由于NAT Server配置不正确导致外网无法访问设备WEB页面

发布时间:  2014-09-12 浏览次数:  322 下载次数:  0
问题描述
组网如图所示,设备上已经开启了WEB管理功能和Telnet功能,从Trust区域能够正常访问WEB管理页面,并进行管理操作。
尝试从外网(Untrust区域)远程登录设备WEB管理页面,无法登录,浏览器提示打不开页面
告警信息
处理过程
步骤 1     检查Untrust域到Local域方向上的域间包过滤规则是否开启。检查后发现Untrust域到Local域的默认包过滤规则为允许,即允许从Untrust域访问设备,排除原因一。
步骤 2检查网络连接状况。
  1. 在外网PC上Ping与外网相连的设备接口IP地址220.165.251.14,结果可以Ping通,说明网络连接正常,排除原因二。
  2. 在外网使用同样的IP地址Telnet登录设备,同样无法登录,需要进一步检查设备配置问题。
步骤 3检查设备NAT相关配置。
  1. 执行display current-configuration检查设备配置信息。
检查到NAT配置时,发现存在如下配置项:
nat server global 220.165.251.14 inside 10.195.7.21
220.165.251.14是设备与外网连接的接口IP地址,这里被配置成为服务器对外提供的公网地址。因此,在外网使用PC访问此IP地址,都被设备做了地址映射到10.195.7.21对应的主机上,实际并没有访问设备本身,提示无法打开WEB页面。
  1. 修改NAT Server的配置。
    1. 执行命令undo nat server global 220.165.251.14 inside 10.195.7.21删除该配置。
    2. 执行命令nat server globalglobal-addressinside 10.195.7.21重新配置NAT Server,global-address不能为设备接口IP地址。
根因
  • 原因一:Untrust域和Local域的域间包过滤策略为禁止。
  • 原因二:网络连接问题。
  • 原因三:NAT配置问题。
建议与总结
当从外网无法访问设备时,除了检查包过滤是否打开,还应该注意设备配置的NAT Server的出口IP地址和设备接口的IP地址是否一致。

END