解决配置NAT server时提示“与基于策略的目的Nat配置的地址冲突”问题

发布时间:  2012-07-20 浏览次数:  168 下载次数:  0
问题描述
 客户利用USG5320 V100R005版本防火墙,配置NAT server发布服务器时,提示“Global IP conflicts with destination nat, please use another one!”配置NAT server映射不成功。
告警信息
处理过程

检查客户配置,发现客户在untrsut 内配置了基于目的NAT功能造成不能配置NAT server 不能正常发布。

客户关键配置 :

sysname USG5320
#
acl number 3001
  rule 0 permit ip

web-manager enable
 web-manager security enable
#
 firewall packet-filter default permit interzone local trust direction inbound
 firewall packet-filter default permit interzone local trust direction outbound
 firewall packet-filter default permit interzone local untrust direction inbound
 firewall packet-filter default permit interzone local untrust direction outbound
 firewall packet-filter default permit interzone trust untrust direction inbound
 firewall packet-filter default permit interzone trust untrust direction outbound
#nat address-group 1 175.19.30.38 175.19.30.38
 nat server 0 protocol tcp global 175.19.30.38 444 inside 192.168.1.3 443
# firewall statistic system enable
#interface GigabitEthernet0/0/0
 ip address 192.168.0.1 255.255.255.0
#interface GigabitEthernet0/0/1
 description ToHuLianWang
 ip address  1.1.1.1 255.255.255.252
#interface GigabitEthernet0/0/2
 description ToNeiWang                   
 ip address 192.168.1.1 255.255.255.224
#interface GigabitEthernet0/0/3
#interface NULL0
#firewall zone local
 set priority 100
#firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet0/0/2
#firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/1             
 destination-nat 3001 address 175.19.30.38          // 去掉这条命令即可
#firewall zone dmz
 set priority 50
#firewall zone vzone                      
 set priority 0
#policy interzone trust untrust outbound
 policy 0
 action permit
#nat-policy interzone trust untrust outbound
 policy 1
 action source-nat
 address-group 1
#aaa
 local-user tqjl password cipher DT`;%52!-G(X!X<]K3BK;Q!!
 local-user tqjl service-type telnet
 local-user tqjl level 3                 
 local-user tgjl password simple Paerioer1
 authentication-scheme default
 

 ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

根因
排查客户的USG5320配置信息,发现客户在untrust 区域配置了目的NAT功能,造成利用相同公网IP再做NAT server发布服务器时 提示这个IP地址“配置的全局IP地址与基于策略的目的Nat配置的地址冲突”的现象。
建议与总结

END