由于上行设备没有配置地址池地址的路由导致用户无法上网

发布时间:  2014-09-20 浏览次数:  332 下载次数:  0
问题描述
手机用户通过防火墙进行地址转换后无法上网。
处理过程
在上行路由设备上配置到防火墙地址池地址的路由。
根因
1. 根据客户端地址在防火墙上查询会话,发现只有单向报文经过,没有收到从Internet回来的报文,怀疑上行路由器没有到防火墙上的路由。
[USG9000] display firewall session table verbose source inside 192.168.1.2
14:13:46 2013/10/15
http VPN: public --> public 
Zone: trust --> untrust Slot: 16 CPU: 2 TTL: 00:00:05 Left: 00:00:04
Interface: Eth-Trunk1 Nexthop: 218.203.50.18
<--packets: 0 bytes: 0 -->packets: 4 bytes: 240
192.168.1.2:3 [117.136.7.62:1] --> 221.181.195.121:2048

2. 在防火墙上临时创建一个Loopback接口,IP地址配置上面会话表中的NAT转换后的地址,然后进行ping外网测试。
[USG9000] interface LoopBack 11
[USG9000-LoopBack11] ip address 117.136.7.62 32
以ping Google地址为例(8.8.8.8),发现也ping不通,基本可以判断上行路由设备没有配置到防火墙地址池地址的路由。
[USG9000] ping -a 117.136.7.62 8.8.8.8 
14:15:42 2013/10/15
PING 8.8.8.8: 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
— 8.8.8.8 ping statistics —
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
建议与总结
路由都是双向的,有去的路由就要有回程路由,在配置NAT时,一定要在上行设备上配置到地址池地址的路由。

END