某局点部分客户端地址无法访问NAT Server后内网地址

发布时间:  2012-07-23 浏览次数:  133 下载次数:  0
问题描述
防火墙配置
 nat server zone untrust global 211.139.144.X inside 172.30.10.6 vrrp 190    
 nat server zone untrust global 211.139.144.X inside 172.30.10.17 vrrp 190
问题现象
某些用户能够正常访问NAT SERVER的内网服务器,某些用户则无法访问:
如:125.88.X.X可以正常访问,211.139.X.X: 则不能访问
告警信息
处理过程

1.在防火墙上显示正常和异常的会话表,发现异常的会话表状态为0x51,为收到syn后的状态
tcp  (vpn: public -> public)
zone: untrust -> trust  tag: 0x4000258c  State: 0x51--------------------状态为51,表示为只收到syn报文后的状态。

ttl: 00:00:05  left: 00:00:05  Id: fde51d8  SlvId: 11026418
Interface: E2  Nexthop: 172.30.6.12  Mac: 00-00-5e-00-01-14
<-- packets:1 bytes:60   --> packets:0 bytes:0
211.139.144.201:7890[172.30.10.6:7890]<--211.139.164.197:50118

而正常的会话表为0x53状态,为TCP ready状态
tcp  (vpn: public -> public)
zone: untrust -> trust  tag: 0x4000258c  State: 0x53-------正常的会话为53状态,表示TCP状态为建立状态
ttl: 00:20:00  left: 00:20:00  Id: 2fd100b0  SlvId: 2eadec60
Interface: E2  Nexthop: 172.30.6.12  Mac: 00-00-5e-00-01-14
<-- packets:1011 bytes:374582   --> packets:1053 bytes:149191  211.139.144.204:7890[172.30.10.69:7890]<--125.88.6.162:3222

2.根据会话表指针,比较正常会话表和异常会话表内容均相同没有发现异常。
3.根据acl调试,并没有发现防火墙丢包
Protocol(TCP) SourceIp(211.139.164.197) DestinationIp(211.139.144.201)  
SourcePort(50118) DestinationPort(7890) VpnIndex(public)  
           Receive           Forward           Discard  
Obverse : 2          pkt(s) 2          pkt(s) 0          pkt(s)   ------------------------正向报文已经收到并且已经正常转发
Reverse : 0          pkt(s) 0          pkt(s) 0          pkt(s) ----------------但是反向报文没有回来 
Discard detail information:

4.开始怀疑有可能存在来回路径不一致引起,于是在主备上面同时关闭状态检测,问题照样存在。

5.于是在防火墙内网口抓包确认是防火墙内网口是否有收到回来的报文。在抓包时,发现交换机上的eth-trunk口中一个物理接口为down状态,更换光模块后,测试两个地址都正常。

根因
由于防火墙和交换机配置为speed 1000,导致一边down一边up的情况,这样一端发送的报文就无法收到了。
建议与总结

对于eth-trunk口情况需要考虑物理接口是否正常,同时要深刻理解speed 1000、全双工等含义。

END