关于云计算数据中心FusionManager上“创建虚拟防火墙上的子网失败”的处理方法

发布时间:  2016-11-18 浏览次数:  104 下载次数:  0
问题描述

某局点新开局采用多租户私有VPC的场景,虚拟防火墙采用硬件防火墙的方式(FM与硬件防火墙对接,在硬件防火墙上创建虚墙提供给云平台的租户使用)FM与防火墙对接成功,可以在FM上看到虚拟防火墙,并且在FM上申请路由器成功,但是在FMVPC里创建路由网络失败,查看失败原因“创建虚拟防火墙上的子网失败”。版本:FusionManagerV100R005C10SPC700   防火墙 USG 9520V300R001C01SPC700。

告警信息
无。
处理过程

1、 FusionManager中,选择资源 > 设备 > 网络设备>防火墙”查看防火墙的资源配置,针对里面的资源参数逐条的与USG9520防火墙核对,然后在FM上点“重新发现防火墙”更新防火墙的配置,在VPC再重新申请路由网络,故障依旧。

2、在FM查看虚拟防火墙的状态,发现申请成功的路由器可以正常的占用到对应该的虚拟防火墙里面,说明FM与防火墙对接没有问题,而创建虚拟防火墙上的子网失败应该是FM上创建的VCP网络信息无法写入虚拟防火墙造成的

3、使用PuTTY,登录FusionManager,以galaxmanager用户,通过管理IP地址登录检查FusionManager上配置指定路由域与防火墙的关联关系;执行modConfig vfw list命令,查看vfw配置文件内容显示如下:

Zone01:4638707616191610881:untrust:InternetVRF:0

Zone01:4638707616191610882:untrust:InternetVRF:0

发现配置的最后一个参数为:InternetVRF:0,这个参数的含义如下:

试着把这个参数改为InternetVRF:1

4、在FM上的VPC里重新创建路由网络(IP采用静态注入方式),创建网络成功,在对应该的网络里发放虚拟机也成功,问题解决。



根因

FM上配置路由域与防火墙的关联关系的业务类型选错

解决方案

FM上更改路由域与防火墙的关联关系的对应该业务类型

建议与总结

FM在与接入防火墙时要与对端确认好网络的业务类型。

END