組網(wǎng)及說(shuō)明
組網(wǎng)見(jiàn)圖
問(wèn)題描述現(xiàn)場(chǎng)服務(wù)器位于外網(wǎng)��,終端位于內(nèi)網(wǎng)��,內(nèi)網(wǎng)和外網(wǎng)之間有實(shí)時(shí)的?;钚詧?bào)文��,由內(nèi)網(wǎng)發(fā)起;
外網(wǎng)主動(dòng)訪問(wèn)內(nèi)網(wǎng)的時(shí)候���,經(jīng)過(guò)nat ser轉(zhuǎn)換�,現(xiàn)場(chǎng)業(yè)務(wù)外訪內(nèi)不通;
現(xiàn)場(chǎng)使用的端口均為7100.
過(guò)程分析1、內(nèi)網(wǎng)出防火墻1/0/1口時(shí)源地址轉(zhuǎn)換成2.2.2.2�,此時(shí)的會(huì)話:
dis session table ipv4 source-ip 4.4.4.4 source-port 7100 verbose
Slot 1:
Initiator:
Source IP/port: 4.4.4.4/7100
Destination IP/port: 3.3.3.3/7100
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: xxxx
Source security zone: Trust
Responder:
Source IP/port: 3.3.3.3/7100
Destination IP/port: 2.2.2.2/43315
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: 1/0/1
Source security zone: Untrust
State: UDP_READY
Application: GENERAL_UDP
Start time: 2021-02-28 14:13:10 TTL: 55s
Initiator->Responder: 43744 packets 31768666 bytes
Responder->Initiator: 43740 packets 15821328 bytes
可以看出保活性的報(bào)文的會(huì)話
此時(shí)如果外網(wǎng)3.3.3.3也發(fā)起會(huì)話:sou ip 3.3.3.3/7100 -- des ip 1.1.1.1/7100
建會(huì)話的時(shí)候�,會(huì)和保活性的報(bào)文的會(huì)話沖突�����,因?yàn)闆_整體來(lái)看���,都是3.3.3.3訪問(wèn)4.4.4.4����,或者相反��,端口號(hào)也完全一致���。
解決方法去掉1/0/1上的nat outbound���,即保活性的報(bào)文不轉(zhuǎn)NAT
在NAT ser glo 1.1.1.1 in 4.4.4.4 rever�,把內(nèi)外網(wǎng)相會(huì)訪問(wèn)的會(huì)話統(tǒng)一成為一個(gè)����,但是這種也有風(fēng)險(xiǎn)����,nat ser轉(zhuǎn)換端口不保證100%成功�,
較好的辦法就是使用靜態(tài)nat,保證是一個(gè)會(huì)話���,而且端口100%轉(zhuǎn)換成功�。
