USG 6500下挂PC访问互联网有的网页打不开

发布时间:  2015-05-07 浏览次数:  245 下载次数:  0
问题描述

PC通过USG 6500访问互联网有的网页打不开,有时是丢包,外网出口是三家ISP

处理过程

 1.  先测试PC与网关的连通性

<!--[if !supportLists]-->2.  <!--[endif]-->查看域间策略配置是否正确

<!--[if !supportLists]-->3.  <!--[endif]-->USG 6500上查看到3ISP互联端口是否UP

<!--[if !supportLists]-->4.  <!--[endif]-->USG 6500上分别ping 3ISP互联地址

根因


解决方案

USG 6500上查看到3ISP互联端口都是UP的状态,然而在ping  ISP互联地址的时候发现ISP1互联地址ping不通,因为在防火墙上配置的是ISP智能选路,而端口都是UP的状态,设备认为这条链路是通的,把去往ISP1的数据包都扔到了ISP1出口的下一跳,所以在访问ISP1地址的网站时会网页打不开,

如果在接口上应用链路健康检查组,当健康检查的结果显示链路故障时,对应的ISP路由表项将被删除,所以流量不会命中该条路由,也就避免被转发到故障链路上(待探测目的IP需要为路由可达的地址)

处理结果:为每一条ISP链路新建一个链路健康检查组,配置ISP地址库选路功能并应用链路健康检查组

healthcheck link-group 1 ISP1

    destination ISP1待侦测IP protocol ICMP

healthcheck link-group 2 ISP1

    destination ISP2待侦测IP protocol ICMP

healthcheck link-group 3 ISP3

    destination ISP3待侦测IP protocol ICMP

建议与总结

在配置多ISP出口时,不能只看物理端口的状态,要查看端口的协议状态及互联的状态

END