USG6500 V100R001C30SPC300 内网访问外网部分网页打不开

发布时间:  2016-06-20 浏览次数:  114 下载次数:  0
问题描述

USG6650出口有3条,到移动、联通、电信各有一条,针对内网6号楼用户通过策略路由优选电信出口上网,设备开启DNS透明代理,每个出接口分别绑定运营商对应的2DNS地址

部分网页无法访问

涉及主要配置如下:

interface GigabitEthernet2/0/0    //外网联通出口
description To_unicom
ip address *.*.179.146 255.255.255.252
reverse-route nexthop *.*.179.145
gateway *.*.179.145
bandwidth ingress 300000 threshold 90
bandwidth egress 300000 threshold 90
#
interface GigabitEthernet2/0/1    //外网电信出口
undo negotiation auto
description To_telecom                  
ip address *.*.4.55 255.255.255.224
reverse-route nexthop *.*.4.33
gateway *.*.4.33
bandwidth ingress 200000 threshold 90
bandwidth egress 200000 threshold 90
#
interface GigabitEthernet2/0/3    //外网移动出口
description To_Mobile
ip address *.*.39.130 255.255.255.252
reverse-route nexthop *.*.39.129
undo service-manage enable
gateway *.*.39.129
bandwidth ingress 200000 threshold 90
bandwidth egress 200000 threshold 90

interface GigabitEthernet1/0/9  //内网互联接口
description To_XQ_HXW_01
ip address *.*.136.209 255.255.255.252 
service-manage http permit
service-manage https permit
service-manage ping permit
service-manage ssh permit
service-manage snmp permit
service-manage telnet permit

ip address-set '6haolou' type object  6号楼pc上网的地址集
address 0 192.168.20.0 0.0.3.255
address 1 10.110.3.0 0.0.0.63

policy-based-route                         //6号楼上网地点策略路由主走电信
rule name 6号楼
  ingress-interface GigabitEthernet1/0/9   //1/0/9为连接内网的接口
  source-address address-set '6haolou'
  action pbr egress-interface multi-interface
   add interface GigabitEthernet2/0/1 priority 5
   add interface GigabitEthernet2/0/0 priority 3
   add interface GigabitEthernet2/0/3 priority 3
   mode priority-of-userdefine

dns resolve
dns transparent-proxy enable
dns server bind interface GigabitEthernet2/0/0 preferred 221.11.1.67 alternate 221.11.1.68  联通dns
dns server bind interface GigabitEthernet2/0/1 preferred 61.134.1.4 alternate 218.30.19.40   电信dns
dns server bind interface GigabitEthernet2/0/3 preferred 211.137.130.3 alternate 211.137.130.19 移动dns
dns transparent-proxy server *.*.136.209    //内网主机DNS为*.*.136.209
 

告警信息
处理过程

处理步骤1:

以访问**银行网页为例,查询有会话,发现会话中,DNS被替换成移动地址,而不是电信DNS,HTTP数据正常选择了电信接口

测试主机地址: 10.110.3.61  主机配置DNS地址: 10.111.136.209

**银行地址: *.*.240.143

DNS  VPN:public --> public  ID: a58f6a37f36c0150bd5761bc51
  Zone: trust--> mobile  TTL: 00:00:30  Left: 00:00:23 
  Output-interface: GigabitEthernet2/0/3  NextHop: 218.200.39.129  MAC: 00-25-9e-f3-2f-05
  <--packets:1 bytes:106   -->packets:1 bytes:62
  10.110.3.61:39201[218.200.39.130:31001]+->10.111.136.209:53[211.137.130.3:53] PolicyName: mobile_icmp

  HTTP  VPN:public --> public  ID: a58f687d4a18819db85761bc52
  Zone: trust--> telecom  TTL: 00:00:10  Left: 00:00:04 
  Output-interface: GigabitEthernet2/0/1  NextHop: 61.185.4.33  MAC: 00-d0-d0-c5-fc-60
  <--packets:6 bytes:1652   -->packets:6 bytes:554
  10.110.3.61:53920[61.185.4.55:35129]-->*.*.240.143:80 PolicyName: telecom_nat



处理步骤2:

  发现主机配置的DNS地址,即DNS代理地址10.111.136.209实际是内网接口1/0/9的地址,所以主机发出的DNS请求是到USG自身的接口地址,到USG自身的数据不查策略路由表

  直接查找路由表转发,该设备的3个出接口配置有网关地址,对应会生成3条等价默认路由,由于是等价匹配到电信路由的可以访问,匹配到另外两个接口的路由无法访问


根因

DNS代理地址设置为USG自身的接口IP地址,导致主机发送的DNS请求报文是到达USG的自身的,到达自身的报文不匹配策略路由,直接查找默认路由,由于有3条默认等价路由,实现负载,被分配到电信接口的会选择电信DNS,业务数据也走电信,可以正常访问,如果被分配到另外两个运营商接口,会选择对应运营商的DNS,解析出的IP也是对应的移动或者联通的IP,但是数据报文还是会匹配到策略路由转发到电信接口,这样就会产生来回路径不一致导致访问失败

解决方案

内网终端的DNS服务器不要配置为防火墙内网接口地址,修改设置为其他地址8.8.8.8,然后针对此地址8.8.8.8做透明代理(dns transparent-proxy server 8.8.8.8)后再次测试之前无法访问的网页现在都能正常访问

建议与总结

1,DNS代理地址不要设置为USG自身接口使用的IP地址

END