usg6550配置NAT SERVER后不生效故障

发布时间:  2015-09-08 浏览次数:  223 下载次数:  0
问题描述

在防火墙上配置针对端口的映射,则在外网PC上访问不能显示网页。

nat server B001 protocol tcp global xx.xx.163.119 7001 inside 10.211.9.42 7001 no-reverse

网络结构:PC----FW-----SERVER

处理过程

1.查看配置,没有问题

nat server B001 protocol tcp global xx.xx.163.119 7001 inside 10.211.9.42 7001 no-reverse

2.在配置基于端口的映射后查看会话表信息

  tcp  VPN:public --> public  ID: a58f3ff7abeb0ce3db55eee3a0

   Zone: untrust--> untrust  TTL: 00:00:05  Left: 00:00:00  

   Output-interface: GigabitEthernet1/0/0  NextHop: x.x.163.119  MAC: 00-00-00-00-00-00

   <--packets:0 bytes:0   -->packets:2 bytes:104

   xx.xx.52.226:29387[xx.xx.163.125:2112]-->x.x.163.119:7001

 

   tcp  VPN:public --> public  ID: a58f3fd23ca10ef6d455eee3a8

   Zone: untrust--> untrust  TTL: 00:00:05  Left: 00:00:05  

   Output-interface: GigabitEthernet1/0/0  NextHop: x.x.163.119  MAC: 00-00-00-00-00-00

   <--packets:0 bytes:0   -->packets:1 bytes:48

   xx.xx.52.226:35711[xx.xx.163.125:2114]-->x.x.163.119:7001

可以看到外网源IP地址被转换成本地的公网IP地址了

3.查看NAT配置

nat-policy

 rule name "access internet"

  egress-interface GigabitEthernet2/0/0

  action nat easy-ip



更改为以下内容后故障解决。

nat-policy

  rule name "access internet"

  source-zone trust 

  egress-interface GigabitEthernet2/0/0

  action nat easy-ip


根因

外网访问命中正向的nat

解决方案

源NAT配置时加上源区域trust

END