USG5530的dmz和untrust2区域的两台server不能互访

发布时间:  2015-02-11 浏览次数:  208 下载次数:  0
问题描述

组网:


故障现象:

USG5530dmzserver1untrust2区域的server2不能互访,

server1server2不同网段。但是trust区域的服务器可以和untrust2服务器互访

告警信息

处理过程

1.经检查配置,dmz到往untrust2区域的安全策略和包策略均已放行

 

2.查看会话,当server1ping或者访问server2时,有去包,没有回包信息。怀疑是数据没有做nat

或者是对端没有到往我端dmz域的回程路由


3.检查配置,dmz区域去往对端server2的路由下一跳直接写的公网地址,走的专线,无需做nat

再检查对端设备的配置,确实是缺少回程路由。在友商FW上添加到往我端dmz区域的服务器网段的回程路由,解决

根因

缺少回程路由

解决方案

在友商FW上添加到往我端dmz区域的服务器网段的回程路由,解决

 

ip  route-static   192.168.1.0  24  192.168.1.254(USG5530的untrust2区域的出接口地址)

建议与总结

排查思路:

1.先查看会话信息,看是否有会话

    如果没有会话,检查安全策略是否放行

2.如果不是专线,检查数据是否做了nat转换

  此案例是专线,数据无需走专线

3.检查路由是否缺失

END