确认配置无误,策略没拦截后,如果策略确有匹配数但是不通,由于新架构特性,多半是路由问题导致的,但新架构有cli命令行工具,无需抓包分析数据流,直接看会话即可;
案例一:做双向地址转换,外网可以正常访问,但是内网无法访问,确认配置无误;
1、进入命令行,方法参考:
进入命令行方法,确认源目IP,输入show seesion 加源目IP
show session src-ip 192.168.250.150 dst-ip 180.167.20.23
![]()
2、根据数据流的期望走向(1口进1口出)分析会话,发现数据出防火墙时,数据转换都是正常的,但服务器的回包进入防火墙后,没有走会话从1口在发出,而是直接发到5口上去了;
3、与研发确认,新架构回包不会匹配会话,会重新匹配一次路由,而新架构策略路由优先级比静态高,便导致回包匹配了上网的策略路由发向了5口;
4、如上分析:回包数据未源进源出导致内网访问不通,勾选1口上的逆向路由后,地址映射正常;
PS:
新架构接口没有勾选逆向路由的话,数据在首包创建会话时,反向路由就已经查完了,不会直接默认源进源出
![]()
案例二:做双向地址转换,外网可以正常访问,但是内网无法访问,确认配置无误,且接口勾选了逆向路由;
1、直接使用show session发现访问的数据包直接走了公网口,没有进内网口;
2、检查路由发现客户是默认的路由优先级:策略路由大于静态路由;
3、内网的服务器与内网口不在同一个网段,是通过静态路由指路的,但客户又配置了策略路由上网,导致内网访问地址转换的数据直接发到公网了;
4、调整路由优先级解决:
PS:或者内网的路由也指策略路由
发表于 2023-7-3 21:11
