USG9560 源NAT转换使用了非NAT地址池的地址导致上网不通

发布时间:  2015-03-28 浏览次数:  177 下载次数:  0
问题描述

USG9560多个公网出口,不同出口化入不同的安全区域,发现很多源NAT转换使用了非NAT策略指定的NAT地址池的地址转换。

比如安全区域trust—dianxin的源NAT,地址池使用的nat addres-group 1 dianxin,里面只有1.1.1.1的公网地址,但是发现10.40.8.100的源地址,做地址转换使用了2.2.2.2的公网地址。


告警信息

处理过程

1、怀疑是配置缺省路由,且接口下启用NAT转换功能,检查配没有发现这种情况;

2、怀疑做了策略路由,强制走某出口且接口下启用NAT,检查配置也没发现有这种情况;

3、怀疑上网的源地址做了不带反向server map表的nat server地址映射,检查配置也没发现这种情况;

4、与研发确认,域间配置了自定义ASPF

interzone trust dianxin                                                        

    detect user-defined 3000 outbound

从而生成一个(到目的是any)3元组的server map, 这样的话后续包过来如果同样的源Ip和源端口且协议也一样的话, 就会走上次生成的sermapnat。

比如本次生成的是dianxin, 而下次去liantong出口的流量匹配了dianxin3元组, 造成了这个现象。

删除该配置后,大量的异常servermap消除,NAT上网地址池变为NAT策略指定地址池,上网正常。

根因

域间配置了用户自定义ASPF,detect user-defined, 从而生成一个(到目的是any)3元组的server map, 这样的话后续包过来如果同样的源Ip和源端口且协议也一样的话, 上网数据就会走上次生成的sermapnat,比如本次生成的是dianxin, 而下次去liantong出口的流量匹配了dianxin3元组, 造成了这个现象。


解决方案

删除域间aspf的自定义检测配置,上网正常。

建议与总结

要理解域间配置了用户自定义ASPF的使用场景,有什么影响,客户环境是多出口,不适合这种配置。

END