USG5500 多外网出口导致端口映射不成功

发布时间:  2012-07-17 浏览次数:  147 下载次数:  0
问题描述
外网—USG5500—内网
 
客户做了端口映射如下,
 
nat server 0 global 58.18.168.164 inside 222.31.224.197
 nat server 1 protocol tcp global 58.18.168.165 www inside 222.31.224.205 www
 nat server 2 zone untrust global 58.18.168.163 inside 222.31.236.62
 nat server 3 zone trust global 58.18.168.163 inside 222.31.236.62
 
ospf 1
 default-route-advertise always
 area 0.0.0.0
  network 1.1.1.1 0.0.0.0
  network 192.168.0.0 0.0.0.3
  network 192.168.20.0 0.0.0.3
 
在内部都是可以访问服务器的,但是在外网都不能访问,内部跑的OSPF路由,但是也已经导入缺省路由。在防火墙上ping服务器地址都是可以ping通,从外网访问时,防火墙上也是有会话,查看双向会话,有进来的数据包,没有出去的数据包。
 
[USG5500-hidecmd]dis firewall session table verbose_hide both-direction source global 218.17.155.9
20:35:20  2011/09/19
 Current Total Sessions : 1
  http  VPN:public --> public
  Zone: untrust--> trust  TTL: 00:00:05  Left: 00:00:05
  Interface: GigabitEthernet0/0/1  NextHop: 192.168.0.2  MAC: 00-e0-fc-3b-98-5b
  <--packets:0 bytes:0   -->packets:2 bytes:96
  218.17.155.9:43973-->58.18.168.164:80[222.31.224.197:80]
 
  http  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:05  Left: 00:00:05
  Interface: GigabitEthernet0/0/0  NextHop: 0.0.0.0  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:0 bytes:0
  222.31.224.197:80[58.18.168.164:80]-->218.17.155.9:43973
告警信息
处理过程
问题已经定位出来,是由于访问的时候从防火墙进入,但是出去的时候是从教育网出去.所以导致不能访问,这个时候我们在不改变组网的情况下,可以通过做inbond方向的NAT来解决,因为做了inbond方向的nat,访问的时候就会把外网地址转换的地址池地址,这相当于和服务器在同一个局域网,所以服务器回包得时候不会走教育网出去。
配置如下:
nat-policy interzone trust untrust inbound
 policy 0
  action source-nat                       
  address-group 1
结果验证:
[USG5500-hidecmd]dis firewall session table destination global  58.18.168.164 destination-port 80
13:08:08  2011/09/23
 Current Total Sessions : 16
  59.36.129.90:53727[58.18.168.163:12357]-->58.18.168.164:80[222.31.224.197:80]
 59.36.129.90:52444[58.18.168.163:12261]-->58.18.168.164:80[222.31.224.197:80]
59.36.129.90:53254[58.18.168.163:12324]-->58.18.168.164:80[222.31.224.197:80]
 
这样就可以正常访问了。
根因
分析:
1、开始认为是OSPF路由问题,但是设备也将默认路由发布到OSPF路由,default-route-advertise always
2、防火墙上ping服务器可以ping通,并且内部也可以访问,映射没有问题,我们发现58.18.168.164 inside 222.31.224.197
上面映射的都是公网地址,咨询客户,里面的服务器是教育网地址,教育网那边也同样存在一个出口。
建议与总结
当端口映射不成功的时候,我们检查配置没有问题,这个时候也可以咨询一下客户内部是否有其他外网出口,排除一下这方面的可能。

END