USG产品5530型号(V300R001C10SPC200)透明模式业务配置错误出现业务不通故障

发布时间:  2014-08-08 浏览次数:  195 下载次数:  4
问题描述
现象描述包括版本信息、组网概述、故障现象的全面详细记录。不可填写“无”
版本:USG5530版本:V300R001C10SPC200
组网描述:客户现网为两台路由器(主备),下连两台核心交换机(主备),新加两台防火墙分别串在路由器和核心之间,做透明模式,起hrp双主,内网服务器接在核心上,县局路由器接在路由器上面,烟台市局和县局分别位于突然trust区和untrust区

告警信息
故障现象:市局访问县局没有问题,县局无法访问市局服务器
处理过程
在主墙上面配置同步会话表,问题就解决了
根因
查看防火墙会话表,发现数据包来回路径不一致:县局的业务到市局,都经过备墙进来,出去的时候,数据包丢给了主墙,;然后查看路由表,发现在主墙数据包到达主墙的时候,被丢弃;然后检查到两台防火墙会话未同步,导致主墙无法同步备墙会话表,不知道数据包往哪发,直接丢弃数据包
建议与总结
防火墙做主备时,在启用防火墙策略前,先检查会话表同步

END