源进源出配置异常导致客户访问异常

发布时间:  2016-10-29 浏览次数:  176 下载次数:  0
问题描述

版本、补丁如下:

    USG5500 V300R001C10SPC600

    usg5500v300r001c10sph602.pat

客户组网如下:


    客户通过双出口接入,电信出口58.x.x.66/26,移动出口222.x.x.250/26,并将内网主机52.1.120.51转换为电信地址提供服务,如下:

nat server 17 protocol tcp global 58.x.x.69 www inside 52.1.120.51 www no-reverse

    并在电信接口部署源进源出:

interface GigabitEthernet0/0/3

 ip address 58.x.x.66 255.255.255.192 

 reverse-route nexthop 58.x.x.65

    但是客户反馈还是有部分兄弟单位无法访问内网服务器。

处理过程

    到达现场之后,通过分析会话表了解到客户反馈的无法访问的网段均在于移动出口在同一网段的222.x.x.192/26地址段,虽然部署了源进源出,但是从产品文档中可以很明显的看到:


    即是说源进源出对于接口路由不生效,于是想到了用策略路由来补齐这部分不生效的接口地址,配置策略路由将所有原地址为52.1.120.51,目的地址为222.x.x.192/26的路由强制指向电信出口。但是修改之后还是无法解决问题,经过反复排查,怀疑可能是源进源出导致的策略路由不生效,所以删除源进源出,发现故障解决,策略路由优于直连路由生效,但是原本可以访问的移动地址段由于ISP选路的问题又出现了访问异常。

    经过了解客户的业务,发现地址为52.1.120.51的服务器只对外提供WEB服务,且自身没有访问外网的需求,所以将策略路由修改,将所有52.1.120.51到外网的数据包均指向电信出口,如下:

policy-based-route pbr permit node 5

 if-match acl 3033

 apply ip-address next-hop 58.x.x.65

acl number 3033

 rule 11 permit ip source 52.1.120.51 0

    故障排除。

根因

    从以上处理过程可知,此次的故障原因有二:

    一、客户不知道源进源出对接口直连路由不生效。

    二、源进源出优于策略路由选路,但其又对接口直连路由不生效,导致了最终策略路由也没有对接口的直连路由生效。

解决方案

    在这个故障中,由于客户业务特殊,内网server 52.1.120.51只有电信出口,且没有访问互联网需求,所以针对52.1.120.51做策略路由,将所有它出的去往外网的数据包均指向电信出口。

建议与总结

    在部署防火墙多出口时一定要注意源进源出不会对直连路由生效,同时源进源出又会优于策略路由选路,同时部署很可能会导致策略路由也对出口路由不生效。

END