USG6550 设备在线升级应用特征库失败

发布时间:  2016-09-20 浏览次数:  668 下载次数:  0
问题描述

   1、组网拓扑图如下

 

 

  2、在防火墙上点击应用特诊库在线升级时,提示“升级服务器域名解析失败,请检查配置或网络连接 ”。

 

 

 


处理过程

1、查看设备的会话表

 <FW1>display firewall session table verbose source inside 10.1.2.2
 17:06:23  2016/06/24
  Current Total Sessions : 28

   DNS VPN:public --> public  ID: a48f3fe289b2818805773e9c5
   Zone: untrust--> local  TTL: 00:20:00  Left: 00:19:54  
   Output-interface: GigabitEthernet1/0/4  NextHop: 111.20.xx.xx  MAC: 54-89-98-xx-xx-xx
   <--packets:0 bytes:0  -->packets:761 bytes:114400
   10.1.2.2-->114.114.114.114:53

发现设备是以私网地址去访问公网dns。

2、再查看上行接口配置

 interface GigabitEthernet1/0/4
  alias 移动ISP
  ip address 10.1.2.2 255.255.255.0
  reverse-route nexthop 111.20.xx.xx

  vrrp vrid 2 virtual-ip 111.20.xx.xy 255.255.255.252 active
  vrrp virtual-mac enable

设备使用了接口的实地址去访问公网dns,因此解析失败

3、配置local区域到untrust区域的nat策略之后,成功升级应用特征库,查看dns解析会话如下

 


 

 HRP_A<USG6500>display firewall session table verbose destination-port 53
 17:10:01  2016/06/29
  Current Total Sessions : 784

   DNS  VPN:public --> public  ID: a28f3fdcb36307d577400d0
   Zone: trust--> untrust  TTL: 00:00:30  Left: 00:00:06  
   Output-interface: GigabitEthernet1/0/4  NextHop: 111.20.173.149  MAC: 54-89-98-f4-6b-b3
   <--packets:1 bytes:77   -->packets:1 bytes:61
   10.1.2.2:57581[111.20.xx.xx:42258]-->114.114.114.114:53 PolicyName: 上网 

根因

由于接口地址是私网地址,而设备在线升级特征库的时候默认选择接口实地址做为更新源地址,导致此时路由不通,dns解析失败。

解决方案

在防火墙上做基于local区域到untrust区域的源NAT,问题解决

END