USG2200(V300R001)地址映射后不能访问处理步骤

发布时间:  2014-11-26 浏览次数:  321 下载次数:  0
问题描述
地址映射配置后不能从互联网访问
处理过程
排查思路
1、排查地址映射是否正确
2、策略是否放行
3、服务器本身是否开启服务
4、是否是内网访问地址映射的公网地址
5、服务器是否配置网关



解决方案
1、地址映射配置,手册标准配置
        [USG] nat server global 1.1.1.1 inside 10.1.1.1 no-reverse
        [USG] nat server global 2.2.2.2 inside 10.1.1.1 no-reverse
地址映射需要注意的是,比如只有1个外部地址,需要映射给多个服务器,需要增加no-reverse参数,外部端口不能有冲突。

2、策略是否放行,手册标准配置
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy destination 10.1.1.1 0
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] quit
[USG-policy-interzone-trust-untrust-outbound] quit
  策略放行需要注意一点,就是老版本需要放行的目的地址为global地址,新版本需要放行的目的地址为inside地址。(新版本为V300R001之后的版本)

3、检查服务器本身的服务是否正常开启。
在内网通过内网IP地址访问此服务器,确认服务器上的服务已正常开启。

4、确认是从公网访问,如果是从内网访问公网地址,且服务器与内网在一个区域,这种情况需要增加域内nat配置
     域内nat配置:
创建NAT地址池1:1.1.1.3–1.1.1.5。
[USG] nat address-group index 1 1.1.1.3 1.1.1.5
创建Trust域内的NAT策略,确定进行NAT转换的源地址范围10.1.1.0/24网段,并且将其与NAT地址池1进行绑定。
[USG] nat-policy zone trust
[USG-nat-policy-zone-trust] policy 0
[USG-nat-policy-zone-trust-0] policy source 10.1.1.0 0.0.0.255
[USG-nat-policy-zone-trust-0] policy destination 10.1.1.1 0
[USG-nat-policy-zone-trust-0] action source-nat
[USG-nat-policy-zone-trust-0] address-group 1
[USG-nat-policy-zone-trust-0] quit
[USG-nat-policy-zone-trust] quit
域内nat需要注意的是,老版本目的地址需要配置为global地址,新版本需要配置为inside地址。(新版本为V300R001之后的版本)

5、服务器是否配置网关,这种情况有两种,1种没有配置网关,1种配置了多个网关,这种情况的解决方法:
      (1)更改正确更改服务器网关(2)在untrust到trust方向配置源nat将外网进来的流量源地址转换为内网口地址进行访问也可以解决。
untrust到trust方向nat配置:
[USG] nat address-group index 10 10.1.1.1 10.1.1.1
[USG] nat-policy interzone trust untrust inbound
[USG-nat-policy-interzone-trust-untrust-inbound] policy 0
[USG-nat-policy-interzone-trust-untrust-inbound-0] action source-nat
[USG-nat-policy-interzone-trust-untrust-inbound-0] address-group 10
[USG-nat-policy-interzone-trust-untrust-inbound-0] quit
[USG-nat-policy-interzone-trust-untrust-inbound] quit

END