USG6680配置问题导致业务不通

发布时间:  2016-03-01 浏览次数:  262 下载次数:  0
问题描述

1、防火墙版本为V100R001;

2、组网概述:总部和分公司通过ISP专线互联,在总部数据中心内部署业务服务器,从分公司可以直接访问。

3、组网拓扑图如下:


4、故障现象:从分支Client2访问数据中心某台业务服务器,无法访问。客户反映,上周是可以正常访问的。


处理过程

1、远程到分公司业务平台客户端管理页面查看相关日志,发现一个月前能正常访问业务平台的日志显示的回包地址(即业务服务器地址),和现在出现互通问题时不一样。

   即,分公司可以正常访问总部服务器时,服务器回包的地址是正确的(自己的IP),而出现问题后地址是防火墙连接数据中心的IP地址。所以初步推断可能是NAT的问题。

2、登陆数据中心防火墙,监控会话表: display firewall session table verbose source inside 10.6.125.130

15:37:13  201X/XX/XX
Current Total Sessions : 3
  HTTP  VPN:public --> public  ID: a58f6a2f512181447856d07120
  Zone: untrust--> trust  TTL: 00:00:10  Left: 00:00:01 
  Output-interface: Eth-Trunk1  NextHop: 10.10.10.253  MAC: d4-94-e8-XX-XX-XX
  <--packets:4 bytes:602   -->packets:6 bytes:1346
  10.6.125.130:37564[10.10.10.254:4292]-->10.10.8.100:80 PolicyName: policy_sec

从会话表可以看出,Client访问业务平台的数据包的源地址匹配了NAT策略,执行源NAT转换动作。同理,服务器回应的数据包的源地址也被改写,这样当客户端收到数据包就不是自己请求的目标地址回应的,自然会被丢弃。

3、进入NAT-policy配置视图,查看配置配置信息:

nat-policy
  rule name inner-server
   destination-zone trust
   destination-address 10.10.8.100 mask 255.255.255.255
   action nat easy-ip

分析上述配置,可以得知,当client访问数据中心业务平台时候,在zone和destination-address都恰好匹配了这条inner-server NAT策略。由于NAT策略配置的不够细化,使这些数据包的源地址都被不正常的改写,从而导致客户业务不通。

解决方案

解决方案:

1、进入nat-policy配置的rule name inner-server视图下,增加source-zone trust命令,问题解决!


END