USG2220HSR域内nat不生效

发布时间:  2015-04-25 浏览次数:  175 下载次数:  0
问题描述

组网拓扑如下:


故障现象:内网用户无法使用公网IP地址访问内网服务器,即域内nat不生效。


处理过程

测试说明:服务器是接在其中一台S2700下的,IP地址是:192.168.2.36,内网测试终端IP地址分别为:192.168.189.113192.168.2.38

测试步骤:

1、从外网发起访问正常

2、在内网使用电信公网IP发起访问,会话表显示未进行转换

3、在内网使用联通公网IP发起访问,会话表显示未进行转换

4、在内网使用服务器私网地址发起访问,能正常打开网页

<GZHS-YHSPC-USG2200>display firewall session table verbose source global 192.168.2.38

16:48:48  2015/04/23

  Current Total Sessions : 5

   http  VPN:public --> public

   Zone: trust--> local  TTL: 00:00:10  Left: 00:00:05

   Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00

   <--packets:1 bytes:40   -->packets:1 bytes:48

   192.168.2.38:62935-->218.86.250.61:80   //访问电信地址没有进行地址转换

 

<GZHS-YHSPC-USG2200>display firewall session table verbose source global 192.168.2.38

16:51:34  2015/04/23

  Current Total Sessions : 4

   http  VPN:public --> public

   Zone: trust--> local  TTL: 00:00:10  Left: 00:00:09

   Output-interface: InLoopBack0  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00

   <--packets:1 bytes:40   -->packets:1 bytes:48

   192.168.2.38:50514-->58.16.114.138:80   //访问联通地址没有进行地址转换

5、最后再次检查nat server配置:

 nat server 0 zone untrust protocol tcp global 218.86.250.61 5872 inside 192.168.254.2 5872

 nat server 1 zone untrust protocol tcp global 218.86.250.61 www inside 192.168.2.36 www

 ......

 nat server 3 zone untrust1 protocol tcp global 58.16.114.138 www inside 192.168.2.36 www

 ......

 发现nat server的配置中指定了zone域,将nat server中的域取消掉后问题解决。


根因

nat server 中指定了域是untrust,而域内nat触发方向是trust到local,所以无法命中。

解决方案

将nat server中的域取消即可。针对本案例来说因为是双链路出口,同时要满足两个出口都对同一台服务器的同业务进行地址映射,这样一来配置的时候就需要将nat server的配置全部带上no-reverse参数,否则无法同时配置上(反向会话表的原因)。

建议与总结

配置的nat server的时候,若考虑到后续需要满足内网用户使用公网IP地址对内部服务器进行访问的话建议配置的时候不带域;另外若是多出口线路要同时对服务器做映射,需要带上no-reverse参数。

END