USG6500相同数据流两次经过防火墙问题

发布时间:  2016-03-19 浏览次数:  143 下载次数:  0
问题描述


大概网络结构如上图所示,由于网络原因,公网地址218.X.X.70掩码是28位的掩码和218.X.X.66是同一个网段的;

USG6570设备,想实现网络2过防火墙走纯二层方式,上面的二层交换机属于运营商的二层交换机,使用源地址192.168.200.3的地址去访问218.X.X.6680端口的时候不通;接口4和接口5都是二层口access模式属于vlan1;外网访问218.X.X.6680端口没有问题;采集信息的时候,发现

 

  http  VPN:public --> public  ID: a58f3fe308340f126356d5ef0e

  Zone: dmz--> untrust  TTL: 00:00:05  Left: 00:00:01 

  Output-interface: GigabitEthernet1/0/2  NextHop: 218.X.X.66  MAC: 14-14-4b-30-c1-76

  <--packets:2 bytes:104   -->packets:2 bytes:104

  192.168.200.3:65318[218.X.X.70:2273]-->218.X.X.66:80 PolicyName: ?¥jθ

查看会话信息显示,192.168.200.3的安全区域本身为trust区域的,但是会话表里面显示的为DMZ域了;

解决方案
原因是流量两次经过同台防火墙,导致防火墙表项被刷乱掉了;相同的数据流,五元组一样,走一个接口发出去,然后在两外一个接口又接收到,这样会导致防火墙会话表乱掉;客户的公网地址不能改变,鉴于客户这种场景,需要做虚拟防火墙实现,对应的4、5 两个口加入虚拟防火墙;现网做虚拟防火墙也已经测试成功;

END