请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 152|回复: 0

【ADX产品】上游设备路由问题排查案例

[复制链接]

31

主题

39

帖子

1625

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1625
发表于 2019-9-24 14:12:54 | 显示全部楼层 |阅读模式
1.基本拓扑如下:


2.问题现象:
PC访问公网114.114.114.114不通,请协助排查;
ADX涉及功能:四七层服务器负载、安全域、路由、源NAT(nat地址池)
3.问题分析
客户反馈ping测试公网114.114.114.114不通,在ADX上packet-monitor抓包结果如下:

<BJQY-L7-LLB-A>packet-monitor ip host 114.114.114.114
[15:05:42]You can interrupt it by Ctrl+C or wait it interrupted automatically until received 128 data packets.
[15:06:06]The device is monitoring for another terminal.
[15:06:31]<BJQY-L7-LLB-A>packet-monitor ip host 114.114.114.114
[15:06:31]You can interrupt it by Ctrl+C or wait it interrupted automatically until received 128 data packets.
[15:06:36]Total recieve 29 packets.
[15:06:36] packet.1:
[15:06:36] Receive IPv4 ICMP request 10.22.137.9:41984->114.114.114.114:2048,Id:2776 Len:64 MF:0 Offset:0 interface:tengige1_1
[15:06:36]vsystemublicSystem security-zone:Trust src-mac:00:00:5e:00:01:02 dst-mac:00:00:5e:00:01:66 vlan-tag:10 2019-08-08 15:12:36
[15:06:36]Session(FF)         : Pass, found the session, session_id=2156848390.
[15:06:36]SNAT translate(FF)  : Successful, new ip:210.12.194.133, new id:41984.
[15:06:36]Output                : Successful, interface:tengige1_5, src-mac:00:24:ac:17:a8:a1, dst-mac:a0:8c:f8:5d:0b:1e, vlan-id:4094.
[15:06:36]
根据抓包结果进一步分析:
1.报文从下游核心交换到ADX,vlan标签为10;
2.ADX此时已存在会话,src-ip:10.22.137.9,dst-ip:114.114.114.114,根据icmp请求包匹配并查找到会话;
3.根据表项查找到nat策略,执行源地址转换动作,将src-ip:10.22.137.9转换为210.12.194.133;
4.源NAT转换后通过tengige1_5发出,打上vlan tag为4094的标签;
5.同时在设备查询会话信息,发现此业务访问的报文,只有请求,没有响应。
6.根据抓包信息初步判断:上游设备没有将公网的回复报文转发给ADX。
4.解决方案
临时解决方案:
1.将源nat策略中使用地址池调整为借用出接口地址,同时将流控bypass,随后恢复正常,抓包信息如下
packet.2:
[15:18:15]    Receive IPv4 ICMP reply 114.114.114.114:33792->210.12.194.251:0,Id:36188 Len:64 MF:0 Offset:0 interface:tengige1_4
[15:18:15]vsystemublicSystem security-zone:Trust src-mac:a0:8c:f8:5d:0b:1e dst-mac:00:24:ac:17:a8:a1 2019-08-08 15:24:15
[15:18:15]      Session             : Pass, found the session, session_id=2152350759.
[15:18:15]      DNAT translate      : Successful, new ip:10.22.137.9, new id:33792.
[15:18:15]      Session Forward     : Match, out interface:vlan-if10.
[15:18:15]    Output                : Successful, interface:tengige1_1, src-mac:00:24:ac:17:a8:a1, dst-mac:00:00:5e:00:01:02, vlan-id:10.
[15:18:15]
设备收到公网的回复报文,会匹配之前的会话,执行会话还原动作,将公网IP210.12.194.251还原为10.22.137.9。

最终解决方案:
配合客户排查,最终发现上游路由器没有配置去往源nat地址池的路由,添加后即可。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2019-10-20 20:32 , Processed in 0.164640 second(s), 23 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表