XXX项目出口防火墙来回路径不一致

发布时间:  2016-08-09 浏览次数:  222 下载次数:  0
问题描述


1:办公区域PC使用222.x.x.245通过互联网区访问数据承载网中USG5560上的58.x.x.66:9000 inside 52.x.x.66 80这条映射但无法访问。

    Ping 58.x.x.66不通,在USG5560上查看会话,无对应的会话信息。如果不使用办公区域进行访问,使用手机访问该条映射又是正常的。

2:在USG5560上DOWN掉G0/0/1:222.85.150.250,从办公区域能够正常访问58.x.x.66:9000 inside 52.x.x.66 80这条映射。

   且能够ping通58.x.x.66查看会话有对应的会话信息。

3:办公区与使用的公网IP地址222.x.x.250/24和USG5560上使用的222.x.x.250/24是同一个段的地址。网关都为:222.xx.xx.193


处理过程

使用diagnose进入诊断模式                                                                                     
[GSH_USG5500_A-diagnose]
[GSH_USG5500_A-diagnose]Display firewall session table verbose-hide both-direction source inside 52.1.120.49
12:39:56  2016/06/28
Current Total Sessions : 50
  16373  tcp  VPN:public --> public
  Zone: trust--> untrust  PolicyID: 0  TTL: 00:00:05  Left: 00:00:02   Input-interface: Eth-Trunk1
  Output-interface: GigabitEthernet0/0/1  NextHop: 222.85.150.193  MAC: 00-e0-fc-8f-ae-36
  <--packets:0 bytes:0   -->packets:1 bytes:48
  52.1.120.49:57161[222.85.150.250:18530]-->10.74.0.15:800

  0  tcp  VPN:public --> public
  Zone: untrust--> trust  PolicyID: 0  TTL: 00:00:05  Left: 00:00:02
  Output-interface: Eth-Trunk1  NextHop: 0.0.0.0  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:0 bytes:0
  10.74.0.15:800-->222.85.150.250:18530[52.1.120.49:57161]

由于办公区域和USG5560上出口G0/0/1上的公网IP地址为同一个网段,在防火墙上匹配了直连路由,导致访问进入流量于G0/0/3进入从G0/0/1出。所以办公区域访问
58.x.x.66:9000/xtbg失败。

根因

由于办公区域和USG5560上出口G0/0/1上的公网IP地址为同一个网段,在防火墙上匹配了直连路由,导致访问进入流量于G0/0/3进入从G0/0/1出。所以办公区域访问
58.x.x.66:9000/xtbg失败。

解决方案

使用策略路由把访问服务器的流量从定向到G0/0/3接口


创建ACL:
acl number 3033
rule 11 permit ip source 52.x.x.x 0 destination 222.x.x.x 0
     //source地址为内网服务器地址,destination为办公区域的公网IP


创建策略路由
policy-based-route pbr permit node 5
if-match acl 3033
apply ip-address next-hop 58.x.x.65    //该地址为G0/0/3出口公网IP地址下一跳

应用策略:
进入下行接口应用
ip policy-based-route pbr

END