USG2230多出口网络配置非等价默认路由时,NAT SERVER映射不通

发布时间:  2016-05-03 浏览次数:  139 下载次数:  0
问题描述

配置等价路由时从外网访问内网服务器映射出去的公网地址是通的,但将映射出去的公网IP地址所在网段的默认路由的优先级调低(优先级数值配置大于默认的60)时,从外网再访问却不通。

处理过程

1. 根据问题的描述可以判定导致该问题的原因应该是没有配置源进源出功能所致,在各个出接口下配置源进源出功能:

#

interface GigabitEthernet0/0/0

ip address A.A.6.98 255.255.255.248

  reverse-route nexthop A.A.6.97

#

interface GigabitEthernet5/0/0

ip address B.B.72.234 255.255.255.248

  reverse-route nexthop B.B.72.233

#

 

2. 在配置好源进源出功能后,访问还是不通,且在查看会话表时发现并没有创建会话

[BJ_Bmsoft_USG-diagnose]display firewall session table verbose-hide both-direction destination global A.A.6.99                                             

14:12:33  2016/04/05                                                            

 Current Total Sessions : 0   

 

而在配置为等价路由时是有正常创建会话的,查看会话显示如下:

[BJ_Bmsoft_USG-diagnose]display firewall session table verbose-hide both-direction destination global A.A.6.99                                             

14:18:04  2016/04/05                                                           

  Current Total Sessions : 1                                                    

http  VPN:public --> public                                           

    Zone: untrust_ck1--> policy_sec_dmz  PolicyID: 0  TTL: 00:00:10  Left: 00:00:00

Input-interface: GigabitEthernet0/0/0                                      

    Output-interface: Vlanif124  NextHop: 10.0.24.2  MAC: 00-1c-b1-36-0c-43      

    <--packets:0 bytes:0   -->packets:8 bytes:895                                

    175.167.136.38:10032-->A.A.6.99:80[10.0.15.16:80]                        

                                                                                

    http  VPN:public --> public                                               

    Zone: policy_sec_dmz--> untrust_ck1  PolicyID: 0  TTL: 00:00:10  Left: 00:00:00                                                                               

    Output-interface: GigabitEthernet0/0/0  NextHop: A.A.6.97  MAC: ac-85-3d-9f-cc-bc                                                                        

    <--packets:0 bytes:0   -->packets:8 bytes:4733                                

    10.0.15.16:80[A.A.6.99:80]-->175.167.136.38:10032

3. 经初步分析后感觉疑似源进源出功能未生效。对设备的配置信息仔细进行分析后,发现在防火墙上开启了IP Spoofing攻击防范功能(firewall defend ip-spoofing enable)。开启此功能后, 设备对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予处理。把该功能关掉后测试访问正常

解决方案

1. 开启源进源出功能;

2. 关闭IP Spoofing攻击防范功能。

建议与总结

USG工作在透明模式或者多出口场景下,或应用了策略路由时,不能配置IP欺骗攻击防范功能。

END