由于路由配置错误导致双机热备环境下切换到备机后用户无法通过NAT上网

发布时间:  2014-09-20 浏览次数:  174 下载次数:  0
问题描述
组网结构:
        业务组网图:

业务简介:
如图所示,两台USG双机热备,和思科的交换机形成口字型组网。其中FW1是主,FW2是备。
断开FW1的的外网口的网线或内网口的网线,防火墙都能够快速切换,但是NAT的业务不能访问。NAT配置如下:
nat server global 20.211.136.26 inside 10.211.146.75 vrrp 4
将FW1关机,业务还是不通。
处理过程
由于主备切换后,服务器还是不能访问,所以可能是备机配置有问题,或者交换机上的MAC转发表项没有刷新导致的。检查配置,都是正常的。然后在两台防火墙上查看会话统计,结果发现断开FW1的外网口网线后,会话在FW1上建立,并且FW2上会话统计一直不增加,而FW1上的依然不断增加,说明服务器上的报文仍然会送到FW1上。这个现象很像交换机的MAC转发表没有刷新导致的。
现场工程师在交换机上接一台PC,ping防火墙内网口的虚地址,再检查会话统计,结果发现会话在FW2上建立,且FW2上的会话统计在增加,而FW1上的不会。这说明交换机是正常的。难道是服务器的配置问题?
再在防火墙上测试,将FW1的外网口插上,等切换回来后,再将剩余没有使用的一个接口加入到VRRP,使其发生主备切换,然后再查看会话,发现还是FW1上的会话统计在增加,并且已经有反方向的统计了,说明业务通了。让客户在服务器上访问一下外网,结果能正常访问。这说明问题发生在服务器上,无论如何切换,服务器访问外网的报文都送到FW1上,肯定是服务器上的路由的下一跳配置为FW1的内网口实地址了。让客户将服务器上的路由表信息发出来看看,结果果然是指向FW1内网卡实地址。
修改了服务器的路由后,再进行之前的倒换测试,结果都能正常。同时客户表示这个局点原来是单机环境,现在改成了双机环境后发生问题的,期间忘记修改服务器的路由了。
根因
由于服务器的路由配置问题,导致服务器访问外网的报文都发到FW1上,当FW1的内网口或外网口网线断开时,业务不通。
解决方案
将服务器上的路由的下一跳改为两台防火墙内网口的虚地址。

END