[Série de diagnostique] Cas 29 La stratégie NAT ne fonctionne pas comme prévu

39 0 0 0

Topologie de réseau physique

134355sxm4b4csd4b4walh.png

 

Description du réseau:

Le serveur FTP appartient à l'intranet. Une fois le serveur NAT configuré sur le pare-feu, le serveur FTP peut fournir des services Internet au serveur.

Le pare-feu peut fournir la stratégie NAT source pour implémenter un interfonctionnement entre l'intranet et l'extranet.

Tout le trafic est transféré via le système virtuel nommé test. L'adresse IP privée du serveur FTP est 192.168.8.1 et l'adresse IP publique du serveur FTP est 202.7.8.2.

Description du défaut

Le serveur FTP n'a pas réussi à envoyer une requête ping à la passerelle.

<R5U9-USG660> ping 202.7.8.254 
  PING 202.7.8.254: 56  data bytes, press CTRL_C to break 
  Request time out 
  Request time out 


  --- 202.7.8.254 ping statistics --- 
  2 packet(s) transmitted 
  0 packet(s) received 
  100.00% packet loss

Fichiers de configuration

l    Serveur ftp


ospf 1 
 area 0.0.0.0 
  network 192.168.8.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit                            
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 

l    FW


interface GigabitEthernet1/0/0 
 undo shutdown 
 ip binding vpn-instance test 
 ip address 192.168.8.254 255.255.255.0 
 pim dm 
 service-manage ping permit 

interface GigabitEthernet1/0/7 
 undo shutdown 
 ip binding vpn-instance test 
 ip address 202.7.8.1 255.255.255.0 
 pim dm 
 service-manage ping permit 

 undo shutdown 
 lldp enable                               
 lldp tlv-enable basic-tlv all 

ospf 1 vpn-instance test 
 area 0.0.0.0                              
  network 192.168.8.0 0.0.0.255 
  network 202.7.8.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

security-policy 
 default action permit                     
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 

nat address-group internet 0 
 mode pat 
 section 0 202.7.8.3 202.7.8.3 

 slb 

security-policy 
 rule name trust_to_untrust 
  source-zone trust 
  destination-zone untrust 
  source-address 202.7.8.3 0.0.0.0 
  action permit 
 rule name untrust_to_trust 
  source-zone untrust 
  destination-zone trust 
  destination-address 192.168.8.0 0.0.0.255 
  action permit 
 rule name local_to_zone 
  source-zone local                        
  action permit 

nat-policy 
 rule name to_internet 
  source-zone trust 
  destination-zone untrust 
  action nat address-group internet 

 nat server ftp_server 0 protocol icmp global 202.7.8.2 inside 192.168.8.1 

l    passerelle


ospf 1 
 area 0.0.0.0 
  network 202.7.8.0 0.0.0.255 

ip route-static 0.0.0.0 0.0.0.0 10.220.6.1 

security-policy 
 default action permit 
 rule name trust_to_local 
  source-zone trust 
  destination-zone local 
  action permit 
 rule name local_to_trust 
  source-zone local 
  destination-zone trust 
  action permit 

Procédure de dépannage

                               Étape 1       Ping du serveur ftp avec l’IP publique de la passerelle.

<R6U21-USG6600> ping 202.7.8.2 
  PING 202.7.8.2: 56  data bytes, press CTRL_C to break 
    Reply from 202.7.8.2: bytes=56 Sequence=1 ttl=254 time=4 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=2 ttl=254 time=2 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=3 ttl=254 time=2 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=4 ttl=254 time=2 ms 
    Reply from 202.7.8.2: bytes=56 Sequence=5 ttl=254 time=2 ms 
 
  --- 202.7.8.2 ping statistics --- 
    5 packet(s) transmitted 
    5 packet(s) received 
    0.00% packet loss 
    round-trip min/avg/max = 2/2/4 ms

Exécutez la commande Vérifiez la table de session sur le pare-feu, le serveur NAT fonctionne et le service est correct.

<R5U22-USG6600-test> display firewall session table verbose protocol icmp 
  Current Total Sessions : 1                                                      
  icmp  VPN: test --> test  ID: a58f3fe91023015aa15344e75b                    
  Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:19 
  Recv Interface: GigabitEthernet1/0/7  NextHop: 192.168.8.1  MAC: a08c-f8a9-5786 
  <--packets:5 bytes:420   -->packets:5 bytes:420                                
  202.7.8.254:43997 -->202.7.8.2:2048[192.168.8.1:2048] PolicyName: untrust_to_trust    

                               Étape 2       Vérifiez la connectivité entre le serveur FTP et la passerelle.

[R5U9-USG6600] ping 202.7.8.254 
   PING 202.7.8.254 : 56  data bytes, press CTRL_C to break 
   Request time out 
   Request time out 
   Request time out 
   Request time out 
   Request time out 
   --- 202.7.8.254  ping statistics --- 
   5 packet(s) transmitted 
   0 packet(s) received 
   100.00% packet loss

Le test de ping a échoué.

                               Étape 3       Vérifiez la table de session sur le pare-feu.

<R5U22-USG6600-test> display firewall session table verbose protocol icmp 
 current Total Sessions : 0

Il n'y a pas de session ici. Il en va de même pour les statistiques de trafic. Les règles Acl doivent être configurées dans un système virtuel et les statistiques de trafic dans un système public.

[R5U22-USG6600-test] acl 3333 
[R5U22-USG6600-test-acl-adv-3333] dispaly this 

acl number 3333 
 rule 5 permit icmp 

return

Afficher les statistiques après quelques minutes d’attente, les détails de la suppression indiquent que la stratégie de sécurité par défaut refuse le paquet.

<R5U22-USG6600> system-view 
[R5U22-USG6600] diagnose 
[R5U22-USG6600-diagnose] display firewall statistics acl 
... 
 Protocol(ICMP) SourceIp(192.168.8.1) DestinationIp(202.7.8.254)                        
 SourcePort(44000) DestinationPort(2048) VpnIndex(test)                           
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag         
 Obverse(pkts) : 2           0           0           2           0               
 Reverse(pkts) : 1           0           1           0           0               
 Discard detail information:  
  Packet default filter packets discarded:      2  
 
 ICMP packet detail information: 
  ICMP_ECHO                      :     2 
...

                               Étape 4       Vérifiez la politique de sécurité sur le pare-feu.


security-policy 
 rule name trust_to_untrust 
  source-zone trust 
  destination-zone untrust 
  source-address 202.7.8.3 0.0.0.0 
  action permit 
 rule name untrust_to_trust 
  source-zone untrust 
  destination-zone trust 
  destination-address 192.168.8.0 0.0.0.255 
  action permit 
 rule name local_to_zone 
  source-zone local                        
  action permit

Cause première

DC1 et DC2 sont le même réseau, nous devons utiliser la fonction qui consiste à transférer les paquets et les paquets de réponse sur la même interface, ainsi qu’une autre fonction de PBR. Ces deux fonctions peuvent corriger l'interface de sortie du paquet et l'interface de sortie du paquet inverse.


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier