所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

USG9560(V500R001C60SPC500)做nat策略后同区域deny策略导致业务不通

发布时间:  2018-07-30  |   浏览次数:  231  |   下载次数:  1  |   作者:  t00357733  |   文档编号: EKB1001768864

目录

问题描述

top如下:



故障现象,从大网tracert及ping nat-server 的global地址不通:





nat-server脚本:

 nat server obs_internet global 100.95.32.60 inside 100.79.80.29

告警信息

处理过程

1、tracert路由到核心128上,下一跳不通,查询路由如下:


2、查询边界墙上路由及会话:



3、查询边界墙上server-map表项:


4、查询安全策略匹配情况:


5、查询安全区域接口情况:


根因

边界墙进来接口与出去接口同时加入untrust区域,usg9560默认同区域为permit,但因项目规划同区域需deny,导致global地址不通。

解决方案

重新规划安全区域,放通相关策略,global地址正常访问,即业务访问正常。


建议与总结

防火墙nat问题,路由查看是基础,进一步需查看会话表、server-map表、安全策略匹配情况,安全区域、安全策略,同时要清楚流量模型。