S12700部署VPN实例和NLB后转发不通

发布时间:  2015-10-10 浏览次数:  235 下载次数:  2
问题描述

设备类型/版本:S12708(V200R007C00SPC500),USG6650(V100R001C30SPC100)

组网概述:S12700作为核心,是园区网和数据中心的网关。部署VPN实例用于隔离,其中园区网网段在公共路由表中,数据中心网段在VPN实例路由表中。防火墙三层旁挂在S12700上,用于联通VPN路由表和公共路由表,仅作访问控制,未部署nat。数据中心内有NLB服务器,S12700 VPN实例内部署NLB相关配置。

组网拓扑:见附件

配置脚本:普通VPN实例划分和NLB配置

interface XGigabitEthernet1/2/0/41
description TO_UCS-A
port link-type trunk
port trunk allow-pass vlan 250 to 252
stp disable
mac-address multiport 03bf-0a14-fa50 vlan 250

故障现象:

配置完成后,测试从园区网(公共路由表)访问数据中心NLB服务器失败。

告警信息
处理过程

1.排查S12700和防火墙配置无异常;

2.排查防火墙访问控制策略未做限制;

3.在S12700上做镜像抓包,发现从园区网进入的数据未送到防火墙。

4.经分析,NLB的实现方式是通过ACL匹配报文的目的IP地址,以及是否为三层流量,匹配上这些条件后将流量重定向到NLB服务器的下一跳。

由于该ACL不区分VPN,因此从VPN过来的流量直接命中该ACL,被直接转发到NLB服务器。因此未将流量按照静态路由指导转发至旁挂防火墙,造成来回路径不一致。

根因
S12700在VPN场景下处理NLB流程不合理,经确认CE TOR设备也有类似问题,CE12800无该问题。
解决方案

临时解决方案:在旁挂防火墙上将NLB私网IP做nat server,映射为另一个IP,园区网用户访问global IP,使得在S12700上两次经过的IP不一样,规避该问题。

END