the zone is (2):
    GigabitEthernet0/0/1
    Virtual-Template1
statistic connect-number ip tcp inbound 1 acl-number 2000
statistic car ip inbound 1 acl-number 2000
statistic car ip outbound 1 acl-number 2000
#
untrust
priority is 5
interface of the zone is (1):
    GigabitEthernet0/0/0
#

5、检查域间NAT配置,已经配置nat outbound。但是ACL配置跟地址池分配的内网地址不一样。
[DYZJJYJ-LNS-SRG2210]dis interzone
16:52:07  2013/03/05
interzone trust untrust
nat outbound 2000 address-group 1
#
[DYZJJYJ-LNS-SRG2210]dis acl 2000
16:52:12  2013/03/05
Basic ACL  2000, 1 rule,not binding with vpn-instance
Acl's step is 5
rule 0 permit source 10.1.1.0 0.0.0.255 (8025 times matched)

6、查看会话,拨号分配的IP地址的业务报文都没有经过NAT转换,导致业务不通。
[DYZJJYJ-LNS-SRG2210-aaa]display firewall session table verbose source  inside 172.16.1.2
16:52:36  2013/03/05
Current total sessions: 21
  DNS  VPN: public -> public
  Zone: trust -> untrust  TTL: 00:04:00  Left: 00:03:50 
  Interface: GigabitEthernet0/0/0  Nexthop: 218.6.164.1  MAC: a0-f3-e4-35-55-d2
  <-- packets:0 bytes:0   --> packets:4 bytes:244
  172.16.1.2:5543-->61.139.2.69:53

7、修改ACL配置,增加172.16.1.0网段的规则后,业务报文做NAT转换,业务恢复正常。
[DYZJJYJ-LNS-SRG2210]dis acl 2000
16:58:10  2013/03/05
Basic ACL  2000, 2 rules,not binding with vpn-instance
Acl's step is 5
rule 0 permit source 10.1.1.0 0.0.0.255 (8025 times matched)
rule 5 permit source 172.16.1.0 0.0.0.255 (6905 times matched)

[DYZJJYJ-LNS-SRG2210]dis firewall session table  verbose
17:00:40  2013/03/05
Current total sessions: 1819
  udp  VPN: public -> public
  Zone: trust -> untrust  TTL: 00:02:00  Left: 00:01:52 
  Interface: GigabitEthernet0/0/0  Nexthop: 218.6.164.1  MAC: a0-f3-e4-35-55-d2
  <-- packets:0 bytes:0   --> packets:1 bytes:200
  172.16.1.15:31118[218.6.164.8:31767]-->183.60.209.36:80
根因
L2TP拨号用户内网访问外网的时候,因为业务报文没有匹配NAT Outbound的ACL规则,因此访问外网时没有NAT转换,导致业务故障。
建议与总结
L2TP拨号用户内网访问外网的时候,要正确配置NAT Outbound,确保内网访问外网的时候正常的NAT转换。

END