双出口,ISP2映射的WEB服务访问不成功

发布时间:  2014-11-26 浏览次数:  368 下载次数:  3
问题描述
网络拓扑:


FW1配置
****** 接口配置 ******
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.252
#
interface GigabitEthernet0/0/1
ip address 202.103.123.2 255.255.255.248
nat enable
detect ftp
#
interface GigabitEthernet0/0/2
ip address 123.1.1.2 255.255.255.248
nat enable
detect ftp
#
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
#
firewall zone untrust
set priority 5
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2
****** OSPF配置 ******
#
ospf 1 router-id 192.168.0.1
area 0.0.0.0
  network 192.168.0.0 0.0.0.3
#
****** 路由配置 ******

ip route-static 0.0.0.0 0.0.0.0 202.103.123.1
ip route-static 0.0.0.0 0.0.0.0 123.1.1.1 preference 65
#
****** 区域间默认策略配置 ******
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound
****** NAT配置 ******
nat server 0 protocol tcp global 202.103.123.3 www inside 192.168.10.7 www no-reverse
nat server 1 protocol tcp global 202.103.123.3 8081 inside 192.168.10.6 8081 no-reverse
nat server 2 protocol tcp global 123.1.1.3 www inside 192.168.10.8 www no-reverse
#
外网用户无法通过ISP2映射的地址访问WEB服务器(123.1.1.3:80  192.168.10.8:80)
告警信息
处理过程
1、 查看NAT配置,发现映射命令正确
2、 访问ISP1映射的地址发现成功
3、 从外网访问ISP2映射的地址不成功,继续使用内网机器,直接使用内网地址加端口的形式访问成功,此时判断服务器配置应该无问题。
4、 在FW1上ping服务器能ping通,在防火墙上telnet 192.168.10.8的80端口,发现TCP建立成功,判断FW1到服务器80端口也正常。
5、 查看防火墙到internet路由, dis ip routing 发现两条默认路由,而且是浮动的默认路由,此时判断,外网访问123.1.1.3 80,数据包防火墙肯定转换地址和端口后转发给了服务器,服务器也确实回了报文,报文到达防火墙后,防火墙由于默认路由指向了ISP1,顾数据包从ISP1接口发出了。解决方法是防火墙做策略路由,匹配源地址为192.168.10.8的数据包从G0/0/0进来时,走策略路由从ISP2出去
根因
1、 有可能NAT配置错误
2、 有可能是路由问题
解决方案
1、 查看NAT配置,发现映射命令正确
2、 访问ISP1映射的地址发现成功
3、 从外网访问ISP2映射的地址不成功,继续使用内网机器,直接使用内网地址加端口的形式访问成功,此时判断服务器配置应该无问题。
4、 在FW1上ping服务器能ping通,在防火墙上telnet 192.168.10.8的80端口,发现TCP建立成功,判断FW1到服务器80端口也正常。
5、 查看防火墙到internet路由, dis ip routing 发现两条默认路由,而且是浮动的默认路由,此时判断,外网访问123.1.1.3 80,数据包防火墙肯定转换地址和端口后转发给了服务器,服务器也确实回了报文,报文到达防火墙后,防火墙由于默认路由指向了ISP1,顾数据包从ISP1接口发出了。解决方法是防火墙做策略路由,匹配源地址为192.168.10.8的数据包从G0/0/0进来时,走策略路由从ISP2出去
建议与总结
防火墙多出口注意internet路由配置如何才是合理的

END