华为防火墙USG多出口网络场景是如何排除故障的
故障案例
USG2230多出口网络场景配置非等价默认路由时,NAT SERVER映射不通的故障排查
问题描述
USG2230配置等价路由时从外网访问内网服务器映射出去的公网地址是通的,但将映射出去的公网IP地址所在网段的默认路由的优先级调低(优先级数值配置大于默认的60)时,从外网再访问却不通。
处理过程
1. 根据问题的描述可以判定导致该问题的原因应该是没有配置源进源出功能所致,在各个出接口下配置源进源出功能:
#
interface GigabitEthernet0/0/0
ip address A.A.6.98 255.255.255.248
reverse-route nexthop A.A.6.97
#
interface GigabitEthernet5/0/0
ip address B.B.72.234 255.255.255.248
reverse-route nexthop B.B.72.233
#
2. 在配置好源进源出功能后,访问还是不通,且在查看会话表时发现并没有创建会话
[BJ_Bmsoft_USG-diagnose]display firewall session table verbose-hide both-direction destination global A.A.6.99
14:12:33 2016/04/05
Current Total Sessions : 0
而在配置为等价路由时是有正常创建会话的,查看会话显示如下:
3. 经初步分析后感觉疑似源进源出功能未生效。对设备的配置信息仔细进行分析后,发现在防火墙上开启了IP Spoofing攻击防范功能(firewall defend ip-spoofing enable)。开启此功能后, 设备对报文的源IP地址进行FIB表反查,如果反查该IP地址的出接口与报文的入接口不相同,则视为IP欺骗攻击,给予处理。把该功能关掉后测试访问正常。
操作步骤
1. 开启源进源出功能;
2. 关闭IP Spoofing攻击防范功能。
建议与总结
IP Spoofing攻击防范机制可能会存在误报的可能。当USG工作在透明模式或者多出口场景下,或应用了策略路由、非等价默认路由时,不能配置IP欺骗攻击防范功能。
华为防火墙USG多出口网络场景是如何排除故障的相关推荐
- DHCP:(5)华为防火墙USG上部署DHCP服务以及DHCP中继
说明 之前已经介绍过华为交换机的DHCP的应用场景以及配置,这次介绍的是华为防火墙USG的应用场景及配置,一般在防火墙上面部署DHCP的话属于一种小型办公网络,或者soho级别的,防火墙后面接傻瓜式交 ...
- 【华为云技术分享】网络场景AI模型训练效率实践
问题 在网络场景下的AI模型训练的过程中,KPI异常检测项目需要对设备内多模块.多类型数据,并根据波形以及异常表现进行分析,这样的数据量往往较大,对内存和性能要求较高. 同时,在设计优化算法时,需要快 ...
- 华为防火墙企业双出口专线,配置策略路由实现多个ISP出接口的智能选路和双向NAT
一.组网需求 1:企业有二条专线接入,当其中一条出现故障时,自动切换至另外一条,保障网络访问正常. (a)要求PC1从dx专线(1.1.1.2/24)访问外网PC,PC2从yd专线(2.2.2.2/2 ...
- PPPOE拨号之七:华为防火墙 USG PPPoE拨号配置【针对Client+NAT工作常用方式与服务器】
掌握目标 1.在华为USG上PPPOE服务器的配置 2.在华为USG上PPPOE 客户端的配置(工作上常用) 3.配置NAT(上网使用) 4.默认路由+策略配置 拓扑 1.在华为USG上PPPOE服务 ...
- 华为防火墙USG那些事
华为产线 安全区域 默认防火墙区域 Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络. DMZ区域,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络. Untr ...
- 华为防火墙USG基本配置
拓扑图: 交换机配置(LAV1): vlan batch 10 20 100 //建立VLAN interface GigabitEthernet0/0/1 //配置端口为ACCESS与所属VLAN ...
- 华为防火墙笔记-出口选路
文章整理自<华为防火墙技术漫谈> 出口选路总述 就近选路 就近选路是由缺省路由与明细路由配合完成的选路方式,这种方式比较简单,也是最常用的.通过缺省路由可以保证企业用户数据流量都能够匹配到 ...
- 华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置
转载来源 :华为网络工程师 | ensp中的华为防火墙设备如何能实现web登录做配置 :https://mp.weixin.qq.com/s/vpnO8bCbLjLXbiCFsBrJjQ 防火墙技术 ...
- 华为防火墙USG6309E开局基础配置之网络设置
防火墙,实质上就是一台偏重于安全策略的交换机,或者说,更像是路由器,之所以如此说,是因为防火墙可以将IP设置等,直接设置在端口上,而不必创建一个vlanif. 配置防火墙,他的基础就是网络要畅通,其次 ...
最新文章
- Nature撤稿!三年前微软在量子计算上的巨大胜利终究是个错误
- 邬贺铨:5G资费便宜10倍 WiFi覆盖更为重要
- UIView 的布局与绘制显示相关方法调用时机
- iOS旋钮动画-CircleKnob
- koa2+vue实现登陆以及是否登陆控制
- 撒花!李宏毅机器学习 2021 版正式开放上线
- XPath语法规则及实例
- 前端学习(2227):react之状态二
- Java包装类、装箱和拆箱
- 我用Python帮学校写了一款图书管理系统!教导员居然请我吃饭
- 计算机创新发展战略,计算机行业:《智能汽车创新发展战略》征求意见稿点评...
- ubuntu下MySQL的安装及远程连接配置(转)
- P4145 上帝造题的七分钟2 / BZOJ3211花神游历各国
- Flink 异步IO
- Nuxt.js mini聊天室开发 (mini-chatroom)
- 转载: dropout为啥要rescale?
- python爬虫案例(2)
- C++ 开源库,很完整介绍【转】
- 流氓软件自动安装恶意插件导致浏览器闪退问题
- 阿里云官方出品:全面总结阿里云云原生架构方法论与实践经验