拓扑:不涉及
设备型号/软件版本: MSR 5600系列路由器 / R0707系列版本
设备部署NAT Server功能,需要外网用户通过访问公网接口IP地址3389端口,进而登陆内网远程服务器。
关键配置如下:
#
interface GigabitEthernet2/0/2
port link-mode route
combo enable copper
ip address 192.165.x.x 255.255.255.240
nat outbound 3000
nat server protocol tcp global current-interface 3389 inside 192.168.y.y 3389 counting //已部署NAT Server功能
nat static enable
#
通过上述方式部署后,发现外网用户无法访问内网服务器。
在 MSR 设备上,开启debug ip packet 观察 MS R设备报文处理情况。发现 MSR 设备收到了外网终端的请求报文,但是没有将相关报文进行NAT地址转发,发向内部服务器。
*Oct 10 23:02:35:169 2019 MSR5660 IPFW/7/IPFW_PACKET: -Slot=2;
Receiving, interface = GigabitEthernet2/0/2
version = 4, headlen = 20, tos = 0
pktlen = 52, pktid = 5622, offset = 0, ttl = 128, protocol = 6
checksum = 10105, s = 192.165.z.z, d = 192.165.x.x //其中 192.165.z.z为外网终端IP,192.165.x.x为MSR外网接口IP
channelID = 0, vpn-InstanceIn = 0, vpn-InstanceOut = 0.
prompt: Receiving IP packet from interface GigabitEthernet2/0/2.
Payload: TCP
source port = 60519, destination port = 3389
sequence num = 0x2c5da225, acknowledgement num = 0x00000000, flags = 0x2
window size = 8192, checksum = 0xc999, header length = 32.
通过上述排查后,确认故障位于 MSR 设备上。检查MSR 56设备使用的软件版本:Release 0707P19,发现存在如下特性:
”对于NAT(Network Address Translation,网络地址转换)、ASPF(Advanced Stateful Packet Filter,高级状态包过滤)、攻击检测及防范等基于会话进行处理的业务,关闭快速转发功能会导致这些功能失效。”
http://www.h3c.com/cn/d_201910/1233024_30005_0.htm#_Toc19717085“
检查故障 MSR 设备配置,发现管理员确实关闭了快速转发功能,及:
#
undo ip fast-forwarding enable
#
因此需将相关配置进行调整。
在故障 MSR 设备上使能快速转发功能,问题解决。
[H3C] ip fast-forwarding enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作