USG2100 V100R005C00SPC500上网业务出现奇数IP不能上网、偶数IP可以上网故障

发布时间:  2014-09-11 浏览次数:  539 下载次数:  0
问题描述
客户报故障:USG2100防火墙做网关,上网时出现奇数IP不能上网、偶数IP可以上网的现象
告警信息
处理过程
1.远程登录客户防火墙后,让客户使用奇数IP电脑(IP:192.168.143.11)ping运营商的DNS服务器,查看会话发现有发包,192.168.143.11转换成110.249.134.249,但没有返回数据包。
2.仔细查看客户配置,发现客户NAT地址池配置错误:

 nat address-group 0 110.249.134.249 110.249.134.250
#
 ip route-static 0.0.0.0 0.0.0.0 110.249.134.249
#
3.让客户将地址池修改成nat address-group 0  110.249.134.250,问题解决。

根因
初步分析:客户反映情况较古怪,经过了解,客户是静态IP,内网只有一台二层交换机,出口设备是防火墙,初步判断问题应该出在防火墙上。
建议与总结
经过向研发求证,USG2100 V100R005C00SPC500在配置NAT时有这种地址分配特性,奇数地址分配给奇数地址,偶数地址分配给偶数地址,新版本在同样场景下会随机分配,该故障是客户配置错误,同样也是老版本在NAT地址转换实现特性偶然差生的。

END