USG6680防火墙因为流量来回路径不一致导致NAT Server配置未生效

发布时间:  2016-10-19 浏览次数:  198 下载次数:  0
问题描述

某用户需要将一台服务器的FTP服务映射到公网上,通过在USG6680(两台USG6680配置双机热备主备模式)全局模式下配置NAT Server功能实现需求。当配置完成后测试发现公网用户无法正常访问FTP服务,查看FTP日志却发现服务器可以接受到公网用户发送的连接请求。

处理过程

1. 当公网用户访问FTP服务时,通过查看防火墙会话表,发现防火墙可以建立相应的NAT会话,说明NAT Server配置已生效。

2.   通过查看USG6680主用防火墙路由表发现到达服务器的路由为直连路由,再查看防火墙接口地址发现服务器地址与防火墙管理接口地址在相同网段,而服务器设置的网关却在USG6680下联的核心交换机上,再登录核心交换机查看路由表,发现回程流量需要通过核心交换机旁挂的核心防火墙再回到USG6680,到此可以判断公网用户访问该服务器的来回路径不一致。

因为从公网访问服务器的入方向流量并没有经过核心防火墙,而是从USG6680的管理接口直接到达了服务器的网段,从而导致核心防火墙没有建立相应的会话表项,而回程流量却经过核心防火墙,导致核心防火墙把回程流量认定为非法流量,从而被丢弃,进而无法建立连接。

根因
USG6680的管理接口与服务器地址在相同网段,导致访问该服务器的流量来回路径不一致,而在回程路径上却存在另外一台防火墙,该防火墙无相应的会话,导致回程流量被防火墙丢弃。
解决方案

通过与用户沟通,用户表示原本设计的流量并不应该从USG6680管理接口转发,入方向流量应该按照USG6680到核心交换机到核心防火墙再到核心交换机的路径进行转发,管理接口只作为防火墙的带外管理使用。

最后与用户沟通后,决定在两台USG6680上建立一个新的VPN实例,将USG6680的管理接口加入到该VPN实例中,从而将管理接口的直连路由隔离出全局路由表。

HRP_A [2H07_USG6680_1]ip vpn-instance bmc

HRP_A [2H07_USG6680_1-vpn-instance-bmc]route-distinguisher 65535:1

HRP_A [2H07_USG6680_1-vpn-instance-bmc]interface GigabitEthernet0/0/0

HRP_A [2H07_USG6680_1-GigabitEthernet0/0/0]ip binding vpn-instance bmc

HRP_A [2H07_USG6680_1-GigabitEthernet0/0/0] ip address 10.12.100.15 24



因为直连路由已经隔离出全局路由表,所以流量会匹配下一跳为核心路由器的静态路由到达核心路由器,流量按照原本设计的路径进行转发,故障排除。



建议与总结

建议设备的带外管理地址不要与业务地址设计在相同网段。

END