USG9500(V3R1)NAT转换部分错误

发布时间:  2017-04-28 浏览次数:  138 下载次数:  0
问题描述

NAT转换部分没有按照要求转换,路由信息,nat会话信息,如图:




处理过程

1、排查nat配置,配置如下:

nat address-group y xxx

 mode full-cone global

 status active

 section 10 110.x.x.64 110.x.x.191

nat address-group z xxx

 mode full-cone global

 status active

 section 11 182.x.x.5 182.x.x.254  

2、排查中发现,nat地址池mode使用的是global,使用global的话会生成的server-map表示不包含区域的,所以这就是问题所在,关于mode的解释如下图:



根因

NAT策略中,地址池的应用模式配置为全局三元组模式。报文A命中NAT策略后,建立会话和Server-Map表,然后把报文发送出去。Server-Map表是由全局的三元组NAT生成,不包含安全区域参数。
流量A断了之后,同样的源IP地址与端口发送报文B。这时候之前生成的Server-Map表还没有老化,报文B通过查找Server-Map表与之匹配,然后按照地址映射关系进行地址转换。
从结果上看,导致地址转换有误的现象发生。

解决方案

将地址池的应用模式从全局三元组模式修改为本地三元组模式:modefull-cone local.
配置为本地三元组模式后,生成的Server-Map表中包含安全区域参数,受域间关系限制,不会导致不同安全域之间发生互串的现象,两个地址池的模式都需要修改。  

END