?

故障案例

USG2230多出口網絡場景配置非等價默認路由時，NAT SERVER映射不通的故障排查
?

問題描述

USG2230配置等價路由時從外網訪問內網服務器映射出去的公網地址是通的,但將映射出去的公網IP地址所在網段的默認路由的優先級調低(優先級數值配置大于默認的60)時,從外網再訪問卻不通。

處理過程

1.?根據問題的描述可以判定導致該問題的原因應該是沒有配置源進源出功能所致,在各個出接口下配置源進源出功能:

#

interface GigabitEthernet0/0/0

ip address A.A.6.98 255.255.255.248

? reverse-route nexthop A.A.6.97

#

interface GigabitEthernet5/0/0

ip address B.B.72.234 255.255.255.248

? reverse-route nexthop B.B.72.233

#
?

2.?在配置好源進源出功能后,訪問還是不通,且在查看會話表時發現并沒有創建會話

[BJ_Bmsoft_USG-diagnose]display firewall session table verbose-hide both-direction destination global A.A.6.99?????????????????????????????????????????????

14:12:33? 2016/04/05????? ??????????????????????????????????????????????????????

?Current Total Sessions : 0???

而在配置為等價路由時是有正常創建會話的,查看會話顯示如下:

?

3.?經初步分析后感覺疑似源進源出功能未生效。對設備的配置信息仔細進行分析后,發現在防火墻上開啟了IP Spoofing攻擊防范功能(firewall defend ip-spoofing enable)。開啟此功能后, 設備對報文的源IP地址進行FIB表反查,如果反查該IP地址的出接口與報文的入接口不相同,則視為IP欺騙攻擊,給予處理。把該功能關掉后測試訪問正常。
?

操作步驟

1.?開啟源進源出功能;

2.?關閉IP Spoofing攻擊防范功能。

建議與總結

IP Spoofing攻擊防范機制可能會存在誤報的可能。當USG工作在透明模式或者多出口場景下,或應用了策略路由、非等價默認路由時,不能配置IP欺騙攻擊防范功能。

?

總結

以上是生活随笔為你收集整理的华为防火墙USG多出口网络场景是如何排除故障的的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。