USG6310在eSight上FTP备份配置文件失败

发布时间:  2014-11-29 浏览次数:  471 下载次数:  0
问题描述




USG上行口固定私网地址192.168.1.50,通过IPsec连接到总部eSight,eSight通过USG的loopback接口管理,eSight在进行设备配置备份时显示失败
告警信息
eSight FTP备份设备配置显示失败
处理过程
1.查看IPsec隧道已经正常建立,尝试从USG Ping中心站点的USG地址10.0.0.10,可证明数据流OK
2.尝试在USG使用FTP发现FTP失败
3.检查USG Log发现由于USG只能使用Loopback接口与eSight通信,而当前的USG不能指定源
4.考虑在USG针对FTP应用增加一个NAT策略,将所有命中FTP到eSight的流量强制修改源地址为loopback接口
[44088_USG-nat-address-group-loopback]section 13.4.0.13 13.4.0.13
#
nat-policy
rule name esightftp
  source-zone local
  destination-zone untrust
  destination-address 10.0.0.10 32
  service ftp
  action nat address-group loopback
5.再次测试可FTP到eSight,eSight备份显示成功
根因
由于USG6300 V1R1版本当前不支持FTP指定源地址,USG使用源物理口与eSight通信,导致备份失败
解决方案
针对FTP协议应用,命中FTP到eSIgjt的流量强制转换地址为Loopback地址,这样USG可以正常使用Loopback FTP到eSight备份设备配置

[44088_USG-nat-address-group-loopback]section 13.4.0.13 13.4.0.13
#
nat-policy
rule name esightftp
  source-zone local
  destination-zone untrust
  destination-address 10.0.0.10 32
  service ftp
  action nat address-group loopback
建议与总结
项目中要灵活运用NAT转换来解决这种地址转换问题

END