防火墙目的NAT失效问题案例

问题现象

互联网使用多运营商出口，三个出口均能正常上网，防火墙采用主备部署，目的NAT其中两个运营商链路目的NAT异常。

设备型号：华为USG6625F

设备版本：V600R022C00SPC100

故障分析

防火墙采用逐步被部署，运营商多出口采取智能选路模式；

1、智能选路问题

将其中两个链路进行关闭，仅保留单出口，此时正常访问互联网，但公网无法ping通防火墙上的公网地址，此时排除智能选路配置问题

2、安全策略或接口配置问题

将安全策略全部放开，允许接口ping，此时故障现象依然存在

3、运营商问题

将电脑连接在运营商光猫上面，电脑配置运营商提供的公网地址，此时访问互联网正常、公网ping正常，运营商问题排除

以上三个故障可能均被排除，此时针对某条运营商出口做流量统计，发现报文被丢弃，查阅产品文档得知-当设备工作在透明模式或者多出口场景下，或应用了策略路由时，不能配置IP欺骗攻击防范功能。

将IP欺骗攻击防范功能关闭后业务恢复。

根因

当设备工作在透明模式或者多出口场景下，或应用了策略路由时，不能配置IP欺骗攻击防范功能。