故障描述:
总部与分支机构IPSec因为各种原因出现中断并恢复后语音电话未能恢复,需要重启防火墙后解决
问题分析
未重启前通过抓包发现IPSec恢复后,语音流量仍被防火墙通过SNAT走公网出去,并未匹配IPSec隧道
分析后得知IPSec因为某些不可控因素断线时,正常电话UDP数据包可能会被SNAT到公网形成会话(即失败状态),此时即使IPSec恢复,失败的通信会话也会一直存在,而后的电话通信通过防火墙则不会进行路由选择,直接走原有(失败的,转到公网的)会话,导致电话一直不通,重启防火墙后又恢复正常,遇到这种情况可以添加 “黑洞路由”,让IPSec临时中断时也把路由导向同时中断(避免IPSec电话走公网路线)
处理方式
WebUI直接添加黑洞路由
CLI方式添加
config router static
edit 1
set gateway x.x.98.249
set device "wan"
next
edit 2
set dst x.x.1.0 255.255.255.0
set device "dg-to-sz"
next
edit 3
set dst x.x.2.0 255.255.255.0
set device "dg-to-sz"
next
edit 4
set dst x.x.1.0 255.255.255.0
set distance 254
set comment "IPSec1黑洞路由_for_phone"
set blackhole enable
next
edit 5
set dst x.x.2.0 255.255.255.0
set distance 254
set comment "IPSec2黑洞路由_for_phone"
set blackhole enable