USG5500 地址映射特殊网段无法访问

发布时间:  2016-06-23 浏览次数:  132 下载次数:  0
问题描述

USG5500双线接入运营商电信和联通,用户有另一工作网段在他地,IP段与防火墙电信接口在同一网段。

现用户从工作网段访问USG5500在联通上配置的地址映射访问不通。

USG5500版本: V300R001C10SPC600  

组网场景如下:


告警信息
处理过程

1.经沟通,其他电信或者运营商访问联通地址映射没有问题,排除防火墙本身配置问题。

2.在USG5500上,查看相关会话,显示为0。

3.在USG5500上配置流量统计,显示有丢包。

4.经沟通,用户断开USG5500电信接口,用户从工作地访问即能生效,定位是源进源出问题。

5.恢复USG5500电信接口,在USG5500的联通接口上,配置命令:reverse-route nexthop 220.85.X.254测试,仍然无法访问。

6.判断用户数据从联通接口进来,回包匹配接口路由,从电信回去,导致源进源出不生效。

7.与研发沟通,确认此场景下源进源出不生效,原因是源地址如果和接口同网段的话,同网段优先级更高。

根因
此场景下源进源出不生效,原因是源地址如果和接口同网段的话,同网段优先级更高。
解决方案
配置策略路由,将报文重定向回联通接口。
建议与总结

END