USG3040因版本问题域内NAT FTP功能不正常

发布时间:  2012-07-23 浏览次数:  287 下载次数:  0
问题描述


  关键配置:      [USG3000]nat server protocol tcp global 1.1.1.1 2121 inside 192.168.1.250 21
            [USG3000-zone-trust]nat 2000 address-group 1

软件型号:USG3040  V100R002
问题现像:  1.用户做了NAT-SERVER的端口映射(外网2121映射内网的21端口) 内网一台FTP SERVER,同时也做了域内NAT功能,NAT-SERVER功能正常.
  1. 域内NAT 不正常,PC端不能用FTP的被动模式访问FTP SERVER,主动模式正常,如果NAT-SERVER的映射改为21端口映射21端口,全部都正常
告警信息
处理过程
在检查USG的会话表时,发现FTP协商的第二阶段,在会话表中出现无源IP现像,经查为V1R2版本软件问题,版本更换为V1R1后正常
根因
  1. 检查过滤策略,正常.
  2. 检查域内NAT配置,正常.
  3. 检查FTP-SERVER,在PC上直接访问FTP-SERVER内网IP都正常
  4. 怀疑是USG软件版本问题
建议与总结

USG3000V1R2版本只是多了IPS等功能,如果不会用到这些功能,建议用V1R1的版本,因V1R1的稳定性要好些

END