usg5530 v300r001 nat server故障

发布时间:  2013-10-29 浏览次数:  236 下载次数:  0
问题描述
防火墙型号usg5530版本v300r001,有两条公网出口电信与联通,内网有两个网段分别是192.168.1.0与192.168.2.0;客户配置了策略路由实现192.168.1.0从电信出去,另一个网段192.168.2.0从联通出去,内网服务器的地址是192.168.1.2在trust区域,现问题是在内网不能通过公网地址访问映射的服务器。


关键配置如下:

acl 3000
rule 10 permit ip source 192.168.1.0 0.0.0.255

acl 3001
rule 10 permit ip source 192.168.2.0 0.0.0.255



[USG_A] policy-based-route test permit node 5
[USG_A-policy-based-route-test-5] if-match acl 3000
[USG_A-policy-based-route-test-5] apply ip-address next-hop 100.100.100.100


[USG_A] policy-based-route test permit node 10
[USG_A-policy-based-route-test-10] if-match acl 3001
[USG_A-policy-based-route-test-10] apply ip-address next-hop 200.200.200.200
告警信息
处理过程
在acl 里面拒绝到服务器,到服务器不走策略路由。修改如下:
acl 3000
rule 5 deny ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0.0.0.0
rule 10 permit ip source 192.168.1.0 0.0.0.255

acl 3001
rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192.168.1.2 0.0.0.0
rule 10 permit ip source 192.168.2.0 0.0.0.255



[USG_A] policy-based-route test permit node 5
[USG_A-policy-based-route-test-5] if-match acl 3000
[USG_A-policy-based-route-test-5] apply ip-address next-hop 100.100.100.100


[USG_A] policy-based-route test permit node 10
[USG_A-policy-based-route-test-10] if-match acl 3001
[USG_A-policy-based-route-test-10] apply ip-address next-hop 200.200.200.200
根因
策略路由配置错误导致。
建议与总结

END