USG2200上错误配置MAC地址绑定导致服务器无法访问

发布时间:  2014-09-11 浏览次数:  293 下载次数:  0
问题描述
 
如上图描述,客户通过USG2200双线接入两个ISP,内网用户通过ISP1可以访问服务器40.x.x.x。 通过ISP2可以上网,但是不可以访问服务器40.x.x.x
告警信息
处理过程
1. 检查USG2200连接不同ISP的域间策略配置,未发现针对40.x.x.x所在网段的过滤策略;
2. 检查USG2200上的路由配置,有两条默认路由,下一条分别指向ISP1和ISP2的接口,任何一条链路down,报文都可以通过另外一条链路转发,因此路由不存在问题;
#
ip route-static 0.0.0.0 0.0.0.0 39.x.x.49
ip route-static 0.0.0.0 0.0.0.0 41.x.x.65
3. DOWN掉USG2200与ISP1之间的链路,从USG2200上tracert跟踪到服务器的路由,结果如下。从tracert记录可以看到报文已到达ISP1的网络,说明ISP之间的网络没有问题。

4. 基于步骤1-3,可以判断公网没有问题。检查USG2200其他配置,发现一条异常配置:
firewall mac-binding 41.x.x.69 0006-xxxx-fc97
由于在防火墙上将地址41.x.x.69绑定了MAC地址,不管MAC地址是ISP1下一跳的MAC地址,还是服务器的地址都会有问题。因为一旦在防火墙上做IP  MAC 绑定后,如果回应从ISP2接口口回来,报文的源MAC是ISP2接口的MAC地址,与防火墙USG2200上静态绑定的MAC地址不一致,所以丢弃报文。
5. 跟客户确认,MAC地址绑定是之前网络的配置,后来网络结构发生了很大变化,单配置未随之更新。
根因
1. USG2200域间策略配置问题;
2. USG2200至服务路由配置问题;
3. ISP之间路由配置问题;
4. 其他异常配置
建议与总结
1. 在双出口网络中,谨慎配置外网设备的MAC地址绑定;
 2. 网络发生变更时,需检查配置并做相应变更,冗余数据需及时删除。

END