故障案例
USG2230多出口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查
问题描述
USG2230配置等价路由时从外网访问内网服务器映射出去的公网地址是通的,但将映射出去的公网IP地址所在网段的默认路由的优先级调低(优先级数值配置大于默认的60)时,从外网再访问却不通。
处理过程
1.根据问题的描述可以判定导致该问题的原因应该是没有配置源进源出功能所致,在各个出接口下配置源进源出功能:
#
interface GigabitEthernet0/0/0
ip address A.A.6.98 255.255.255.248
reverse-route nexthop A.A.6.97
#
interface GigabitEthernet5/0/0
ip address B.B.72.234 255.255.255.248
reverse-route nexthop B.B.72.233
#
2.在配置好源进源出功能后,访问还是不通,且在查看会话表时发现并没有创建会话
[BJ_Bmsoft_USG-diagnose]display firewall session table verbose-hide both-direction destination global A.A.6.99
14:12:33 /04/05
Current Total Sessions : 0
而在配置为等价路由时是有正常创建会话的,查看会话显示如下:
3.经初步分析后感觉疑似源进源出功能未生效。对设备的配置信息仔细进行分析后,发现在防火墙上开启了IP Spoofing攻击防范功能(firewall defend ip-spoofing enable)。开启此功能后, 设备对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予处理。把该功能关掉后测试访问正常。
操作步骤
1.开启源进源出功能;
2.关闭IP Spoofing攻击防范功能。
建议与总结
IP Spoofing攻击防范机制可能会存在误报的可能。当USG工作在透明模式或者多出口场景下,或应用了策略路由、非等价默认路由时,不能配置IP欺骗攻击防范功能。
