USG2160nat后用户无法上网

发布时间:  2014-11-17 浏览次数:  165 下载次数:  0
问题描述

内网用户IP地址在防火墙上进行NAT转换后无法正常访问公网
处理过程
1、 防火墙的接口地址是否都加入到相应的域中;  是
2、 Ip地址、路由条目是否正确;   是
3、 让客户分别在防火墙和路由器上采集display ip route-table,发现并无202.1.1.10的路由,所以怀疑是客户在防火墙上的路由发布错误导致,进一步排查防火墙;

4、 虽然客户在ospf中以network的形式发布了202.1.1.10网段的地址池,但是此网段与防火墙和路由的互联接口地址并不是在同一网段,故此network 202.1.1.10 0.0.0.3条目无效;建议客户在防火墙中写一条静态黑洞路由再重分布到防火墙中:
ip route-static 202.1.1.10 255.255.255.255 NULL0
ospf 100
import-route static


此时在路由器上就可以学到202.1.1.10网段的路由了;

6、让客户进行测试此时PC可以正常访问上网,问题解决。
FW:修改前配置
#
interface GigabitEthernet0/0/1
ip address 202.1.1.1 255.255.255.252
#
interface GigabitEthernet0/0/2
ip address 192.168.1.1 255.255.255.0
#
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet0/0/2
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
#
#
ospf 100
  area 0.0.0.0
  network 202.1.1.0 0.0.0.3
  network 202.1.1.10 0.0.0.0
#
FW:修改后配置
ip route-static 202.1.1.10 255.255.255.255 NULL0  //引入黑洞路由
#
ospf 100
import-route static
  area 0.0.0.0
  network 202.1.1.0 0.0.0.3
  network 202.1.1.10 0.0.0.0
#
根因
疑问:在防火墙上写了一条默认路由下一跳是到路由器的接口地址,ospf重分布此静态路由,为什么还是不通呢?
原因:此时在ospf中重分布静态路由并未起作用,因为在路由器上并未生成到防火墙nat后公网IP地址的路由;即路由器并不知道怎么走到公网IP地址;
解决方案
在防火墙中写一条静态黑洞路由再重分布到防火墙中:
ip route-static 202.1.1.10 255.255.255.255 NULL0  //引入黑洞路由
ospf 100
import-route static  //重分布到ospf中

建议与总结
当nat或nat-server的公网IP地址和接口地址不在同一网段时,在防火墙上引用黑洞路由重分布到ospf中发布给路由器,这样路由器就知道去往此nat后的公网IP地址的路由是到防火墙,那么就会把到此公网的报文发到防火墙上(注意是发到防火墙上而不是黑洞路由中)。

END