USG5500(v300r001c10spc100)gre遂道业务出现单通

发布时间:  2014-04-30 浏览次数:  199 下载次数:  0
问题描述
防火墙USG5500 v300r001c10spc100 与USG2200  v300r001c10spc100 设备建立GRE遂道,遂道能建立但是业务出现单通,遂道能建立但是业务出现单通,USG5500内网不能ping通usg2200内网192.168.2.0/24,USG2200内网能够ping通USG5500 192.168.1.0/24.


关键配置如下:

interface Tunnel0
ip address 192.168.254.250 255.255.255.248
 tunnel-protocol gre
source 100.100.100.100
destination 200.200.200.200
gre key 12344321

interface GigabitEthernet0/0/0
ip address 192.168.1.1 255.255.255.0

 ip route-static 0.0.0.0 0.0.0.0 202.97.132.129
ip route-static 192.168.2.0 255.255.255.0 tunnel0

nat address-group 2 202.97.132.135 202.97.132.136
firewall zone trust
add interface Tunnel0
add interface GigabitEthernet0/0/0

nat-policy zone trust
policy 1
  action source-nat
    address-group 2
告警信息

处理过程
nat-policy zone trust
policy 0
  action no-nat
 policy source 192.168.1.0 0.0.0.255
policy destination 192.168.2. 0 0.0.0.255
   

nat-policy zone trust
policy 1
  action source-nat
    address-group 2
根因
USG5500 内网配置了域内nat 导致。
建议与总结
应查看防火墙的会话信息,查看源地址是否被NAT。

END