目录
问题
过程
测试过程
解决过程
总结
问题
如图所示,某小型公司利用华三防火墙作为互联网出口组建了一个小型局域网。核心交换机与防火墙之间使用三层互联。其中防火墙外网存在两个运营商的PPPOE互联网宽带。在防火墙上做好相关安全策略和NAT后,各项业务一切正常。
故障现象: 两个运营商的线路在防火墙上做的浮动路由,没有使用负载均衡做法而是采用主备冗余的做法。某日运营商1发生故障,防火墙浮动路由生效,将线路切换至运营商2。内网三种类型用户,分别别PC端,手机端、和IP语音类客户中IP语音类客户报故障,反馈是IP语音设备无法使用。但其他业务均不受影响。初步怀疑是运营商2的宽带对某些特殊的语音服务进行了阻断。
过程 测试过程
1、将运营商2线路绕过防火墙,直接使用其他设备PPPOE拨号后接入IP语音设备,IP语音设备工作正常。这说明运营商2的宽带不存在对语音服务的行为阻断。
2、在防火墙上正常使用运营商1时,切换为运营商2线路,同时将IP语音设备更换一个网段,换到其他的业务网段进行测试,IP语音设备工作任然异常。这说明不是内网网段问题,针对的可能是语音服务的策略存在故障。
3、在防火墙上正常使用运营商1时,切换为运营商2线路,将内网与外网的安全策略放开,IP语音设备工作任然异常。这说明不是安全策略的问题,针对的可能是语音服务的会话存在故障。
3、在防火墙上正常使用运营商1时,切换为运营商2线路,将防火墙内IP语音设备的会话表人为的删除。IP语音设备工作恢复正常。这说明确实是防火墙会话表的问题。
解决过程
1、咨询厂家,为何在运营商线路切换后。会话表没有及时老化。给出解决方案是,开启会话同步试试。
session synchronization enablesession dual-active enable
故障现象依旧存在,没有解决问题。
2、厂家将问题上升到研发后回复。建议,将两个不同的运营商配置到不同的安全域,然后在安全策略和NAT策略时分别写好即可。经过短暂测试,在将运营商分别配置在两个不同的安全域后,实现运营商切换时,IP语音设备的业务不会存在异常或者终端现象。
总结
1、针对一些品牌的防火墙在生产环境实施是应当多向原厂反馈实际遇到的故障。本次故障时由于会话表部能及时老化导致。根本原因是IP语音设备的会话识别为UDP的其他(如下图所示),
且不能在防火墙上设置该会话的老化时间(如下图所示)。
2、利用华三防火墙做双运营商时,强烈建议将两个或者多个运营商测的接口配置在不同的安全区域,然后按规范增减NAT策略和安全策略。不能使用默认的两个安全区和非安全区NAT和安全策略。以防止发生切换了运营商链路后。由于会话表不老化,导致业务中断!
作者:余钦
黄帝开元4719年(公元2022年)
壬寅年壬寅月壬寅日