S12708集群+防火墙板卡下挂S5720下的一台PC无法访问ftp服务器,但是同网段其他PC正常访问

发布时间:  2016-06-13 浏览次数:  112 下载次数:  0
问题描述

1、组网图如下:

2、如上图所述:PC2-192.168.199.178/24可以正常访问192.168.199.18/24;而PC1-192.168.199.12/24无法访问。

告警信息
处理过程

1、通组网图中可以确认:在S12700交换机的vlan40的inbound方向应用了策略路由,将所有IP流量强制转发至NGFW单板进行处理。NGFW收到流量经策略处理后会匹配一条静态路由返回给S12700交换机(从收到流量的相同接口返回)。

2、FTP服务器地址192.168.199.18/24与PC1/PC2属于相同IP地址段。而PC2与FTP服务器在同一个接入层交换机下,二者之间流量互访不经过S12700处理,直接通过二层转发。而PC1要访问FTP服务器,需要经过S12700,就会命中S12700上VLAN40下的策略路由,也就会经过NGFW处理。接下来检查防火墙。

3、在NGFW上查看PC1访问FTP服务器的会话表,通过命令采集到的会话表为空,说明流量未到达防火墙。

4、在PC1上行的接入交换机下连接一台测试PC,配置IP地址:192.168.199.101/24,网关为192.168.199.1/24;测试PC可以访问FTP服务器(但是FTP主动模式:Windows中cmd下使用命令可以登陆,无法访问内容;FTP被动模式:IE流量器中输入ftp://192.168.199.18可以正常访问内容)。

5、通过测试PC的访问结果,初步判断PC1-192.168.199.12无法访问ftp服务器为设备本身问题,后经确认PC1为一台Linux server,由于配置错误导致无法访问FTP server。更改配置后确认与测试PC现象相同,FTP主动模式访问失败,FTP被动模式访问成功。

6、FTP主动模式与被动模式的区别在于:FTP数据连接由server-192.168.199.18主动发起,而被动模式,控制与数据连接都由访问客户端发起;检查访问安全策略配置,确认未放通FTP SERVER-192.168.199.18主动访问的安全策略,添加安全策略如下:

rule name ftp_server-to-client
source-zone server
destination-zone server
source-address 192.168.199.18 mask 255.255.255.255
action permit

根因

1、PC1(LINUX SERVER)网络配置错误。

2、在NGFW的server安全区域下未放行本区域内FTP SERVER主动发起连接的安全策略。

解决方案


1、PC1(LINUX SERVER)网络配置添加正确IP地址、掩码、路由:解决访问ftp数据包能正常发出。

2、在NGFW的server安全区域下放行本区域内FTP SERVER主动发起连接的安全策略,配置如下:(解决ftp主动访问)

rule name ftp_server-to-client
source-zone server
destination-zone server
source-address 192.168.199.18 mask 255.255.255.255
action permit

END