NAT映射虚拟服务器,服务器上不了外网

发布时间:  2013-06-26 浏览次数:  264 下载次数:  0
问题描述
Sever A
         |----USG2220----internet
Sever B
服务器A的IP地址为:a,B的地址为:b,A和B做服务器热备,A为主服务器,B为备服务器,虚拟出服务器C,IP地址为:c,对C做映射(公网IP为:d),然后外部网络可以访问C,但是C不能主动访问外网。
告警信息
处理过程
1、 客户提供网络拓扑以及防火墙配置,从配置看没有问题:
    nat address-group 1 ****  **** vrrp 3
nat server global d inside c vrrp 3
2、 查看会话表,发现外网可以访问服务器的虚拟地址:
   HRP_M[USG3000-A]disp firewall session table destination inside ip c
FTP:c:21[d:21]<--****:51320
FTP:c:21[d:21]<--****:44167
tcp:c:22[d:22]<--****:9262
FTP:c:21[d:21]<--****:46428
FTP:c:21[d:21]<--****:43988
FTP:c:21[d:21]<--****:44163
3、 访问外网的时候,发现没有用虚拟服务器的IP访问,而是用服务器A的地址在解析DNS:
   HRP_M[USG3000-A]disp firewall session table source inside ip c
HRP_M[USG3000-A]

HRP_M[USG3000-A]disp firewall session table source inside ip a
tcp:a:39793---****3306
DNS:a:57764[****:39611]--> ****.66:53
tcp:a:49999---****:3306
DNS:a:57771[****:39618]--> ****:53
tcp:a:50864---****:3306
DNS:a:57783[****:39630]--> ****:53
DNS:a:57762[****:39609]--> ****:53
tcp:a:39791---****:3306
4、 通过会话表可以判断,当服务器访问外网的时候,是用的实际服务器A的地址访问,所以要对A做NAT转换;
5、 对A做NAT转换,发现可以访问外网网页,然后再查看会话表,发现源为A的地址的HTTP会话已经建立。
根因
做全映射的时候是用的C的IP地址,虚拟服务器访问外网的时候,用的主服务器A的IP地址,由于没做关于A的NAT转换,所以不能上网
建议与总结
在遇到有虚拟IP地址通过防火墙访问的时候,可以通过查看源或目的的会话表,来判断到底是通过什么地址来建立连接的,从而找到问题的矛盾所在。

END