防火墙双机热备组网NAT SERVER配置不当导致业务不通

发布时间:  2014-06-19 浏览次数:  245 下载次数:  0
问题描述
客户采用双机热备组网,内网有一台OA SERVER,配置NAT SERVER对外提供HTTP服务,之前客户有两个公网出口,连接到电信和联通,进行过一次割接,,取消联通的出口,所有流量都从电信出口,割接完成后,出现部分用户OA访问不稳定,时而通时而不通。
告警信息
通过logbuffer信息查看分析,发现有ip地址冲突的告警。
处理过程
针对这种情况,可以使用如下命令解决:
nat server [ server-id ] [ zone zone-name ] [ protocol { protocol-type | protocol-number } ] global global-start-address [ global-end-address ] inside host-start-address [ host-port ] [ vrrp virtual-router-id]
如: nat server protocol tcp global 202.10.10.13 8088 inside 192.168.10.13 80 vrrp 10
用户访问时,PC使用防火墙VRRP 10的虚MAC地址来封装报文。从而保证报文只向主用防火墙转发送,保证业务正常访问。
根因

USG5120HSR_1上配置了NAT Server,NAT SERVER转换的公网地址202.10.10.13和公网出口202.10.10.10位于一个网段,USG5120HSR_1会发送202.10.10.10的免费ARP,获取到202.10.10.10的MAC地址为USG5210_1 GE0/0/0接口的MAC。USG5120HSR_2 GE0/0/0接口的地址(202.10.10.12)和NAT Server公网地址也在同一个网段,同样发送免费ARP,获取到202.10.10.10的MAC地址为USG5210_2 GE0/0/0接口的MAC。于是产生了IP地址冲突。且上行设备学习到的202.10.10.10的MAC也会USG5120HSR_1和USG5120HSR_2的G0/0/0接口的MAC之间不停的切换PC访问报文封装如果发往USG5120HSR_1,则业务访问正常。如果发往USG5120HSR_2,作为备墙不处理,直接丢弃。导致用户业务访问不正常。
建议与总结
在进行割接操作前首先对设备特性进行熟悉了解,对割接配置的可行性进行分析,保证割接顺利。

END