USG6650通过双机物理接口地址无法上网

发布时间:  2015-11-08 浏览次数:  143 下载次数:  0
问题描述

某局点使用USG6650双机做网关,三个ISP出口,其中有两个ISP出口可以上网,ISP3出口不能上网,将ISP3公网IP地址配置在PC上单独测试,PC可以上网。

告警信息

处理过程

1、内网部分IP地址做策略路由上网走ISP3出口,找一台PC ping某DNS来测试,查看会话,发现没有回包:

  icmp  VPN:public --> public  ID: a38f68b2bd8b05ed563b801d

  Zone: trust--> ISP3  TTL: 00:00:05  Left: 00:00:03 

  Output-interface: GigabitEthernet2/0/7  NextHop: 1.1.1.8  MAC: 84-18-88-9d-9c-b1

  <--packets:0 bytes:0   -->packets:5 bytes:480

  192.168.10.20:45896[192.168.1.6:2048]-->8.8.8.X:2048 PolicyName: Trust_ISP3 

2、查看接口配置

interface GigabitEthernet1/0/1

 ip address 192.168.1.6 255.255.255.0

 vrrp vrid 1 virtual-ip 202.127.X.X active

3、查看NAT配置,发现走ISP3的NAT策略配置为出接口地址上网,G2/0/7接口物理地址为随便配置的地址,VRRP地址才是公网地址,因此不能上网

 rule name nat3

  source-zone trust

  egress-interface GigabitEthernet2/0/7

  action nat easy-ip

4、将NAT策略改为通过NAT地址池方式上网,地址池地址为202.127.X.X,修改之后上网正常

根因

ISP3接口配置了VRRP地址,物理口地址为一个随便配置的地址,公网地址是VRRP地址。NAT策略配置为出接口地址上网,公网没有到该地址的路由,上网不通。

解决方案

将NAT策略改为通过NAT地址池方式上网,地址池地址为202.127.X.X,修改之后上网正常。

建议与总结

END