USG6650E系列防火墻Nat Server故障排查

發(fā)布時(shí)間：2024-04-04

設(shè)備型號(hào)：usg6650e，版本： v600r007c20spc300
組網(wǎng)概述：usg6650e系列和騰訊云通過ipsec vpn對(duì)接，承載的是云南省的核酸查詢業(yè)務(wù)。當(dāng)前正式業(yè)務(wù)10.210.161.170-173可正常使用，但是測(cè)試業(yè)務(wù)(10.210.161.190)通過nat轉(zhuǎn)換后，網(wǎng)絡(luò)不通。
1、先本地ping 10.210.161.190測(cè)試機(jī)，不通。
2、通過觀察會(huì)話發(fā)現(xiàn)策略命中了，有去包4個(gè)，無回復(fù)包。檢查路由，路由正確。但是，global--inside的轉(zhuǎn)換沒有生效。繼續(xù)排查發(fā)現(xiàn)server-map表中，nat轉(zhuǎn)換是生效了的。
3、拉通二線、研發(fā)排查，發(fā)現(xiàn)zone trust限定了僅為入放行zone trust的才發(fā)布，為其他zone的nat映射不生效。修改端口映射為：
nat server zone trust global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //原錯(cuò)誤的端口映射
nat server global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //修改后的端口映射
4、發(fā)現(xiàn)去掉了zone后，地址能通了，故障排除。
根因
nat server zone trust global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //原錯(cuò)誤的端口映射
這條端口映射：入方向請(qǐng)求的zone必須是trust域進(jìn)來的流量，才會(huì)發(fā)生global源為trust，inside域?yàn)閍ny的nat轉(zhuǎn)換
nat server global 10.210.161.190 inside 10.190.50.17 description to_wjw_test //修改后的端口映射
這條端口映射：入方向請(qǐng)求的zone為any域，inside域?yàn)閍ny，只要匹配，就發(fā)生nat轉(zhuǎn)換。
解決方案
去掉nat server 后面的zone限制后問題解決。
建議與總結(jié)
1、當(dāng)nat server后的zone確定時(shí)，zone可以縮減通信范圍。
2、當(dāng)nat server后的zone不確定時(shí)，不zone(不考慮zone)可以快速排查nat server類的故障。