防火墙usg6530(V100R001C20SPC700)有时候打不开网页,有时候能打开

发布时间:  2015-03-30 浏览次数:  272 下载次数:  0
问题描述

1、组网描述: 
      
  防火墙usg6530作为网关设备,上行口GE1/0/0通过静态ip地址与运营商相连,下行口GE1/0/1与三层交换机相连,最终用户的网关在三层交换机上。
2、问题描述
    客户反馈有时候能打开网页,有时候不能打开网页,一直重复出现该现象。
3、相关配置
  security-policy
 default action permit
 #
 nat-policy
 rule name GuideNat1423474501348
  egress-interface GigabitEthernet1/0/0
  action nat easy-ip
 #
  ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet1/0/0 221.214.27.225

告警信息


处理过程

1、查看配置是否存在问题?

   策略完全完全放行,只有单出口,无限速配置,配置无问题

2、查看日志文件?

   有大量的nat port分配失败的日志信息

   2015-03-16 23:11:34 USG6500 %%01NAT/4/INTF_EXCEED_THRESHOLD(l): NAT port allocation is to fail or has failed. Interface =GigabitEthernet1/0/0, Warning Counter=0, Failure Counter=2, Total Warning Counter=7, Total Failure Counter=6.

   %2015-03-16 22:55:12 USG6500 %%01NAT/4/INTF_EXCEED_THRESHOLD(l): NAT port allocation is to fail or has failed. Interface =GigabitEthernet1/0/0, Warning Counter=0, Failure Counter=1, Total Warning Counter=7, Total Failure Counter=4.

3、查看该警告信息,并询问客户实际上网用户人数是否很多,客户反馈某段时间人访问网页很多,就那段时间访问网页很慢,通过该日志信息查看Total Failure Counter次数都只有几次,可以得知缺的端口数量并不多,一般一个地址可以供64000左右个端口,所以需要至少增加一个ip地址,然后通过基于地址池的方式进行源nat转换。

4、基于地址池的源nat配置命令:

 nat address-group addressgroup1 
  section 0 1.1.1.10 1.1.1.11    //该地址为运营商获取的地址
nat-policy rule name policy_nat1 source-zone trust destination-zone untrust source-address 10.1.1.0 24 //指定内网10.1.1.0 24的用户访问外网时,使用地址池中的地址做源nat转换,在此处如果不写,就是所有用户都进行地址池nat转换 action nat address-group addressgroup1
# return


根因

解决方案

1、增加一个ip地址数,通过地址池的方式进行nat转换

建议与总结

END