usg2200 新增公网地址段NAT SERVER不通

发布时间:  2016-11-22 浏览次数:  131 下载次数:  0
问题描述
问题描述:

新增公网地址段59.108.*.* NAT SERVER不通,该地址是运营商提供的新地址段

组网拓扑:


配置脚本:

interface GigabitEthernet0/0/1
 ip address 49.4.*.* 255.255.255.248
 gratuitous-arp send enable

interface GigabitEthernet0/0/0
 ip address 1.1.1.1 255.255.255.0

nat server 2 global 59.108.*.* inside 192.168.2.4 no-reverse

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0

firewall zone untrust
 set priority 5
 add interface GigabitEthernet0/0/1

policy interzone trust untrust inbound
 policy 0 
  action permit 

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 49.4.*.* 
ip route-static 192.168.0.0 255.255.0.0 GigabitEthernet0/0/0 1.1.1.5

处理过程
1.查看新网段地址,发现其不与之前所配置的IP在同一个网段,建议排查是否地址正确。
用户反馈曾单机测试新地址,可以正常上网,确实网段已经新增加
2.检查防火墙安全策略,已全放行
3.检查防火墙NAT配置,配置正确
4.检查SERVER-MAP表以及会话表,可以查询到对应SERVER-MAP,无会话表
5.查看防火墙丢包计数,发现运营商对端报文并未达到防火墙
6.在出接口配置SUB地址,正常访问

根因

由于出接口无新IP地址59.108.*.*的SUB地址,便不会响应对端发起的ARP请求,所以对端设备无法获取到该IP所对应的MAC地址,所以无法将报文转发过来,此用户场景与通常场景不同,通常ISP会将分配给用户的网段做路由,通过路由方式转发报文,但在此用户场景下ISP配置了SUB接口,导致用户单机可以上网,但是用作NAT SERVER却失败的情况

解决方案
增加一条SUB地址

interface GigabitEthernet0/0/1
 ip address 49.4.174.34 255.255.255.248 
 ip address 59.108.87.219 255.255.255.0 sub

END