技术文档
当前位置:技术文档

USG6650E系列防火墙Nat Server故障排查

来源:未知 时间:2022-08-30 10:44
 

  设备型号:USG6650E,版本: V600R007C20SPC300

  组网概述:USG6650E系列和腾讯云通过Ipsec VPN对接,承载的是云南省卫健委的核酸查询业务。当前正式业务10.210.161.170-173可正常使用,但是测试业务(10.210.161.190)通过NAT转换后,网络不通。

  1、先本地ping 10.210.161.190测试机,不通。

  2、通过观察会话发现策略命中了,有去包4个,无回复包。检查路由,路由正确。但是,Global--inside的转换没有生效。继续排查发现server-map表中,NAT转换是生效了的。

  3、拉通二线、研发排查,发现zone trust限定了仅为入放行zone trust的才发布,为其他zone的NAT映射不生效。修改端口映射为:

  nat server zone trust global 10.210.161.190 inside 10.190.50.17 description To_WJW_Test //原错误的端口映射

  nat server global 10.210.161.190 inside 10.190.50.17 description To_WJW_Test //修改后的端口映射

  4、发现去掉了zone后,地址能通了,故障排除。

  根因

  nat server zone trust global 10.210.161.190 inside 10.190.50.17 description To_WJW_Test //原错误的端口映射

  这条端口映射指定:入方向请求的zone必须是trust域进来的流量,才会发生global源为trust,inside域为any的NAT转换

  nat server global 10.210.161.190 inside 10.190.50.17 description To_WJW_Test //修改后的端口映射

  这条端口映射:入方向请求的zone为any域,inside域为any,只要匹配,就发生NAT转换。

  解决方案

  去掉nat server 后面的zone限制后问题解决。

  建议与总结

  1、当nat server后的zone确定时,指定zone可以缩减通信范围。

  2、当nat server后的zone不确定时,不指定zone(不考虑zone)可以快速排查nat server类的故障。


上一篇:H3C MSR5660路由器双路供电时掉电一路后触发整机重启一例
下一篇:思科防火墙系列市场销售受欢迎产品简介
蜀ICP备2020034250号-1   川公网安备 51010802000119号 keywords:成都H3C 成都H3C

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服