USG6370(V100R001C30SPC300版本)地址映射不通故障

发布时间:  2017-03-08 浏览次数:  110 下载次数:  0
问题描述
组网:服务器-------防火墙(网关)-------外网。 服务器的网关在防火墙的vlanif1上,在防火墙上做地址映射:nat server TCP1436 protocol tcp global X.51.62.101 1436 inside 192.168.1.27 1436
故障描述:外网通过公网地址访问内部服务器失败,内网用户通过内网地址访问此端口没有问题,防火墙上ping内网服务器也是通的。
处理过程
外网设备访问防火墙的时候设备上采集会话查看有会话显示,来回都有数据包,地址也做了转换,但是安全区域显示trust到trust,显示异常;

然后查看设备的地址映射表显示正常:

再次重新登录设备查看双向会话显示回包的时候出接口不正确,外网接口应该是GE1/0/0但是出去的数据走了GE1/0/2,而且下一跳地址为0.0.0.0,说明反向报文没有走三层转发,走了二层转发了。

在防火墙上查看路由信息,显示到27.27.19.231出接口是GE1/0/0:

怀疑是服务器数据转发问题,检查服务器的数据回包情况。正常情况下,服务器的回包数据mac地址应该是使vlanif1的mac地址,查看vlanif的mac地址为:XXXX-7c32-f3d0;

防火墙上抓包查看服务器的实际回应的数据的mac地址却不是这个mac地址,报文中的目的MAC:XXXX-d7e7-9d1a,说明服务器没有正确的回包,应该是服务器网关设置问题,或者是服务器的arp表或者mac地址表异常导致;

后续排查服务器的设置,发现服务器网关设置错误导致,修改服务器的网关设置后正常。

根因

为何外网进来的数据会话信息安全区域显示trust ->trust,来回并且都有数:服务器回程报文走了二层,从G1/0/2出去,而G1/0/2trust域,所以把会话方向刷新成trust ->trust了。由于服务器的地址和防火墙上vlanif1地址在相同网段,防火墙上直接测试服务器的联通性没有问题,就比较容易忽略内网的路由设置问题。


解决方案
内网服务器设置网关错误,服务器数据回到包到防火墙的时候走了二层转发,数据走了另外的接口了,导致数据不通,会话异常,修改服务器网关为防火墙的vlanif1地址后解决。
建议与总结
建议查看会话的时候可以多看双向会话信息。

END