终端通过代理访问远端服务器,显示的服务器地址是NAT之后地址

发布时间:  2013-10-15 浏览次数:  189 下载次数:  0
问题描述
版本:V200R001C00SPC600

组网信息:在防火墙上自定义了3个安全域: Localoss、SZ、CAZ,Localoss为终端接入区,SZ为服务器区,CAZ为代理服务器区,各个安全区的网络规划如图所示。各个安全区域设备通过二层交换机连接到防火墙,防火墙工作在3层。
其中,CAZ域到SZ域启用了NAT server,地址映射为:192.168.3.2-------192.168.2.4,192.168.3.2为代理服务器IP地址。SZ和Localoss,以及SZ和CAZ之间启用了包过滤策略(permit),而Localoss到SZ之间没有启用,目的是为了让终端不能直接访问SZ区,必须通过代理服务器跳转访问。


故障现象:Localoss中的终端通过代理服务器(CAZ域),访问SZ域中的服务器,终端的IE浏览器显示的IP地址为NAT之后的地址(192.168.2.4),非代理服务器本身的地址(192.168.3.2)
告警信息
处理过程
指定globle具体域,nat server SZ globle 192.168.2.4 inside 192.168.3.2 
根因
首先故障定位在NAT server出现了问题。
在防火墙的NAT server在故障解决前,是这样启用的:nat server globle 192.168.2.4 inside 192.168.3.2 
以上命令中没有指定globle的具体安全域,导致NAT之后地址(192.168.2.4)在各个安全域都存在,而且终端到192.168.2.4的路由是可达的,所以导致终端登陆代理服务器后,跳转到NAT之后的地址(192.168.2.4)。
建议与总结
在防火墙上启用NAT server之后要指定具体安全域

END