USG 5530 策略路由修改后所引起的故障排除

最新推荐文章于 2024-07-08 13:36:23 发布
最新推荐文章于 2024-07-08 13:36:23 发布
阅读量202 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维
原文链接:http://blog.51cto.com/353244/2339816
本文详细解析了华为USG5530防火墙在删除策略路由规则后引发的部分电脑无法上网故障。故障表现为电脑无法通过移动线路进行DNS解析,导致无法访问互联网,而电信线路则不受影响。通过对网络流量的跟踪和分析,确定了故障原因,并提供了重新配置策略路由以解决问题的方法。

华为USG 5530,在原策略路由中删除了一条规则,即引起以下奇怪故障:
一、一部分电脑不可以上英特网,但内网访问正常;修改IP地址后某些电脑又可以上英特网了
二、一部分电脑工作全部正常
三、以上故障在各个网段均存在,怀疑是网络中病毒爆发。

故障排查:
不能上网电脑ping网关正常,ping外网DNS服务器不通,然后tracert -d 外网DNS服务器,发现路由跳转到移动线路上了,然后就无法连通电信的DNS服务器了。

原因分析:
一、在USG 5530中删除一条规则后,原应用的端口即删除掉了,也就是策略路由没有应用端口了。
二、在5530出口中,有电信线路及移动线路,出口时随机选择,当IP包走移动线路进行DNS解析时,DNS解析就会失败,从而导致无法上网,而IP包走电信线路时,DNS解析成功,可以正常上网。

解决方法:
在策略路由上重新应用接口,全部电脑可正常上网。

转载于:https://blog.51cto.com/353244/2339816

华为USG防火墙配置---案例三(1)(单墙负载多出口,源NAT上网)--基于源地址策略路由
ZhouGuo520的博客
07-09 4014
案例三:用户多出口连接到电信DX和移动YD,防火作为出口互联设备。 电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5 电信提供的地址如下 ip:119.1.1.1-4/24,网关:119.1.1.5 防火墙配置 ip-link健康检查俩ISP连路,实现冗余切换。 局域网规划172.16.0.0/16,可以细化到单个C地址,交换机配置dhcp,vrrp和默认路由即可。 说明:防火墙与局域网互联配置vrrp 172.16.1.1-2 vip:172.16.1.3(交换机配置默..
【华为】用策略路由解决双出口运营商问题
Richardlygo的博客
09-24 1743
不同网段访问互联网资源时,走不同的出口,即PC1走电信出口,PC2走移动出口。客户在内网接口下应用策略路由后往往出现无法访问内网管理地址的现象,该举例给出解决办法。
OSPF通过路由策略过滤路由/策略路由选路实验
1mih的博客
08-01 7083
实验拓扑如图,需求如下: 需求: 1.分部可以访问市场部,不允许访问其他部门 总部不可以访问研发部,允许访问其他部门 分别尝试用Filter policy和router policy 去实现。 2.通过策略路由,使得总部PC6通过AR2-AR3-AR4访问财务部,总部PC5通过AR2-AR1-AR4访问财务部。 涉及到的内容:路由策略策略路由、OSPF、地址前缀列表、访问控制列表等 首先我们先配置好各个端口及主机的IP地址、OSPF邻居的建立以及直连路由的引入。 配置完成后查看R1&R2的路由表.
华为USG6000V 多ISP接入Internet(基于ISP目的地址的多出口)
热门推荐
友人A的博客
08-15 1万+
一、组网需求 1、如图所示,某企业在网络边界处部署了NGFW作为安全网关,并分别从运营商ISP1和ISP2处购买了宽带上网服务,实现内部网络接入Internet的需求。 具体需求如下: 研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet,要求去往特定目的地址的流量必须经由相应的运营商来转发。 当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免业务中断。 ...
华为 eNSP 路由器 实现双wan出口 访问外网nat 策略路由配置
tonyhi6的博客
07-08 2584
pc1 ping ISP1和ISP2。
华为EnSP模拟软件入门与故障排除教程
华为EnSP教程提供了一个全面的学习路径,无论你是初学者还是专业人员,都可以通过这个教程提升网络设备模拟和故障排除的能力。通过理论与实践的结合,用户可以更好地理解网络设备的工作原理,增强网络运维技能。
华为防火墙USG5500
weixin_34240657的博客
06-08 3753
华为防火墙USG5500重点:什么是防火墙;防火墙基础;防火墙功能配置一.什么是防火墙:1.什么是防火墙:防火墙主要用于保护一个网络免受来自另一个网络的***和***行为,因其隔离、防守属性,防火墙灵活应用于网络边界、子网隔离等位置,如企业网络出口、大型网络内部子网隔离、数据中心(IDC)边界。2.对比交换机路由器及防火墙:1)交换机:组建局域网、通过二层或三层交换快速转发报文;2)路由器:连接不...
掌握网络安全必备工具:支持ensp v1.3的USG6000V镜像
标题中提到的“ensp模拟器镜像”指的是基于eNSP(Enterprise Network Simulation Platform,企业级网络模拟平台)的模拟器镜像文件,这是一种网络工程师用于模拟和实践网络配置及故障排除的软件工具。eNSP模拟器能够...
华为USG6500E防火墙配置
最新发布
07-26
华为 USG6500E 防火墙是一款高性能安全网关设备,适用于企业级网络环境中的安全防护需求。配置此类设备需要遵循一系列步骤,包括基础设置、...如果遇到具体问题,应参考相关故障排除指南或联系华为技术支持获取帮助。
usg6305开启ipv6dhcp
04-26
最后,生成相关问题,帮助用户进一步排查或扩展配置,比如如何排除DHCP故障,如何与IPv4 DHCP共存,或者如何配置特定选项如DNS或域名。</think>### 华为USG6305防火墙IPv6 DHCP服务器/中继配置指南 以下是基于引用...
Packet Tracer 实验练习
10-28
学习网络基础离不开Packert Tracer,本资源是用来配套网络基础学习过程中深刻了解所学知识的练习性模拟实验的,很值得下载
CISCO路由故障排除攻略
07-08
本文介绍了cisco路由器的故障及解决方案,主要有:1.静态路由故障2.排除RIP故障3.排除EIGRP故障4.排除OSPF故障5.排除IS-IS故障 6.排除BGP故障7.排除再分布故障。
华为USG6330运维记录-端口回流、策略路由
weixin_34307464的博客
11-09 2473
1、起初虚拟化平台中使用USG6330上联ISP线路,只接入了一根线路;下联S5700三层交换机(三台做的堆叠)。在三层交换机上启了几个VLAN作为业务网端,并配置vlan地址,放置业务服务器(并未放置在DMZ);USG6330和S5700这间通过互通地址通讯,USG端10.10.12.253,S5700端10.10.12.254,所有vlan下跳地址指向10.10.12.2...
华为USG基于源地址的多出口策略路由配置
weixin_34273046的博客
03-06 3432
网络拓扑如下:组网情况:企业用户主要有技术部(VLAN10)和行政部(VLAN20),通过汇聚交换机连接到USG。企业分别通过两个不同运营商(ISP1和ISP2)连接到Internet,ISP1分配的IP地址是1.1.1.1~1.1.1.10,ISP2分配的IP地址是2.2.2.1~2.2.2.10,掩码均为24位。需要实现以下需求:当通往两个运营商链路都正常工作的情况下,技...
Packet Tracer(第三期)--6IPv4EIGRP(完)
朝游碧海的博客
04-09 3966
思科--6IPv4EIGRP在本练习中,您将实施基本 EIGRP 配置,包括网络命令、被动接口和禁用自动总结。然后您需要使用多种 show 命令并测试端到端连接来检验您的 EIGRP 配置。第 1 部分:配置 EIGRP第 2 部分:检验 EIGRP 路由R1配置R2配置R3配置 目标 第 1 部分:配置 EIGRP 第 2 部分:检验 EIGRP 路由 背景 在本练习中,您将实施基本 EIG...
防火墙旁挂拓扑,采用策略路由引流
qq_38847770的博客
09-26 9156
防火墙旁挂拓扑,采用策略路由引流 在上面的拓扑中为了来回路径相同,需要在AR1的G0/0/0和G0/0/2两个端口上采用策略重定向 策略路由配置如下: acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 acl number 3001 rule 5 permit ip destination 192.168.1.0 0.0.0....
react不同环境不同配置angular_华为防火墙配置基于不同网段的策略路由
weixin_39888807的博客
12-09 253
当不同网段用户需要通过不同的路由到达同一目的地址时,可以配置策略路由实现。组网需求如图1所示,在企业内网出口部署一台USG,其中和内部网络相连的接口位于Trust区域,和外部网络相连的两个接口位于Untrust区域。内网中两个不同网段(网段A和网段B)的用户通过不同的路由访问Internet。需求如下:内部A网段从ISP-A线路出去,并且配置ISP-B为备份链路。内部B网段从ISP-B线路出去,并...
tracert 显示网关到不了服务器,网关无法Ping通故障及解决方法
weixin_39625987的博客
08-05 1899
很多网络故障是常见问题,一般的三板斧方法就能解决问题,但有些故障容易让我们多走弯路,我们不妨拓宽故障排查范围,换换思路。在与网络亲密接触的过程中,我们或多或少地会遇到一些网络故障,对于许多网络故障来说,我们只要根据其具体现象就能快速找到故障原因;然而也有一些稀奇的网络故障,简单地依照故障现象往往很难找到故障原因,在排除这类故障时,我们很容易多走弯路。事实上,任何网络故障都会事出有因,在排除了各种可...
华为USG防火墙配置---案例一(单墙单出口,源NAT上网)
ZhouGuo520的博客
06-24 5514
案例1:用户单出口连接到电信DX,防火墙FW1,局域网内交换机SW; 电信提供的地址如下 ip:200.1.1.1-4/24,网关:200.1.1.5 局域网规划172.16.0.0/16,可以细化到单个C地址,见交换机SW配置。 防火墙FW1配置如下: 配置防火墙与电信接口互联ip描述等。 interface GigabitEthernet1/0/0 description To:DX undo shutdown ip address 200.1.1.1 255.255.255.0 配置防火..
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值