[Serie de resolución de problemas] caso 29 Política NAT no funciona como se esperaba

127 0 0 0

Topología de red física


005220lwg2ndwmbdw42kaj.png?image.png

 

Descripción de la red:

El servidor FTP pertenece a la intranet. Una vez configurado el servidor NAT en el firewall, el servidor FTP puede proporcionar servicios de Internet para el servidor.

El firewall puede proporcionar la política NAT de origen para implementar el inter funcionamiento entre la intranet y la extranet.

Todo el tráfico se reenvía a través del sistema virtual llamado prueba. La dirección IP privada del servidor FTP es 192.168.8.1 y la dirección IP pública del servidor FTP es 202.7.8.2

Descripcion de la Falla

El servidor FTP no pudo hacer ping al Gateway.

<R5U9-USG660> ping 202.7.8.254 
  PING 202.7.8.254: 56  data bytes, press CTRL_C to break 
  Request time out 
  Request time out 


  --- 202.7.8.254 ping statistics --- 
  2 packet(s) transmitted 
  0 packet(s) received 
  100.00% packet loss

Archivos de Configuracion

l   Servidor FTP


ospf 1 
 area 0.0.0.0 
  network 192.168.8.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit                            
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 

l   FW


interface GigabitEthernet1/0/0 
 undo shutdown 
 ip binding vpn-instance test 
 ip address 192.168.8.254 255.255.255.0 
 pim dm 
 service-manage ping permit 

interface GigabitEthernet1/0/7 
 undo shutdown 
 ip binding vpn-instance test 
 ip address 202.7.8.1 255.255.255.0 
 pim dm 
 service-manage ping permit 

 undo shutdown 
 lldp enable                               
 lldp tlv-enable basic-tlv all 

ospf 1 vpn-instance test 
 area 0.0.0.0                              
  network 192.168.8.0 0.0.0.255 
  network 202.7.8.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

security-policy 
 default action permit                     
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 

nat address-group internet 0 
 mode pat 
 section 0 202.7.8.3 202.7.8.3 

 slb 

security-policy 
 rule name trust_to_untrust 
  source-zone trust 
  destination-zone untrust 
  source-address 202.7.8.3 0.0.0.0 
  action permit 
 rule name untrust_to_trust 
  source-zone untrust 
  destination-zone trust 
  destination-address 192.168.8.0 0.0.0.255 
  action permit 
 rule name local_to_zone 
  source-zone local                        
  action permit 

nat-policy 
 rule name to_internet 
  source-zone trust 
  destination-zone untrust 
  action nat address-group internet 

 nat server ftp_server 0 protocol icmp global 202.7.8.2 inside 192.168.8.1 

l   Gateway


ospf 1 
 area 0.0.0.0 
  network 202.7.8.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 

Procedimiento de resolución de problemas                               

Paso 1      Hacer ping al servidor ftp con la IP publica desde el gateway.

<R6U21-USG6600> ping 202.7.8.2 
  PING 202.7.8.2: 56  data bytes, press CTRL_C to break 
    Reply from 202.7.8.2: bytes=56 Sequence=1 ttl=254 time=4 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=2 ttl=254 time=2 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=3 ttl=254 time=2 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=4 ttl=254 time=2 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=5 ttl=254 time=2 ms 
 
  --- 202.7.8.2 ping statistics --- 
    5 packet(s) transmitted 
    5 packet(s) received 
    0.00% packet loss 
    round-trip min/avg/max = 2/2/4 ms

Ejecute el comando y verifique la tabla de sesiones en el firewall, y el servidor NAT está funcionando y el servicio está bien.

<R5U22-USG6600-test> display firewall session table verbose protocol icmp 
  Current Total Sessions : 1                                                      
  icmp  VPN: test --> test  ID: a58f3fe91023015aa15344e75b                    
  Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:19 
  Recv Interface: GigabitEthernet1/0/7  NextHop: 192.168.8.1  MAC: a08c-f8a9-5786 
  <--packets:5 bytes:420   -->packets:5 bytes:420                                
  202.7.8.254:43997 -->202.7.8.2:2048[192.168.8.1:2048] PolicyName: untrust_to_trust    

                               Paso 2      Verificar la conectividad entre el servidor FTP y el gateway.

[R5U9-USG6600] ping 202.7.8.254 
   PING 202.7.8.254 : 56  data bytes, press CTRL_C to break 
   Request time out 
   Request time out 
   Request time out 
   Request time out 
   Request time out 
   --- 202.7.8.254  ping statistics --- 
   5 packet(s) transmitted 
   0 packet(s) received 
   100.00% packet loss

La prueba de ping fallo.

                               Paso 3      Verifique la tabla de sesiones en el firewall.

<R5U22-USG6600-test> display firewall session table verbose protocol icmp 
 current Total Sessions : 0

No hay sesión aquí. También las estadísticas de tráfico. Las reglas ACL deben configurarse en el sistema virtual y en las estadísticas de tráfico en el sistema público.

[R5U22-USG6600-test] acl 3333 
[R5U22-USG6600-test-acl-adv-3333] dispaly this 

acl number 3333 
 rule 5 permit icmp 

return

Vea las estatisdisticas después de esperar unos minutos, los detalles del descarte muestran que la política de seguridad predeterminada niega el paquete.

<R5U22-USG6600> system-view 
[R5U22-USG6600] diagnose 
[R5U22-USG6600-diagnose] display firewall statistics acl 
... 
 Protocol(ICMP) SourceIp(192.168.8.1) DestinationIp(202.7.8.254)                        
 SourcePort(44000) DestinationPort(2048) VpnIndex(test)                           
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag         
 Obverse(pkts) : 2           0           0           2           0               
 Reverse(pkts) : 1           0           1           0           0               
 Discard detail information:  
  Packet default filter packets discarded:      2  
 
 ICMP packet detail information: 
  ICMP_ECHO                      :     2 
...

                               Paso 4      Verifique la política de seguridad en el firewall.


security-policy 
 rule name trust_to_untrust 
  source-zone trust 
  destination-zone untrust 
  source-address 202.7.8.3 0.0.0.0 
  action permit 
 rule name untrust_to_trust 
  source-zone untrust 
  destination-zone trust 
  destination-address 192.168.8.0 0.0.0.255 
  action permit 
 rule name local_to_zone 
  source-zone local                        
  action permit

Causa Raiz

DC1 y DC2 son la misma red, necesitamos utilizar la función que los paquetes y paquetes de respuesta deben ser transferidos en la misma interfaz, y otra función de PBR Estas dos funciones pueden hacer que la interfaz de salida del paquete y la interfaz de salida del paquete inverso sean correctas.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje