配置了源NAT策略后,内部网络无法访问Internet

发布时间:  2014-09-20 浏览次数:  139 下载次数:  0
问题描述
如图38-1所示,某公司在网络边界处部署了NGFW作为安全网关,通过在NGFW上配置源NAT策略,使内部网络中的PC能够访问Internet上的资源。
图38-1 网络环境示意图

实际使用中,发现内部网络中的PC_A(地址为10.1.1.2)无法访问Internet上的Web服务器(地址为211.1.1.2)。
处理过程
没有找到源地址为10.1.1.2的会话表项。
可能原因及相应的处理步骤如下:
1. 内部网络中的PC上没有设置网关
检查PC_A的缺省网关地址是否为10.1.1.1。是则此项配置正确,否则参考在私网主机上配置缺省网关进行配置。
2. 内部网络中的其他设备将报文丢弃
检查内部网络中PC和NGFW之间是否存在其他设备将PC发出的报文丢弃,如果存在,请检查并调整该设备的配置信息。
3. NGFW的基础配置不正确
a. 检查GigabitEthernet 1/0/1和GigabitEthernet 1/0/2是否配置了正确的IP地址并加入了安全区域。
b. IP地址和安全区域正确后,检查不需要进行NAT的流量是否可以正常访问Internet。如果不需要NAT的流量也无法正常访问,则可能NGFW的其他网络配置有误,请参考网络检查排除。如果可以正常访问,请进行其他项目的检查。
4. NGFW上配置了黑名单将报文丢弃
选择“策略 > 安全防护 > 黑名单”,搜索源地址为10.1.1.2的表项。如果找到则删除此表项,否则请进行其他项目的检查。
5. NGFW上配置的安全策略不正确
选择“策略 > 安全策略 > 安全策略”,查找“源IP地址”包含10.1.1.2的表项,存在该条表项且“动作”为“允许”,则该项配置正确,否则请参考安全策略重新调整安全策略的配置。
6. NGFW上没有配置去往Internet的路由
选择“网络 > 路由 > 路由表”,查找是否存在正确的公网路由表项。详细信息请参考IP路由。
存在会话表项,但是会话表项错误。例如:表项中没有10.1.1.2的转换记录、转换后源地址不正确。
可能原因及相应的处理步骤如下:
7. 源地址没有被转换
选择“策略 > NAT策略 > 源NAT策略”,找到“源IP地址”包含10.1.1.2的表项。存在该条表项且“动作”为“允许”,则该项配置正确,否则请参考配置源NAT重新调整源NAT策略的配置。
8. 源地址转换错误
选择“策略 > NAT策略 > 源NAT策略”,找到“源IP地址”包含10.1.1.2的表项,检查其“转换后的地址”是否配置正确,否则请参考配置源NAT重新调整源NAT策略的配置。
已经建立了正确的会话表项。
可能原因及相应的处理步骤如下:
9. Internet上没有达到地址池地址的路由
当NAT使用的公网地址不存在于实际接口上时,必须要ISP管理员在接入设备Router上手工配置达到这些公网地址的路由才能使Internet的回程报文被正确地转发至NGFW。请联系ISP管理员确认此项配置。
如果希望通过动态路由协议让NGFW与Router之间自动发现路由,则需要在动态协议中发布目的地址为这些公网地址的黑洞路由。详细信息请参考IP路由。
10. Internet中的设备将回程报文丢弃
检查Internet中是否存在其他设备将回程的报文丢弃,如果存在,请检查并调整该设备的配置信息。可能需要联系ISP管理员确认。
11. NGFW上配置了黑名单将回程报文丢弃
请参考步骤4检查处理。
12. NGFW上没有去往PC的路由
本举例中,内部网络与NGFW直接相连,不涉及路由问题,因此不需要考虑本原因。如果内部网络与NGFW不是直连,而是跨越了其他网络,此时就需要在NGFW上配置去往内部网络的路由,否则NGFW会将回程报文丢弃。关于路由的详细信息,请参考IP路由。

END