USG9560产品(V500R001)对安全策略优化完成后,将缺省策略关闭后,ip-link失效

发布时间:  2016-11-25 浏览次数:  124 下载次数:  0
问题描述

1、版本信息:(V500R001)

2、组网概述:USG9560设备上接友商路由器,内部接用户侧交换机,有三条外网出口,使用缺省路由和IP-link进行联动;友商路由器连接公网地址;

3、组网拓扑图:


4、配置脚本

USG9560配置

security-policy

 default action permit

 default policy logging

 default session logging

 rule name Dadetong_ISP1

  policy logging

  session logging

  source-zone trust

  destination-zone ISP1

  source-address address-set neiwangsiwang

  action permit

 rule name Tianjin2_ISP2

  policy logging

  session logging

  source-zone trust

  destination-zone ISP2

  source-address address-set neiwangsiwang

  action permit

 rule name Tianjin_ISP3

  policy logging

  session logging

  source-zone trust                       

  destination-zone ISP3

  source-address address-set neiwangsiwang

  action permit

以下是一个isp关于ip-link的配置(由于地址保密,将使用自己规划的地址)

ip-link check enable                      

ip-link name dadetong

 source-ip 10.10.10.10

 destination 20.20.20.20 interface Eth-Trunk1.1(20.20.20.20是外网对端地址)

 tx-interval 3

 times 6

interface loopback 100

ip address 10.10.10.10 32

description to-isp1

ip route-static 0.0.0.0 0.0.0.0 192.168.191.1 preference 28 track ip-link dadetong


5、故障现象的全面记录

通过web 界面将防火墙的缺省策略禁用后,ip-link 失效,路由失效;

查看命令如下:

HRP_M<FW-HuLianWang-1>dis ip-link

Current Total Ip-link Number : 3

Name                              Member   State   Up/Down/Init

dadetong                          1        down    0  1    0  

HRP_M<FW-HuLianWang-1>dis fib 0.0.0.0(出口路由直接就掉到下一条出口了) 

  Route Entry Count: 1

Destination/Mask   Nexthop         Flag  TimeStamp     Interface      TunnelID

0.0.0.0/0          192.168.191.5   GSU   t[15728574]   Eth-Trunk1.2   0x0

再次将缺省安全策略放通后,第一条isp的ip-link状态正常,并且路由正常,如下所示:

HRP_M<FW-HuLianWang-1>dis ip-link  

Current Total Ip-link Number : 3

Name                              Member   State   Up/Down/Init

dadetong                          1        up      1  0    0 

HRP_M<FW-HuLianWang-1>dis fib 0.0.0.0

  Route Entry Count: 1

Destination/Mask   Nexthop         Flag  TimeStamp     Interface      TunnelID

0.0.0.0/0          192.168.191.1   GSU   t[15729915]   Eth-Trunk1.1   0x0

处理过程

1、究其原因,应该是安全策略的问题,发现去掉缺省安全策略后,并没有放通local到各个ISP出口区域的策略;

2、由于设备上启用的loopback接口属于设备自身接口,默认属于local区域,并且没有加到其它区域中;

3、修改安全策略如下(仅用一条ISP策略概述):

 rule name ISP1_IPLINK

  policy logging                          

  session logging

  source-zone local

  destination-zone ISP1

  source-address address-set ISP1_IPLINK

  destination-address address-set ISP1_IPLINK_Des

  action permit

4、更改完成,将缺省策略禁用后,查看ip-link 状态正常,缺省路由正常,业务正常

根因

由于业务使用的缺省路由,缺省路由又与IP-LINK 进行联动,因为ip-link使用的源地址是loopback地址,而loopback地址默认属于local区域,因为安全策略并没有放通local区域到出口ISP区域,所以导致ip-link失效,进而导致路由失效。

解决方案

1、对USG9560设备上的安全策略进行统一配置,并且要时刻注意每个区域间的安全策略,将缺省策略禁用后,也要关注其它区域间的策略是否已经全部开启;

2、如果设备上的地址没有加入到区域中,默认属于local区域,要注意放通local到其余区域的策略


建议与总结

1、要对设备上的每条路径进行规划,并放开所有需要经过的安全策略,不然禁用掉缺省策略后,会对网络造成不必要的影响;

END