+安全+缺少配置+trust域用户不能访问dmz域NAT server的公网IP

发布时间:  2014-09-04 浏览次数:  368 下载次数:  0
问题描述
1:版本信息:USG5500 V300R001C00SPC200
2:组网概述:内网分别通过交换机连接到USG5500的Trust、DMZ域相应接口;USG5500对内部WEB服务器做NA server映射;分别映射到电信、联通公网地址,且域名相同。
3、网络拓扑:


4、配置脚本:
Usg5500配置:
nat server 4 zone liantong protocol tcp global 221.207.18.111 www inside 192.168.4.4 www
nat server 11 zone dianxin protocol tcp global 223.221.65.66 www inside 192.168.4.4 www

5、故障现像:
Trust域内用户通过域名无法访问WEB服务器。

告警信息
处理过程
1、 通过在PC上nslookup得到结果如下,说明域名解析出来的IP没有问题。
C:\Users\huang>nslookup www.mapqh.cn
服务器:  93.0.178.61.wg.gs.dynamic.163data.com.cn
Address:  61.178.0.93

非权威应答:
名称:    www.mapqh.cn
Address:  221.207.18.111
2、 域间策略没有问题
policy interzone trust dmz outbound
policy 5
  action permit
  policy destination 192.168.4.4 0
3、 查看会话表项如下:
  Zone: trust--> liantong  TTL: 00:00:20  Left: 00:00:18
  Interface: GigabitEthernet0/0/0  NextHop: 221.207.18.111  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:1 bytes:60
  192.168.2.3:9265[221.207.18.109:2058]-->221.207.18.111:80
可以看出,会话是从trust--> liantong,而不是从trust--> dmz;且NextHop: 221.207.18.111  MAC: 00-00-00-00-00-00,就没有解析到下一跳的MAC地址。
以上分析出是NAT server配置有问题。

4、 经过第3步现象分析,添加基于trust域的NAT server映射,trust域用户使用域名访问WEB服务器正常
nat server 14 zone trust protocol tcp global 221.207.18.111 www inside 192.168.4.4 www

会话表项如下:
Zone: trust--> dmz  TTL: 00:00:20  Left: 00:00:20
Interface: GigabitEthernet0/0/1.10  NextHop: 192.168.4.4  MAC: 54-89-98-eb-0e-40
  <--packets:1 bytes:60   -->packets:1 bytes:60
  192.168.2.3:28977-->221.207.18.111:80[192.168.1.2:80]
根因
1、 域名解析不正确
2、 域间策略不正确
3、 NAT转换有问题。
建议与总结
基于域的NAT server,只对NAT server映射对应的域起作用,对其它域不起作用。
比如下例:
nat server 4 zone liantong protocol tcp global 221.207.18.111 www inside 192.168.4.4 www
只对属于”liangtong”域接口过来的数据进行NAT映射;而对属于“trust”域接口过来的数据,不进行NAT映射。

END