USG9560二层透明墙模式部署,用户dhcp报文穿越防火墙获取不到ip地址

发布时间:  2016-12-15 浏览次数:  230 下载次数:  0
问题描述

1.  组网描述:

网关:电信的2NE40E作为用户接入网关,2NE40E分别终结不同vlan id,用户的DHCP server部署在NE40E上。

防火墙:2USG9560部署二层透明墙,并且部署双机为主备模式,

汇聚交换机:2S12712配置CSS集群互联USG9560;

2.  问题描述:

用户接入在S12712下,DHCP报文穿越防火墙获取不到IP,如果将NE40E直接互联S12712,用户就可以正常获取IP地址,并且上网业务正常,防火墙USG9560配置缺省安全策略为permit;

3.  防火墙USG9560配置如下:

USG9560软件版本:V500R001C30SPC100补丁:无

#

 hrp enable                              

 hrp interface Eth-Trunk0 remote 192.168.1.2

 hrp mirror session enable

 hrp standby config enable

 hrp configuration auto-check 1440

 hrp track interface GigabitEthernet4/0/0

 hrp track interface GigabitEthernet4/0/1

 hrp track interface Eth-Trunk2

 hrp track vlan 200

 hrp track vlan 201

 hrp track vlan 202

 ......

 hrp track vlan 300

#

interface Eth-Trunk2

 portswitch

 description TO_ZH-XXZ-CSW-HW12712-01_ETH-TRUNK22

 port link-type trunk

 port trunk allow-pass vlan 200 to 300 3012

#

interface GigabitEthernet4/0/0

 portswitch

 description uT:ZH-XZ-MSE-1.MAN.NE40E_10GE2/1/4

 undo shutdown

 port link-type trunk                    

 port trunk allow-pass vlan 251 to 300

 anti-ddos flow-statistic enable

#

interface GigabitEthernet4/0/1

 portswitch

 description uT:ZH-XXZ-MSE-2.MAN.NE40E_10GE2/1/1

 undo shutdown

 port link-type trunk

 port trunk allow-pass vlan 200 to 250

 anti-ddos flow-statistic enable

#

security-policy

 default action permit

#

告警信息

处理过程

bserve-index 4

#

interface GigabitEthernet4/1/1

 Port-observing observe-index 4

#

interface Eth-Trunk2

 portswitch

 description TO_ZH-XXZ-CSW-HW12712-01_ETH-TRUNK22

 port link-type trunk

 port trunk allow-pass vlan 200 to 300 3012

port-mirroring inbound

 port-mirroring outbound

 

#

interface GigabitEthernet4/0/1

 portswitch

 description uT:ZH-XXZ-MSE-2.MAN.NE40E_10GE2/1/1

 undo shutdown

 port link-type trunk

 port trunk allow-pass vlan 200 to 250

 port-mirroring inbound

 port-mirroring outbound

#

抓取到用户和NE40E之间交互的DHCP报文截图如下:

1.  用户发送的DHCP discover报文流进防火墙USG9560,防火墙USG9560也正常转发给了NE40E;

2.  NE40E收到客户端的DHCP discover报文也正常回复了 DHCP offer报文,但是offer报文流进防火墙后,防火墙并未转发改报文;

3.  导致客户端没有收到offer报文,不能正常交互DHCP协议后续的requestACK报文。

NE40E响应的DHCP offer报文,三层报文头部目的IP是广播地址,但是二层报文头部的目标mac缺是单播帧。


根因

经过研发定位分析,高端防火墙USG9500系列在部署二层透明模式的场景下,不支持这种三层广播,二层单播的报文转发,防火墙会直接丢弃该类报文。


解决方案

NE40E上在接口下增加一条dhcp-broadcast命令,将dhcp协议报文改为全广播类型;

<ZH-XZ-MSE-1.MAN.NE40E>dis cur int g 2/1/4.2000

#

interface GigabitEthernet2/1/4.2000

 pppoe-server bind Virtual-Template 1

user-vlan 200 250

 bas

 #

  access-type layer2-subscriber default-domain pre-authentication gewifi-nat-pre

  dhcp-broadcast

  nas-port-type 802.11

  roam-domain gewifi-nat.gd

  authentication-method web

  multicast copy by-session

 #

#

建议与总结

END