解决内网用户通过USG5500访问服务器慢问题。

发布时间: 2014-12-29 浏览次数: 315 下载次数: 0

问题描述

某局点客户反馈，设备内部地址：172.16.100.12访问公司网站：111.111.111.XX地址时，不做源nat的时候访问很慢，做了源NAT后访问正常。
地址111.111.111.XX做了映射：nat server global 111.111.111.XX inside 172.16.1.28

设备拓扑如下：

告警信息

无

处理过程

查看设备配置：

服务器配置了映射
nat server global 111.111.111.XX inside 172.16.1.28

网段之间没有做限制，配置路由，访问服务器需要把数据包扔到防火墙上匹配nat server 后，再送回给PC。
配置上查看没有问题。
可以抓包看看数据匹配情况

根因

根据如下抓包信息，问题原因是：
服务器的网站内容有一些公网资源，当访问这些公网资源的时候，需要先访问Inaternet，如在Trust到Untrust区域不做ＮＡＴ转换，报文出去后是回不来的，这样就会造成网站访问慢的情况。

依据是从抓包内容就可以看出问题所在，网页中确实有到公网的资源：

解决方案

根据根因分析得出的结论，在当前设备的环境下，内网必须做NAT才可以访服务器。

建议与总结

针对一些应用层问题，如访问慢、丢包等情况，可以通过抓包来定位问题。

END

案例投稿

作者 : z84011451

文档编号： EKB1000063386

故障类型 :

意见反馈

提示

企业用户

集团网站

个人用户

运营商用户

AFRICA

LATIN AMERICA

MIDDLE EAST

ASIA PACIFIC

NORTH AMERICA

EUROPE

解决内网用户通过USG5500访问服务器慢问题。