NAT SERVER反向会话及来回路径不一致导致业务不通

发布时间:  2012-07-18 浏览次数:  114 下载次数:  0
问题描述

Usg3040:公网出口,并通过公网地址将server发布出去,配置有出口默认路由及指向vlan2地址的回程路由。
 Cisco1841:配置有到另一网络的默认路由及指向vlan2地址的回程路由。
 Cisco3750:划分vlan1(4口)和vlan2(1、2、3口),分别配置有vlan地址。1、2口相连的usg3040和cisco1841互联接口配置地址和vlan2地址同网段。配置有指向ADSL出口的默认路由。
 Pc部分:和server不同网段,pc的网关为vlan1地址。
Server部分:的网关有指向usg3040,也有指向cisco1841的
故障现象:如果server的网关指向cisco1841,则pc通过公网或私网地址均能够访问server;如果pc的网关指向

usg3040,则pc只能通过公网地址访问server。



告警信息
处理过程

1、pc端能够通过公网地址访问server,从组网看应该是从ADSL出去再到usg3040,不涉及域内nat问题
2、pc端不能通过内网访问server,根据组网判断应该是来回路径不一致导致,将usg3040会话状态检测关闭,

pc端pingserver私网地址能够ping通,但是replay地址为usg3040的公网地址。
3、由于cisco1841和usg3040的组网环境完全一样,路由配置一样, server网关在cisco1841上pc访问无问题,

网关在usg3040上就不能访问,cisco1841上未对server配置地址映射,usg3040上对server做了映射,并向使用

的global地址刚好就是pc用私网地址ping时返回的replay地址。
4、根据nat server报文转发流程,当pc使用私网地址ping到server时,应该是匹配了nat server的反向会话,

所以返回的是映射的global地址,icmp报文能够通,其他基于tcp的访问因为返回地址被转换,所以访问不成功


5、如果建议用户在cisco3750做配置调整,涉及路由调整较多,用户不接受将server网关都指向cisco1841,根

据报文访问流向,采用在server上配置路由,以最小的改动到达业务互通,并且usg3040不再需要关闭会话状态

检测。

根因
1、组网不正确问题。
2、配置路由问题。
3、Usg3040报文转发问题
建议与总结

END