Topologie de réseau physique
Description du réseau:
Le serveur FTP appartient à l'intranet. Une fois le serveur NAT configuré sur le pare-feu, le serveur FTP peut fournir des services Internet au serveur.
Le pare-feu peut fournir la stratégie NAT source pour implémenter un interfonctionnement entre l'intranet et l'extranet.
Tout le trafic est transféré via le système virtuel nommé test. L'adresse IP privée du serveur FTP est 192.168.8.1 et l'adresse IP publique du serveur FTP est 202.7.8.2.
Description du défaut
Le serveur FTP n'a pas réussi à envoyer une requête ping à la passerelle.
<R5U9-USG660> ping 202.7.8.254
PING 202.7.8.254: 56 data bytes, press CTRL_C to break
Request time out
Request time out
--- 202.7.8.254 ping statistics ---
2 packet(s) transmitted
0 packet(s) received
100.00% packet loss
Fichiers de configuration
l Serveur ftp
#
ospf 1
area 0.0.0.0
network 192.168.8.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
l FW
#
interface GigabitEthernet1/0/0
undo shutdown
ip binding vpn-instance test
ip address 192.168.8.254 255.255.255.0
pim dm
service-manage ping permit
#
interface GigabitEthernet1/0/7
undo shutdown
ip binding vpn-instance test
ip address 202.7.8.1 255.255.255.0
pim dm
service-manage ping permit
#
undo shutdown
lldp enable
lldp tlv-enable basic-tlv all
#
ospf 1 vpn-instance test
area 0.0.0.0
network 192.168.8.0 0.0.0.255
network 202.7.8.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
nat address-group internet 0
mode pat
section 0 202.7.8.3 202.7.8.3
#
slb
#
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 202.7.8.3 0.0.0.0
action permit
rule name untrust_to_trust
source-zone untrust
destination-zone trust
destination-address 192.168.8.0 0.0.0.255
action permit
rule name local_to_zone
source-zone local
action permit
#
nat-policy
rule name to_internet
source-zone trust
destination-zone untrust
action nat address-group internet
#
nat server ftp_server 0 protocol icmp global 202.7.8.2 inside 192.168.8.1
#
l passerelle
#
ospf 1
area 0.0.0.0
network 202.7.8.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
Procédure de dépannage
Étape 1 Ping du serveur ftp avec l’IP publique de la passerelle.
<R6U21-USG6600> ping 202.7.8.2
PING 202.7.8.2: 56 data bytes, press CTRL_C to break
Reply from 202.7.8.2: bytes=56 Sequence=1 ttl=254 time=4 ms
Reply from 202.7.8.2: bytes=56 Sequence=2 ttl=254 time=2 ms
Reply from 202.7.8.2: bytes=56 Sequence=3 ttl=254 time=2 ms
Reply from 202.7.8.2: bytes=56 Sequence=4 ttl=254 time=2 ms
Reply from 202.7.8.2: bytes=56 Sequence=5 ttl=254 time=2 ms
--- 202.7.8.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/2/4 ms
Exécutez la commande Vérifiez la table de session sur le pare-feu, le serveur NAT fonctionne et le service est correct.
<R5U22-USG6600-test> display firewall session table verbose protocol icmp
Current Total Sessions : 1
icmp VPN: test --> test ID: a58f3fe91023015aa15344e75b
Zone: untrust--> trust TTL: 00:00:20 Left: 00:00:19
Recv Interface: GigabitEthernet1/0/7 NextHop: 192.168.8.1 MAC: a08c-f8a9-5786
<--packets:5 bytes:420 -->packets:5 bytes:420
202.7.8.254:43997 -->202.7.8.2:2048[192.168.8.1:2048] PolicyName: untrust_to_trust
Étape 2 Vérifiez la connectivité entre le serveur FTP et la passerelle.
[R5U9-USG6600] ping 202.7.8.254
PING 202.7.8.254 : 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 202.7.8.254 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
Le test de ping a échoué.
Étape 3 Vérifiez la table de session sur le pare-feu.
<R5U22-USG6600-test> display firewall session table verbose protocol icmp
current Total Sessions : 0
Il n'y a pas de session ici. Il en va de même pour les statistiques de trafic. Les règles Acl doivent être configurées dans un système virtuel et les statistiques de trafic dans un système public.
[R5U22-USG6600-test] acl 3333
[R5U22-USG6600-test-acl-adv-3333] dispaly this
#
acl number 3333
rule 5 permit icmp
#
return
Afficher les statistiques après quelques minutes d’attente, les détails de la suppression indiquent que la stratégie de sécurité par défaut refuse le paquet.
<R5U22-USG6600> system-view
[R5U22-USG6600] diagnose
[R5U22-USG6600-diagnose] display firewall statistics acl
...
Protocol(ICMP) SourceIp(192.168.8.1) DestinationIp(202.7.8.254)
SourcePort(44000) DestinationPort(2048) VpnIndex(test)
RcvnFrag RcvFrag Forward DisnFrag DisFrag
Obverse(pkts) : 2 0 0 2 0
Reverse(pkts) : 1 0 1 0 0
Discard detail information:
Packet default filter packets discarded: 2
ICMP packet detail information:
ICMP_ECHO : 2
...
Étape 4 Vérifiez la politique de sécurité sur le pare-feu.
#
security-policy
rule name trust_to_untrust
source-zone trust
destination-zone untrust
source-address 202.7.8.3 0.0.0.0
action permit
rule name untrust_to_trust
source-zone untrust
destination-zone trust
destination-address 192.168.8.0 0.0.0.255
action permit
rule name local_to_zone
source-zone local
action permit
Cause première
DC1 et DC2 sont le même réseau, nous devons utiliser la fonction qui consiste à transférer les paquets et les paquets de réponse sur la même interface, ainsi qu’une autre fonction de PBR. Ces deux fonctions peuvent corriger l'interface de sortie du paquet et l'interface de sortie du paquet inverse.
