所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

由于NAT Server配置不正确导致外网无法访问设备WEB页面

发布时间:  2019-07-04 浏览次数:  585 下载次数:  0

问题描述

组网如图所示,设备上已经开启了WEB管理功能和Telnet功能,从Trust区域能够正常访问WEB管理页面,并进行管理操作。
尝试从外网(Untrust区域)远程登录设备WEB管理页面,无法登录,浏览器提示打不开页面
 

告警信息

处理过程

步骤 1     检查Untrust域到Local域方向上的域间包过滤规则是否开启。检查后发现Untrust域到Local域的默认包过滤规则为允许,即允许从Untrust域访问设备,排除原因一。
步骤 2检查网络连接状况。
  1. 在外网PC上Ping与外网相连的设备接口IP地址X.X.251.14,结果可以Ping通,说明网络连接正常,排除原因二。
  2. 在外网使用同样的IP地址Telnet登录设备,同样无法登录,需要进一步检查设备配置问题。
步骤 3检查设备NAT相关配置。
  1. 执行display current-configuration检查设备配置信息。
检查到NAT配置时,发现存在如下配置项:
nat server global X.X.251.14 inside 10.195.7.21
 X.X.251.14是设备与外网连接的接口IP地址,这里被配置成为服务器对外提供的公网地址。因此,在外网使用PC访问此IP地址,都被设备做了地址映射到10.195.7.21对应的主机上,实际并没有访问设备本身,提示无法打开WEB页面。
  1. 修改NAT Server的配置。
    1. 执行命令undo nat server global X.X.251.14 inside 10.195.7.21删除该配置。
    2. 执行命令nat server globalglobal-addressinside 10.195.7.21重新配置NAT Server,global-address不能为设备接口IP地址。

根因

  • 原因一:Untrust域和Local域的域间包过滤策略为禁止。
  • 原因二:网络连接问题。
  • 原因三:NAT配置问题。

建议与总结

当从外网无法访问设备时,除了检查包过滤是否打开,还应该注意设备配置的NAT Server的出口IP地址和设备接口的IP地址是否一致。

END