某局点F1000防火墙配置出方向链路负载均衡NAT server不生效问题处理经验案例

不涉及

某局点配置防火墙出方向链路负载均衡，并配置NAT server后发现映射端口始终不生效。

1. 首先注意配置出方向链路负载和NAT server时应注意应该将映射流量确保转发到服务器上，原因是因为防火墙在入方向处理报文时，报文处理顺序为入方向NAT 优于LB inbound策略，经过NAT 转换之后的流量匹配到全0虚服务时之后就无法转发到内网而是被扔回运营商接口，所以要配置一个详细的ACL来匹配NAT之后的流量，让流量从内网接口出去到达服务器。

检查配置ACL 均单独配置并调用LB策略全部按路由表转发了。

 acl advanced 3100

 description NAT

 rule 1 deny ip source XXX.15 0 destination XXX 0

 rule 2 deny ip source XXX.15 0 destination XXX.69 0

 rule 3 deny ip source XXX.253 0 destination XXX.101 0

2. 检查display session 会话信息发现有访问内部服务器的流量而且也正常有回包。

3. 此时检查怀疑是否出方向NAT存在问题，后debug nat 相应信息发现回包流量并未正常命中nat server的原始会话。

检查出方向端口的nat 配置发现加了reversible参数， 此参数在该使用场景下表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时，将私网地址转换为内部服务器向外提供服务的外网IP地址。所以会导致本地内网服务器回流量给外网时直接走了类似于“nat outbound”，优于nat server会话。

nat server protocol tcp global XXX.92 8880 inside XXX.15 80 reversible