Error al acceder al servidor debido a un enlace de dirección MAC incorrecto en el USG2200
Descripción del problema
Como se muestra en la figura siguiente, el firewall USG2200 se conecta a dos redes de proveedores de servicios de Internet (operador) a través de dos enlaces. Los usuarios de la intranet pueden acceder al servidor con la dirección IP 40.x.x.69 a través de carrier1. Los usuarios de la intranet también pueden acceder a la red a través de carrier2, pero no pueden acceder al servidor con la dirección IP 40.x.x.69.
Información de alarma
Ninguno
Proceso de manejo del problema
1. Se verifico la configuración de la política entre zonas para las dos redes de operador en el USG2200. No se encontro ninguna política de filtrado para el segmento de red 40.x.x.x.
2. Se verifico la configuración de la ruta en el USG2200. Existen dos rutas predeterminadas respectivamente a las interfaces CARRIER1 y CARRIER2. Cuando alguno de los enlaces deja de funcionar, los paquetes se reenvían a través del otro enlace. Por tanto, las rutas son correctas.
#
ip route-static 0.0.0.0 0.0.0.0 39.x.x.49
ip route-static 0.0.0.0 0.0.0.0 41.x.x.65
3. Se cierra el enlace entre el USG2200 y CARRIER1 y se rastrea la ruta desde el USG2200 al servidor. La siguiente figura muestra el resultado. Según los registros de tracert, los paquetes han llegado a CARRIER1. La ruta entre las redes CARRIER es accesible.
4. Según los pasos 1 a 3, la comunicación a la red pública funciona correctamente. Se verifican otras configuraciones en el USG2200. Al finalizar la revisión se encuentra la siguiente configuración incorrecta:
firewall mac-binding 41.x.x.69 0006-xxxx-fc97
La dirección IP 41.x.x.69 está vinculada a una dirección MAC en el firewall (USG2200). La configuración es incorrecta independientemente de si la dirección MAC es la dirección MAC del siguiente salto de carrier1 o la dirección MAC del servidor. Si los paquetes de respuesta se devuelven desde la interfaz carrier2, la dirección MAC de origen de los paquetes es la dirección MAC de la interfaz carrier2. Una vez que la dirección IP y la dirección MAC están vinculadas al firewall, la dirección MAC de origen es diferente de la dirección MAC estática vinculada a 41.x.x.69 en el firewall. Por tanto, el firewall descarta los paquetes.
5. Hable con el cliente y verifique si la dirección MAC del enlace es una configuración de una red anterior o porque se tiene esa configuración. Sin embargo, la configuración se conserva cuando la estructura de la red cambia mucho. Para rectificar la falla, elimine la configuración de vinculación de la dirección MAC.
Causa principal
1. La configuración de la política entre zonas es incorrecta en el USG2200.
2. Las rutas entre el USG2200 y el servidor están configuradas incorrectamente.
3. La ruta entre dos redes de operadores está configurada incorrectamente.
4. Otras configuraciones del USG2200 son incorrectas.
Sugerencias
1. En una red con salidas dobles, preste atención a la configuración de enlace de direcciones MAC en los dispositivos de intranet.
2. Cuando cambie la red, compruebe si también es necesario cambiar las configuraciones y elimine las configuraciones innecesarias.
Saludos.
FIN.
También te puede interesar:
Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Escenario de aplicación típica del firewall como cliente DNS
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente