Topología de red física
Descripción de la red:
El servidor FTP pertenece a la intranet. Una vez configurado el servidor NAT en el firewall, el servidor FTP puede proporcionar servicios de Internet para el servidor.
El firewall puede proporcionar la política NAT de origen para implementar el inter funcionamiento entre la intranet y la extranet.
Todo el tráfico se reenvía a través del sistema virtual llamado prueba. La dirección IP privada del servidor FTP es 192.168.8.1 y la dirección IP pública del servidor FTP es 202.7.8.2
Descripcion de la Falla
El servidor FTP no pudo hacer ping al Gateway.
<R5U9-USG660> ping 202.7.8.254
PING 202.7.8.254: 56 data bytes, press CTRL_C to break
Request time out
Request time out
--- 202.7.8.254 ping statistics ---
2 packet(s) transmitted
0 packet(s) received
100.00% packet loss
Archivos de Configuracion
l Servidor FTP
#
ospf 1
area 0.0.0.0
network 192.168.8.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
l FW
#
interface GigabitEthernet1/0/0
undo shutdown
ip binding vpn-instance test
ip address 192.168.8.254 255.255.255.0
pim dm
service-manage ping permit
#
interface GigabitEthernet1/0/7
undo shutdown
ip binding vpn-instance test
ip address 202.7.8.1 255.255.255.0
pim dm
service-manage ping permit
#
undo shutdown
lldp enable
lldp tlv-enable basic-tlv all
#
ospf 1 vpn-instance test
area 0.0.0.0
network 192.168.8.0 0.0.0.255
network 202.7.8.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
nat address-group internet 0
mode pat
section 0 202.7.8.3 202.7.8.3
#
slb
#
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 202.7.8.3 0.0.0.0
action permit
rule name untrust_to_trust
source-zone untrust
destination-zone trust
destination-address 192.168.8.0 0.0.0.255
action permit
rule name local_to_zone
source-zone local
action permit
#
nat-policy
rule name to_internet
source-zone trust
destination-zone untrust
action nat address-group internet
#
nat server ftp_server 0 protocol icmp global 202.7.8.2 inside 192.168.8.1
#
l Gateway
#
ospf 1
area 0.0.0.0
network 202.7.8.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
Procedimiento de resolución de problemas
Paso 1 Hacer ping al servidor ftp con la IP publica desde el gateway.
<R6U21-USG6600> ping 202.7.8.2
PING 202.7.8.2: 56 data bytes, press CTRL_C to break
Reply from 202.7.8.2: bytes=56 Sequence=1 ttl=254 time=4 ms
Reply from 202.7.8.2: bytes=56 Sequence=2 ttl=254 time=2 ms
Reply from 202.7.8.2: bytes=56 Sequence=3 ttl=254 time=2 ms
Reply from 202.7.8.2: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 202.7.8.2: bytes=56 Sequence=5 ttl=254 time=2 ms
--- 202.7.8.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/2/4 ms
Ejecute el comando y verifique la tabla de sesiones en el firewall, y el servidor NAT está funcionando y el servicio está bien.
<R5U22-USG6600-test> display firewall session table verbose protocol icmp
Current Total Sessions : 1
icmp VPN: test --> test ID: a58f3fe91023015aa15344e75b
Zone: untrust--> trust TTL: 00:00:20 Left: 00:00:19
Recv Interface: GigabitEthernet1/0/7 NextHop: 192.168.8.1 MAC: a08c-f8a9-5786
<--packets:5 bytes:420 -->packets:5 bytes:420
202.7.8.254:43997 -->202.7.8.2:2048[192.168.8.1:2048] PolicyName: untrust_to_trust
Paso 2 Verificar la conectividad entre el servidor FTP y el gateway.
[R5U9-USG6600] ping 202.7.8.254
PING 202.7.8.254 : 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 202.7.8.254 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
La prueba de ping fallo.
Paso 3 Verifique la tabla de sesiones en el firewall.
<R5U22-USG6600-test> display firewall session table verbose protocol icmp
current Total Sessions : 0
No hay sesión aquí. También las estadísticas de tráfico. Las reglas ACL deben configurarse en el sistema virtual y en las estadísticas de tráfico en el sistema público.
[R5U22-USG6600-test] acl 3333
[R5U22-USG6600-test-acl-adv-3333] dispaly this
#
acl number 3333
rule 5 permit icmp
#
return
Vea las estatisdisticas después de esperar unos minutos, los detalles del descarte muestran que la política de seguridad predeterminada niega el paquete.
<R5U22-USG6600> system-view
[R5U22-USG6600] diagnose
[R5U22-USG6600-diagnose] display firewall statistics acl
...
Protocol(ICMP) SourceIp(192.168.8.1) DestinationIp(202.7.8.254)
SourcePort(44000) DestinationPort(2048) VpnIndex(test)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 2 0 0 2 0
Reverse(pkts) : 1 0 1 0 0
Discard detail information:
Packet default filter packets discarded: 2
ICMP packet detail information:
ICMP_ECHO : 2
...
Paso 4 Verifique la política de seguridad en el firewall.
#
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 202.7.8.3 0.0.0.0
action permit
rule name untrust_to_trust
source-zone untrust
destination-zone trust
destination-address 192.168.8.0 0.0.0.255
action permit
rule name local_to_zone
source-zone local
action permit
Causa Raiz
DC1 y DC2 son la misma red, necesitamos utilizar la función que los paquetes y paquetes de respuesta deben ser transferidos en la misma interfaz, y otra función de PBR Estas dos funciones pueden hacer que la interfaz de salida del paquete y la interfaz de salida del paquete inverso sean correctas.