• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点内部服务器访问外网,有的能ping通,有的ping不通

2022-04-28 发表
  • 0关注
  • 1收藏 1259浏览
粉丝:2人 关注:13人

组网及说明

1.      防火墙IRF堆叠,访问外网时一共有两条链路,分别是电信和联通

2.      外网设备也使用IRF,与防火墙使用二层动态聚合口相连,使用vlan1200vlan1300为业务vlan

3.      防火墙使用冗余子接口对接,使用reth1.1200(电信)和reth1.1300(联通)

4.      防火墙配置有nat server+反向,保证内网服务器使用nat serverglobal地址访问,且server 1使用电信出去,server 2使用联通出去


问题描述

Server 1Server 2 ping www.baidu.com 没有问题,ping106.15.251.68不通

过程分析

1.      查看防火墙上的nat配置,客户分别在reth1.1200reth1.1300配置了两台服务器的nat server,没有问题

interface Reth1.1200

ip address 116.x.x.194 255.255.255.192

nat server protocol icmp global 116.x.x.197 inside 10.x.x.151 rule 1 icmp counting

#

interface Reth1.1300

ip address 220.x.x.130 255.255.255.224

nat server protocol icmp global 220.x.x.133 inside 10.x.x.152 rule 1 icmp counting

 

2.      经确认外网交换机的接口为二层聚合口,不是三层聚合口,故不会存在回包跨框转发的情况

3.      查看防火墙会话信息,发现两个问题:

l  防火墙有发出去的包,但没有回来的包

l  接口配置了nat,但没有转换成公网地址

display session table ipv4 source-ip 10.x.x.151 destination-ip 106.15.251.68 verbose

Initiator:

  Source      IP/port: 10.x.x.151/9714

  Destination IP/port: 106.15.251.68/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth2.1021

  Source security zone: APP

Responder:

  Source      IP/port: 106.15.251.68/9714

  Destination IP/port: 10.x.x.151/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth1.1300

  Source security zone: Internet

State: ICMP_REQUEST

Application: ICMP

Rule ID: 11

Rule name:xx

Start time: 2022-04-25 10:10:56  TTL: 59s

Initiator->Responder:          114 packets       9576 bytes

Responder->Initiator:            0 packets          0 bytes

 

4.      分析为什么接口有配置nat,但服务器不转换成公网地址;使用debugging查看

 

acl ad 3000

rule 0 permit ip source ip 10.x.x.151 0 destination 106.15.251.68 0

rule 5 permit ip source ip 106.15.251.68 0 destination 10.x.x.151 0

 

IP packet debugging switch is on ( ACL:3000 )

IP info debugging switch is on ( ACL:3000 )

NAT packet debugging switch is on(acl:3000)

 

开启之后,只有debugging ip packet 的回显,其他两个没有,也证实了的确是没有进行nat转换

Receiving, interface = Reth2.1021

version = 4, headlen = 20, tos = 16

pktlen = 401, pktid = 24650, offset = 0, ttl = 63, protocol = 17

checksum = 17497, s = 10.x.x.151, d = 106.15.251.68

channelID = 0, vpn-InstanceIn = 0, vpn-InstanceOut = 0.

prompt: Receiving IP packet from interface Reth2.1021.

Payload: UDP

  source port = 7368, destination port = 5080

  checksum = 0x9b26, length = 381.

 

Sending, interface = Reth1.1300

version = 4, headlen = 20, tos = 16

pktlen = 401, pktid = 24650, offset = 0, ttl = 62, protocol = 17

checksum = 17753, s = 10.x.x.151, d = 106.15.251.68

channelID = 0, vpn-InstanceIn = 0, vpn-InstanceOut = 0.

prompt: Sending IP packet received from interface Reth2.1021 at interface Reth1.1300.

Payload: UDP

  source port = 7368, destination port = 5080

  checksum = 0x9b26, length = 381.

 

包是从reth2.1021接口接收的,这个没有问题。但这个包使用reth1.1300(联通)发出的,这个是有问题的,因为最初的需求就是. 151走电信,现在却发给了联通这条线,没有从预期接口发送,下一步就排查路由配置

  ===============display ip routing-table===============

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/0          Static  60  0           116.x.x .193      Reth1.1200

                                                      220.x.x.129      Reth1.1300

可以看到这个是等价路由,这也就找到了问题的根本原因:

因为配置的等价路由,导致流量会随机分配给两个外网出口,分为两种情况:

当分配给reth1.1200后,会进行nat转换,可以成功访问外网

当分配给reth1.1300后,则直接进行转发,但源地址还是私网地址,会被对方服务器丢弃

解决方法

使用acl匹配源地址,然后使用策略路由的方式指定出接口

acl ad 3999

rule 0 permit ip source ip 10.x.x.151 0

acl ad 3888

rule 0 permit ip source ip 10.x.x.152 0

 

policy-based-route aaa permit node 10

 if-match acl 3999

 apply next-hop 116.x.x.193(电信下一条地址)

#             

policy-based-route aaa permit node 20

 if-match acl 3888

 apply next-hop 220.x.x.129(联通下一条地址)

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2022-07-11对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作