USG6600 使用地址池nat转换后不能上网

发布时间:  2014-08-15 浏览次数:  309 下载次数:  0
问题描述
两台usg6600设备双机热备以后,经过防火墙NAT以后不能上网
设备配置的主备模式
interface GigabitEthernet1/0/0
link-group 1
alias 外网口
ip address 122.224.251.18 255.255.255.240
vrrp vrid 1 virtual-ip 122.224.251.20 active
hrp track active
service-manage ping permit
nat address-group 122.224.251.22
section 0 122.224.251.22 122.224.251.22
description 122.224.251.22
nat-policy
rule name nat1
  description 192.168.51.41-42nat
  source-zone web_area
  destination-zone untrust
  source-address address-set "51.41 42address"
  action nat address-group 122.224.251.22
这样配置后查看会话
HRP_A<HZBank_USG6300_1>display firewall session table verbose source inside 192.168.51.41
16:33:02  2014/08/12
Current Total Sessions : 30
  DNS  VPN:public --> public  ID: a48f4066a2b885af753ea41ac
  Zone: web_area--> untrust  TTL: 00:00:30  Left: 00:00:21
  Output-interface: GigabitEthernet1/0/0  NextHop: 122.224.251.17  MAC: 28-6e-d4-ee-d4-02
  <--packets:0 bytes:0   -->packets:5 bytes:315
  192.168.51.41:61695[122.224.251.22:2392]-->114.114.114.114:53 PolicyName: web_untrunst
有出去的报文,没有回来的报文

去掉VRRP配置后,使用地址122.224.251.22nat转换正常,直连PC测试也是正常的。
告警信息
无告警信息
处理过程
根据上述原因进行一一排查
对抓包进行检查,从内网ping外网的测试中,从交换机上的抓包看,防火墙已经通过交换机把报文都发出去了,但网关(122.224.251.17)没有回应,ping 114.114.114.114也没有回应;即从ping包看,防火墙已经做了转发
然后再抓正常的数据包来看运营商的回包情况:经过排查,发现运营商网络中存在VRID相同的VRRP组,导致运营商侧回复的报文一直到不了客户内网,现将防火墙vrrp vrid 1改为vrid 5后,网络已经恢复正常
根因
检查报文是否被转发出去,有可能防火墙本身存在丢包
报文正确转发以后检查运营商回包是否正常,没有回包可能原因有下:
1.路由错误,数据包并未回到设备上来
2.运营商的ARP学习错误,可能需要重新发送免费ARP
3.vrrp id错误
建议与总结
对于nat的问题涉及数据转发,排查思路就是检查数据包的转发是否正常,异常情况的抓包与正常的对比可能对帮助故障恢复有一定的帮助

END