某局点使用USG6625E设备作为出口对接运营商网络,项目前期使用1台设备配置出口,后续新增设备配置主备双加热备模式,但HRP配置完成后,双机状态无法正常使用,检查配置一致性,提示“Fail to Send”,检查HRP配置,提示“Error: The HRP link is Down.”
告警信息
无
处理过程
1、检查新入网防火墙与现网防火墙版本和补丁是否一致?
通过检查,确认两个防火墙的版本和补丁均为:USG6600E V600R007C00SPC200+V600R007SPH003,版本补丁一致,不存在差异,排除该原因。
2、检查新入网防火墙与现网防火墙心跳借口是否配置正确。
由于使用命令:disp hrp configuration check hrp,出现错误提示:“ Error: The HRP link is Down.”,故开始检查两个防火墙的心跳接口是否配置正确,通过确认,新入网防火墙和现网防火墙使用eth-trunk绑定2个GE口实现心跳,对比eth-trunk接口配置以及通断测试,确认配置一致,且物理接口对应正确。
3、此时现网防火墙状态已经变化为HRP_M
HRP_M
2020-10-19 20:17:39.250
Role: active, peer: standby
Running priority: 45000, peer: 44998
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 24 minutes
Last state change information: 2020-10-19 19:53:09 HRP link changes to down due to send data failed.
4、在现网防火墙ping备用防火墙的接口地址,地址均可以ping通,链路的连通性测试正常。
5、通过以上分析,HRP的配置以及物理连接均正常,故在全局进行配置检查。
6、在现网防火墙查看互联接口地址的会话,发现存在会话,表明业务转发正常:
HRP_M
2020-10-19 20:36:40.420
Current Total Sessions : 1
udp VPN: public --> public 100.100.xxx.1:49152 --> 100.100.xxx.2:18514
HRP_M
2020-10-19 20:36:43.510
Current Total Sessions : 2
udp VPN: public --> public 100.100.xxx.2:2056 --> 100.100.xxx.1:18514
udp VPN: public --> public 100.100.xxx.2:16384 --> 100.100.xxx.1:18514
7、在备用防火墙上查看接口地址会话,发现对应地址存在nat转换,正常情况下不应该存在nat转换情况。
HRP_S[FW02]disp firewall session table source inside 100.100.xxx.2
2020-10-19 20:36:00.570
Current Total Sessions : 1
udp VPN: public --> public 100.100.xxx.2:49152[100.100.xxx.2:2056] --> 100.100.xxx.1:18514
HRP_S[FW02]
8、检查备防火墙上的NAT配置,发现NAT的生效配置比较直接简单,配置如下:
rule name 2
action source-nat easy-ip
#
与客户沟通后了解,该项目在做nat配置时,为了省事,源区域、目的区域等均配置的any,从而实现nat转化,但在数据处理过程中,属于DMZ区域的检测口在业务转发过程中,也匹配上改NAT策略,导致在会话中存在地址nat后的情况。
9、将备防火墙的nat策略的源区域按照实际规划进行修改,指定trust区域后,测试数据同步,测试通过,策略修改配置如下:
nat-policy
rule name 2
source-zone trust
action source-nat easy-ip
10、在主备墙上查询会话,不在显示nat处理情况。在主用墙上进行配置保存后,可完成备用墙的配置同步保存,至此问题处理完成。
HRP_M
The current configuration will be written to hda1:/vrpcfg.zip.
Are you sure to continue?[Y/N]y
Now saving the current configuration to the slot 0..
Save the configuration successfully.
Do you want to synchronously save the peer device configuration to the startup configuration file?[Y/N]:y
Now synchronically saving the configuration to the startup saved-configuration file on peer device.....success.
HRP_M
根因
1、开局防火墙配置NAT时,没有按照规划指定源区域,导致心跳端口进行数据互通时也匹配nat进行处理,导致数据异常。
解决方案
1、将nat配置进行优化,按照规划指定源、目区域。
建议与总结
1、在防火墙开局中,按照规范配置nat,根据项目规划配置对应区域和接口。