多广域网出口情况下,由NAT配置问题导致的业务不通问题。

发布时间:  2014-06-03 浏览次数:  248 下载次数:  0
问题描述

防火墙有三个zone,trust连接内网,untrust连接公网,dmz连接运营商VPN链路与总部相连。

内网中IP 10.0.0.1到总部IP 10.7.7.7可正常通信,进行变更时,需要将内网中IP映射到untrust公网上,于是配置了如下命令:
nat server 3 global 1.1.1.1 inside 10.0.0.1

变更后发现内网IP 10.0.0.1到总部10.7.7.7不能正常通信。
告警信息
无。
处理过程
先将原配置删除:
undo nat server
再将制定no-reverse关键字的命令加上:
nat server 3 global 1.1.1.1 inside 10.0.0.1 no-reverse
根因
故障发生时,在防火墙上查看会话信息:
<sysname> display firewall session table
Current Total Sessions : 20
  sip [SIP] VPN:public --> public 10.0.0.1:12389[1.1.1.1:12389]-->10.7.7.7:5060
  ......

我们发现,走运营商VPN链路的流量,内网地址10.0.0.1也被转换成公网IP了,这不是我们期望的。

nat server的默认配置是对流量做双向转换,所以10.0.0.1出去的流量也被进行了转换,因此我们需要添加关键字no-reverse来禁止出流量做转换。
建议与总结
在使用nat server时要注意方向,如果只需要单向转换,需要添加no-reverse参数。
如果需要指定入和出的安全域时,需要使用关键字zone.

END