AR2240内网配置策略路由后,内网用户无法通过公网地址访问内部服务器

发布时间:  2015-11-19 浏览次数:  703 下载次数:  0
问题描述
AR2240内网接口GE0/0/0配置策略路由后,内网用户HostA无法通过公网地址112.64.180.10访问内部服务器,去掉了接口策略路由后可以访问。

告警信息
在内网用户HostA上Ping服务器Server的公网IP地址,发现无法Ping通。
处理过程
步骤 1 执行display current-configuration命令,检查配置信息。根据配置查看,在策略路由中已经将内网用户去往公网地址112.64.180.10的数据做了免重定向的配置。

#
acl number 2000 
rule 10 permit source 192.168.0.0 0.0.0.255
acl number 2999 
rule 5 permit                           
acl number 3001 
rule 11 permit ip source 192.168.0.0 0.0.255.255 destination 112.64.180.10 0
#
traffic classifier vlan11 operator or
if-match acl 3001
traffic classifier vlan10 operator or
if-match acl 2000
#
traffic behavior vlan11
traffic behavior vlan10
redirect ip-nexthop 112.64.180.9
#
traffic policy vlan10
classifier vlan11 behavior vlan11
classifier vlan10 behavior vlan10
#
Interface GigabitEthernet0/0/0
ip address 172.16.100.1 255.255.255.0
traffic-policy vlan10 inbound
nat server protocol tcp global interface GigabitEthernet0/0/2 www inside 192.168.0.140 www
#
interface GigabitEthernet0/0/2
description LianTong
ip address 112.64.180.10 255.255.255.252
nat server protocol tcp global current-interface www inside 192.168.0.140 www
nat outbound 2999

步骤 2 将内网用户HostA上Ping服务器Server的过程梳理一下:

第一阶段(客户端发送数据给服务器):

Source                             Destination
192.168.1.100                       112.64.180.10
192.168.1.100                       192.168.0.140  //匹配NAT流表转换
172.16.100.1  //匹配NAT流表转换    192.168.0.140

第二阶段(服务器发送数据给客户端):

Source                              Destination
192.168.0.140                        172.16.100.1  //此处没有匹配规则ACL 3001而被做了重定向
192.168.0.140                        192.168.1.100  //匹配NAT流表转换
112.64.180.10  //匹配NAT流表转换  192.168.1.100

----结束
根因
在第二阶段服务器发送数据给客户端的过程中,没有匹配规则ACL 3001而被做了重定向。
解决方案
将第二阶段服务器给客户端发送的数据,即内网用户去往公网地址172.16.100.1的数据加入免重定向的配置:

acl number 3001
rule 11 permit ip source 192.168.0.0 0.0.255.255 destination 112.64.180.10 0
rule 12 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.100.1 0  //增加内网用户去往公网地址172.16.100.1的数据的匹配规则

添加配置后问题解决。
建议与总结
通过命令逐步检查状态和信息,确定故障根源,建立正确的故障排查思路,运用正确的命令采集相应结果进行分析。

END