问题描述
某局点客户反馈,设备内部地址:172.16.100.12访问公司网站:111.111.111.XX地址时,不做源nat的时候访问很慢,做了源NAT后访问正常。
地址111.111.111.XX做了映射:nat server global 111.111.111.XX inside 172.16.1.28
设备拓扑如下:
告警信息
无
处理过程
查看设备配置:
服务器配置了映射
nat server global 111.111.111.XX inside 172.16.1.28
网段之间没有做限制,配置路由,访问服务器需要把数据包扔到防火墙上匹配nat server 后,再送回给PC。
配置上查看没有问题。
可以抓包看看数据匹配情况
根因
根据如下抓包信息,问题原因是:
服务器的网站内容有一些公网资源,当访问这些公网资源的时候,需要先访问Inaternet,如在Trust到Untrust区域不做NAT转换,报文出去后是回不来的,这样就会造成网站访问慢的情况。
依据是从抓包内容就可以看出问题所在,网页中确实有到公网的资源:
解决方案
根据根因分析得出的结论,在当前设备的环境下,内网必须做NAT才可以访服务器。
建议与总结
针对一些应用层问题,如访问慢、丢包等情况,可以通过抓包来定位问题。
END