問題現象
使用兩臺F1000-S-AI(R3734P06版本)設備做雙機熱備。基本功能配置完畢後,現場打算使用虛擬防火牆功能。
在設備上配置了虛牆2,將G0/6接口關聯到虛牆裡,加入trust域,並綁定了vpn1實例。配置完畢後,從設備Ping G0/6口直連地址192.168.100.1,發現不通。
告警信息
無
原因分析
收集信息後,我們首先對虛擬防火牆的基本配置做了檢查,發現並無問題。
由於防火牆直連不通很可能是由域間策略導致的,於是,我們重點檢查了Local到Trust的域間策略,發現域間策略配置無問題。
<fyjyj-f1000-s-ai>dis interzone-policy vd 2 source local destination trust interzone-policy source local destination trust rule 0 permit source-ip any_address destination-ip any_address service any_service rule enable/<fyjyj-f1000-s-ai>
既然配置都無問題,那到底為何直連不通呢?此時,我們嘗試通過debug來查找原因。如下:
<fyjyj-f1000-s-ai>ping -vpn-instance vpn1 192.168.100.1 PING 192.168.100.1: 56 data bytes, press CTRL_C to break *Apr 18 22:17:20:266 2016 FYJYJ-F1000-S-AI FILTER/7/debug: Thread 0, the icmp packet is denied from Local to trust: (192.168.100.254)->(192.168.100.1), 84 bytes, ACL none. Request time out *Apr 18 22:17:22:480 2016 FYJYJ-F1000-S-AI FILTER/7/debug: Thread 0, the icmp packet is denied from Local to trust: (192.168.100.254)->(192.168.100.1), 84 bytes, ACL none. Request time out/<fyjyj-f1000-s-ai>
可以看到,debug顯示,報文就是被域間策略幹掉了。那麼,為何在配置正確的情況下,域間策略並未生效呢?
解決辦法
在設備上配置Inter-zone policy default by-priority命令,問題解決。
建議與總結
1、在V5防火牆的特定版本中,如果使用虛牆功能,虛牆裡不僅僅要配置明細的域間策略,還需要使用inter-zone policy default by-priority。
2、遇到防火牆不通問題,查看debug是個很好的方法,可以debug ip packet/debug aspf/debug packet-filter等,探究不通原因。
閱讀更多 網絡小學渣 的文章
