内部网络访问Nat server global_ip来回路径不一致导致网络不通问题

发布时间:  2016-11-29 浏览次数:  86 下载次数:  0
问题描述


组网情况:

服务器公网IP:61.xxx.xxx.133;服务器内网IP:10.66.84.17

客户访问互联网的出口在USG6680上。

客户PC访问内网服务器路径:

1、使用内网地址:客户交换机——客户路由器——CE12804——Server——CE12804——客户路由器——客户交换机——客户PC

2、使用公网地址:客户交换机——客户路由器——CE12804——USG6680——CE12804——Server——CE12804——客户路由器——客户交换机——客户PC

出现的问题:客户PC可以通过内网地址(10.66.84.17)访问服务器,但无法通过外网(61.xxx.xxx.133)地址访问服务器


处理过程

1、在客户PC上ping服务器的内网地址、外网地址

2、在客户PC上tracert服务器内网地址、外网地址

3、在CE12804交换机上做流量统计

4、在USG6680防火墙上查看防火墙的会话表

根因

1、原本nat server global IP是为用户从互联网侧访问服务器而设置的,但客户有时也想在内网通过global地址访问服务器。

2、在CE12804交换机上做流量统计,发现客户使用global ip访问服务器时,来回路径不一致;但正常情况下,即使路径不一致也不会出现无法访问的情况。

3、查看客户路由器配置,发现在路由器与CE12804互连接口配置了nat,且nat转换的源地址为all。这样,所有经过路由器往CE12804的所有流量都会被进行nat转换,当数据流返回时根据nat的会话表项再进行逆向的转换。

4、但在来回路径不一致的情况下,当用户PC通过global地址访问服务器时目的地址是61.xxx.xxx.133,而实际上服务器回复报文所使用的源地址是10.66.84.17,这样就导致了路由器上的nat会话表项中没有相对应的会话,数据包被丢弃,造成网络不通。

解决方案

1、建议客户在办公区使用服务器内网地址访问服务器

2、在外面移动办公时,使用服务器的互联网IP地址访问服务器

3、将客户路由器中的nat配置迁移至USG6680防火墙上,这样即使访问时来回路径不一致,但网络可以正常通信。

建议与总结

1、要足够的了解客户的网络部署情况,这样在处理相关网络问题时会更及时

2、部署网络时,方案要做的全面、细致,考虑到可能会出现问题的没一个细节


END