防火墙替换交换机后不能ping通防火墙的问题

发布时间:  2013-05-23 浏览次数:  373 下载次数:  0
问题描述
某局点反馈,用防火墙替换原网络的交换机,防火墙作为二层接入,不改变原网络拓扑 。但是替换完成后,内网用户无法连上防火墙进行管理。
1.原网络中拓扑图如下,vlan1000用于管理vlan,vlan99是业务vlan,内网PC的网关设置为10.1.1.1,该网关IP在core Switch上。此时在内网用户10.1.1.x/24网段用户可以ping通也可以telnet上S5700(IP:192.168.0.10)进行管理

2.把交换机S5700替换为防火墙后,防火墙作为2层接入,不改变原网络拓扑,如下图。但是此时在10.1.1.x/24的内网用户无法连上防火墙(IP为:192.168.0.10).

告警信息
处理过程
1. 查看防火墙相关配置,一切正常。
2. 在Core Switch上连接防火墙正常,在内网连接Core Switch也正常,路由是可达的。
3. 查看防火墙的会话表如下:
[USG5300]dis firewall session table
16:02:56  2013/05/22
Current Total Sessions : 10
  dns  VPN:public --> public 10.1.1.11:3785-->61.139.2.69:53
  dns  VPN:public --> public 10.1.1.11:3785-->218.6.200.139:53
  udp  VPN:public --> public 10.1.1.11:9909-->183.61.5.24:8000
  udp  VPN:public --> public 10.1.1.11:9909-->183.61.1.160:8000
  udp  VPN:public --> public 10.1.1.11:9909-->183.61.5.25:8000
  udp  VPN:public --> public 10.1.1.11:9909-->183.61.1.155:8000
  udp  VPN:public --> public 10.1.1.11:2408-->123.129.203.111:8000
  icmp  VPN:public --> public 10.1.1.11:1024-->192.168.0.4:2048
  icmp  VPN:public --> public 10.1.1.11:1024-->192.168.0.10:2048
  udp  VPN:public --> public 10.1.1.11:1057-->10.27.12.41:161
留意到红色这边会话表项。由于内网10.1.1.x/24的PC的网关设置成10.1.1.1(该IP在Core Switch上),所以当ping防火墙时本身(IP:192.168.0.10)时,也会先把数据转发到Core Switch上。当Core Switch根据路由表将ping数据包转送到防火墙时,防火墙查询会话表,存在对应会话表项,因此将该ping数据包继续转发出去。导致防火墙本身无法回应ping数据包。
4. 解决方法:(1)重新规划网络 (2)将网关地址10.1.1.1从Core Switch上移到防火墙上。本次采用方法二,问题解决。
根因
防火墙存在会话表,防火墙三层转发是根据会话转发的
建议与总结
防火墙和交换机的实现是不一样的,防火墙三层转发是根据会话转发的,报文第一次经过防火墙时会创建会话,第二次在到防火墙是就会查到会话。

END