[Série de dépannage] Cas 28 Échec de l'envoi de la commande Ping avec la même adresse IP entre deux DCI différents

19 0 0 0

Topologie de réseau physique

114252tv1lwt3svekdw5ct.png

 

Description du défaut

Une fois le serveur NAT configuré sur le pare-feu FW2, PC1 ne peut pas envoyer une requête ping à l'adresse de réseau privé de PC3 en envoyant une requête ping à l'adresse de réseau public du serveur nat.

Fichiers de configuration

l    FW1


acl number 3000 
 rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255 

ipsec proposal p1 
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256 

ike proposal 1 
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha2-256 
 authentication-method pre-share 
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 

ike peer b 
 undo version 2 
 pre-shared-key %^%#Z$pF2wqe9V.VP5V>P,qLJ:R^)="-W28~N9!LWE!3%^%# 
 ike-proposal 1 
 remote-address 192.168.101.1 
#                                          
ipsec policy map1 10 isakmp 
 security acl 3000 
 ike-peer b 
 proposal p1 
 sa trigger-mode auto 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 5.5.5.0 255.255.255.0 2.2.2.2 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 
 rule name local_to_untrust 
  source-zone local 
  destination-zone untrust 
  destination-address 10.1.2.0 0.0.0.255 
  action deny 

nat-policy 
 rule name no_nat 
  egress-interface GigabitEthernet1/0/0 
  source-address 10.1.1.0 mask 255.255.255.0 
  action no-nat 
 rule name nat_policy 
  destination-zone untrust 
  source-address 10.1.1.0 mask 255.255.255.0 
  destination-address 10.1.2.0 mask 255.255.255.0 
  action nat easy-ip 

l    FW2

 nat server dc1_dc2 0 global 5.5.5.1 inside 1.1.1.1 no-reverse 
#
security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit                            
 rule name test 
  source-zone trust 
  destination-address 1.1.1.0 mask 255.255.255.0 

nat-policy 
 rule name nat_pol 
  destination-zone trust 
  source-address 1.1.0.0 mask 255.255.0.0 
  destination-address 1.1.0.0 mask 255.255.0.0 
  action nat easy-ip 

l    FW3


acl number 3000 
 rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255 

ipsec proposal p1                          
 esp authentication-algorithm sha2-256 
 esp encryption-algorithm aes-256 

ike proposal 1 
 encryption-algorithm aes-256 
 dh group2 
 authentication-algorithm sha2-256 
 authentication-method pre-share 
 integrity-algorithm hmac-sha2-256 
 prf hmac-sha2-256 

ike peer b 
 undo version 2 
 pre-shared-key %^%#OZ2Q@cbWlRZ8XTJKqc8,q^dT6kP^82qBDz)Cbx_H%^%# 
 ike-proposal 1 
 remote-address 192.168.8.1 

ipsec policy map1 10 isakmp 
 security acl 3000 
 ike-peer b 
 proposal p1 
 sa trigger-mode auto 
#                                          
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 
ip route-static 10.1.1.0 255.255.255.0 192.168.101.254 
ip route-static 192.168.8.0 255.255.255.0 192.168.101.254 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust                   
  action permit 

                               Étape 1       Vérifiez les détails de la table de session sur le FW2.

[R5U22-USG6600] display firewall session table verbose protocol icmp 
2018-01-03 20:22.900 
Current Total Sessions : 1 
  icmp  VPN: public --> public  ID: a58f5fad3a168fc8765a69bc3 
  Zone: local --> trust  TTL: 00:00:20  Left: 00:00:19 
  Recv Interface: GigabitEthernet1/0/0  
  Interface: GigabitEthernet0/0/0  NextHop: 10.220.6.1   MAC:04f9-38a9-c53b 
  <--packets: 0 bytes: 0 ==> packets: 84 bytes: 7,056 
  1.1.1.1:44012[10.220.7.68:2048] --> 5.5.5.1:2048[1.1.1.1:2048] PolicyName: ---

Dans la table de session, nous pouvons obtenir les informations ci-dessous:

l    L’interface indound est GigabitEthernet 1/0/0 et l’interface totale est GigabitEthernet 0/0/0.

l    La traduction du serveur nat est correcte, mais la conversion de la source est fausse.

                               Étape 2       Vérifiez les informations sur la base d'informations de transfert (FIB).

[R5U22-USG6600] display fib 1.1.1.1 
Route Entry Count: 1 
Destination/Mask   Nexthop         Flag  TimeStamp     Interface      TunnelID 
0.0.0.0/0          10.220.6.1      GSU   t[406]        GE0/0/0        0x0

Vérifiez la table fib et l'interface de sortie est GE0 / 0/0, mais dans la topologie, l'interface de sortie doit être GE1 / 0/7.

Solution: Ajoutez la route statique et configurez le GE1 / 0/7 comme interface de sortie.

[R5U22-USG6600] ip route-static 1.1.1.1 32 GigabitEthernet 1/0/7

Après avoir ajouté la route statique, vérifiez la table de session et vérifiez que l'interface d'entrée et l'interface de sortie sont toutes correctes. Et le pare-feu envoie déjà les paquets inversés.

                               Étape 3       Effectuez le test de ping sur FW1.

[R5U9-USG6600] ping -a 1.1.1.1 -c 1000 5.5.5.1 
   PING 5.5.5.1 : 56  data bytes, press CTRL_C to break 
   Request time out 
   Request time out 
   Request time out 
   Request time out 
   Request time out 
   --- 5.5.5.1  ping statistics --- 
   5 packet(s) transmitted 
   0 packet(s) received 
   100.00% packet loss

Le test de ping échoue toujours.

                               Étape 4       Vérifiez la table fib sur FW2 et l'interface sortante vers 1.1.1.1 est GE1 / 0/7. Dans la topologie, l'interface sortante inverse est 1/0/0.

[R5U22-USG6600] display fib 1.1.1.1 
Route Entry Count: 1 
Destination/Mask   Nexthop         Flag  TimeStamp     Interface      TunnelID 
1.1.1.1/32         3.3.3.1         GHSU   t[277467]    GE1/0/7        0x0

Pour ce problème, nous pouvons utiliser la fonction redirect-reverse pour permettre le transfert des paquets et des paquets de réponse sur la même interface.

Solution: ajoutez la fonction de redirection inverse et le test du ping est correct.


 interface GigabitEthernet1/0/0 
  undo shutdown 
  ip address 2.2.2.2 255.255.255.255.0 
  service-manage ping permit 
  redirect-reverse next-hop 2.2.2.1

                               Étape 5       Effectuez le test de ping de PC3 à PC1. Sur le FW3, nous pouvons voir que le tableau de session de ping est correct. Mais PC1 ne reçoit pas de paquets ping de PC3.

Vérifiez la table de session sur le FW2 et vérifiez que l'interface sortante est 1/0/7.

[R5U22-USG6600] display firewall session table verbose protocol icmp 
Current Total Sessions : 1 
  icmp  VPN: public --> public  ID: a58f5fad3a168fc8765a69bc3 
  Zone: local --> trust  TTL: 00:00:20  Left: 00:00:19 
  Recv Interface: GigabitEthernet1/0/7  
  Interface: GigabitEthernet1/0/7  NextHop: 3.3.3.1   MAC:04f9-38a9-c53b 
  <--packets: 0 bytes: 0 ==> packets: 84 bytes: 7,056 
  1.1.1.1:43990[3.3.3.2:2055] --> 5.5.5.1:2048[1.1.1.1:2048] PolicyName: ---

Vérifiez la route statique que nous avons ajoutée et découvrez que l'interface sortante pour 1.1.1.1 est GE1 / 0/7.

Pour ce scénario, nous pouvons utiliser PBR pour indiquer l'interface sortante pour chaque flux.

Solution: ajoutez le PBR et modifiez la stratégie NAT source.

Remarque : lorsque nous ajoutons le PBR, nous devons indiquer l'adresse IP source, l'adresse de destination, la zone source, la zone de destination, l'interface de sortie ou le saut suivant. La source et la destination sont la même adresse IP et la zone source est la même zone.


  policy-based-route 
   rule name dc1_to_dc2 
    source-zone trust 
    destination-address 1.1.0.0 mask 255.255.0.0 
    action pbr next-hop 3.3.3.1 
   rule name dc2-to_dc1 
    source-zone trust  
    source-zone dmz 
    destination-address 1.1.1.0 mask 255.255.0.0 
    action pbr next-hop 2.2.2.1 
#

Cause première

DC1 et DC2 sont le même réseau, nous devons utiliser la fonction qui consiste à transférer les paquets et les paquets de réponse sur la même interface, ainsi qu’une autre fonction de PBR. Ces deux fonctions peuvent corriger l'interface de sortie du paquet et l'interface de sortie du paquet inverse.


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier