内网用公网IP导致外网无法直接访问

发布时间:  2014-08-27 浏览次数:  411 下载次数:  0
问题描述
USG防火墙作为网络出口,上连运营商用公网IP互连,下挂内网SBC设备用私网IP互连;现在内网SBC上配置三个公网IP,导致外网无法直接访问。拓扑如下:


告警信息
处理过程
关键配置:
[USG]:
ip route-static 0.0.0.0 0.0.0.0 10.X.X.1
ip route-static 20.X.X.2 255.255.255.255 172.X.X.2
ip route-static 20.X.X.3 255.255.255.255 172.X.X.2
ip route-static 20.X.X.4 255.255.255.255 172.X.X.2

ip address-set yonghupool type object
address 0 192.168.1.0 mask 24   /内网上网网段/

nat-policy
rule name nonat
  egress-interface GigabitEthernet2/0/7
  source-address 20.X.X.0 29
  action no-nat

rule name Snat
  egress-interface GigabitEthernet2/0/7
  source-address address-set yonghupool
  action nat easy-ip

[SBC]:
ip route-static 0.0.0.0 0.0.0.0 172.X.X.1


1、在SBC设备上带源访问外网时,查看防火墙的会话表:
[USG]display firewall session table
09:50:19  2014/08/11
Current Total Sessions : 24
  icmp  VPN:public --> public 20.X.X.2:1024-->114.114.114.114:4000
icmp  VPN:public --> public 20.X.X.3:1024-->114.114.114.114:4000
icmp  VPN:public --> public 20.X.X.4:1024-->114.114.114.114:4000

2、在防火墙出接口抓包,只有20.X.X.2到114.114.114.114的request包,没有收到reply。(防火墙的所有策略都已经放通了的)

3、从外网tracert 20.X.X.2,路由能到20.X.X.1但到不了20.X.X.2,跟踪结果显示目标不可达。

4、让运营商把20.X.X.0/29和10.X.X.0/30这两个网段捆绑在一起共用一个网关出去(这样运营商就会有这两段网段的路由到我们出口防火墙上),捆绑后问题得到解决,外网能主动访问内网这段公网IP。
根因
由于20.X.X.0/29这个网段没有跟运营商直连,导致运营商那边没有20.X.X.0/29这个网段的路由指向防火墙,所以导致数据不通。
建议与总结
遇到这种跟运营商非直连的公网网段需要提供给外网访问时,一般运营商是不会跟你写回程路由的。得根据实际需求找运营商协商修改数据或添加相关路由实现。

END