组网及说明
组网见图
问题描述现场服务器位于外网,终端位于内网,内网和外网之间有实时的保活性报文,由内网发起;
外网主动访问内网的时候,经过nat ser转换,现场业务外访内不通;
现场使用的端口均为7100.
过程分析1、内网出防火墙1/0/1口时源地址转换成2.2.2.2,此时的会话:
Slot 1:
Initiator:
Source IP/port: 4.4.4.4/7100
Destination IP/port: 3.3.3.3/7100
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: xxxx
Source security zone: Trust
Responder:
Source IP/port: 3.3.3.3/7100
Destination IP/port: 2.2.2.2/43315
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: 1/0/1
Source security zone: Untrust
State: UDP_READY
Application: GENERAL_UDP
Start time: 2021-02-28 14:13:10 TTL: 55s
Initiator->Responder: 43744 packets 31768666 bytes
Responder->Initiator: 43740 packets 15821328 bytes
可以看出保活性的报文的会话
此时如果外网3.3.3.3也发起会话:sou ip 3.3.3.3/7100 -- des ip 1.1.1.1/7100
建会话的时候,会和保活性的报文的会话冲突,因为冲整体来看,都是3.3.3.3访问4.4.4.4,或者相反,端口号也完全一致。
解决方法去掉1/0/1上的nat outbound,即保活性的报文不转NAT
在NAT ser glo 1.1.1.1 in 4.4.4.4 rever,把内外网相会访问的会话统一成为一个,但是这种也有风险,nat ser转换端口不保证100%成功,
较好的办法就是使用静态nat,保证是一个会话,而且端口100%转换成功。