问题描述 某运营商家庭宽带用户分配私网地址,通过省网出口防火墙NAT转换方式访问互联网,家庭宽带用户反映访问网银业务异常,提示访问原地址变化拒绝 组网: 见附件 处理过程 1、根据反映问题,在出口NAT防火墙根据用户原私网地址进行会话查看,发现2台防火墙根据原私网地址建立了会话; 原、目的ip地址、目的端口相同,但原端口不同 http VPN: public --> public 私网源IP1:50536[公网源IP1:20043] --> 公网目的IP2:80
http VPN: public --> public Remote 私网源IP1:50573[公网源IP1:55708] -->公网目的IP2:80 2、根据以上确认,能够确认,私网用户上行流量经过了2台防火墙; 3、因为家客用户通过ME60接入,me60通过双上行组网,形成等值路由; 4、出口防火墙双机热备负载分担组网,因心跳不是直连场景,2台防火墙 通过传输会产生同步会话延时,可能发生一平面防火墙故障,业务切换到另一 防火墙,由于备份会话延时,导致可能业务匹配不到会话业务中断风险。 ,所以采用不同的NAT地址池; 5、从以上分析报文经过2台防火墙,导致分配不同的公网地址。 根因 ME60 双上行组网形成等值路由,基于五元组进行hash 计算,原、目的地址,不变的情况下,原端口变化的情况下,会导致流走不同的平面。 由于出口防火墙主备配置的NAT地址池网段不同,所以从2个防火墙过来的流量会出现转换成不同的公网地址情况。 出口防火墙配置不同的NAT网段原因是2个防火墙之间互联心跳不具备直连情况,通过传输会产生同步会话延时,可能发生一平面防火墙故障,业务切换到另一 防火墙,由于备份会话延时,导致可能业务匹配不到会话业务中断风险。 触发条件: 1、 现网存在等值路由情况; 2、 等值路由设备负载分担的hash方式为端口参与计算; 同时满足以上2个条件才会出现。 解决方案 1、 等值路由设备根据版本及硬件的不同,基于流负载分担的hash计算因子不同,新建的ME60设备是基于五元组进行计算。 2、 目前通过ME60 更改hash算法解决(默认策略是端口参与计算,更改后是端口不参与计算,只根据原、目的ip计算) 3、 配置方法 slot 1 load-balance hash-fields ip L3
| 
楼主: snowpy1
来自安卓客户端
IP卡
狗仔卡
发表于 2019-7-1 13:38
显身卡
楼主
