所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

USG6660防火墙源进源出功能失效问题

发布时间:  2016-07-20  |   浏览次数:  720  |   下载次数:  20  |   作者:  zx_wangge  |   文档编号: EKB1000139446

目录

问题描述


    USG6660防火墙下联一台汇聚交换机,交换机下联多台服务器;上行为联通、电信两条链路。防火墙配置了源进源出功能,实现俩个运行商链路同时对外提供服务,某日外网用户不能通过联通链路访问企业内服务器,怀疑是源进源出功能失效。

告警信息

处理过程

步骤1、在USG6660设备上检查源进源出配置,没有发现问题。

interface GigabitEthernet1/0/0

 description ========To Unicom========

 ip address xx.xx.xx.xx

 reverse-route nexthop xx.xx.xx.xx

 

#

interface GigabitEthernet1/0/1

 description ===To ASTELE===

 ip address xx.xx.xx.xx

 reverse-route nexthop xx.xx.xx.xx

 

步骤2、检查USG6660 安全策略配置,没有发现问题。

< USG6600 >display security-policy         

 

步骤3、查看USG6660全局配置,发现IP Spoofing攻击防范功能被开启。

 

< USG6600 >display current-configuration

firewall defend ip-spoofing enable

 

步骤4关闭IP Spoofing攻击防范功能故障解决

 

undo firewall defend ip-spoofing enable

 

firewall defend ip-spoofing enable

根因

firewall defend ip-spoofing enable

  此命令用来开启IP Spoofing攻击防范功能:设备接收到入方向的流量后,会对报文的源IP地址进行路由表反查,如果反查下一跳最佳出口和报文的入接口不相等,则视为IP欺骗攻击,丢弃该数据包。

解决方案

USG6600系列防火墙可以提供非等价路由环境下的源进源出特性,IP Spoofing攻击防范功能与源进源出功能冲突,不能同时使用。

关闭IP Spoofing攻击防范故障解决源进源出功能失效的问题

 

undo firewall defend ip-spoofing enable

建议与总结