PC ---- FW ---- Server
在防火墙上配置了nat server global A inside B 和 nat outbound address-group ,地址池地址是A地址
PC和Server双向访问(SIP)
上述nat server有一个源地址无法访问,其余源地址可以正常访问
写正向的ACL debug看,发现nat正常转,没有安全策略和阻断发生,看不到会话,故怀疑会话无法创建或者被异常删除
debug session session-table all acl xxx
发现无法创建的原因如下:
*Oct 14 18:17:06:012 2021 ZWWW_FireWall-1 SESSION/7/TABLE: -COntext=1;
Tuple5(EVENT): PC/7100-->A/7100(UDP(17)) //这里保护客户隐私,用如上的地址
Session entry was Add Hash failed.
发现正向会话创建失败,从而查看是否存在冲突会话
故查看反向nat outbound的会话
<FW>dis session table ipv4 source-ip SERVER destination-ip PC verbose
Slot 1:
Initiator:
Source IP/port: SERVER/7100
Destination IP/port: PC/7100
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Vlan-interface10
Source security zone: Trust
Responder:
Source IP/port: PC/7100
Destination IP/port: A/43810
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Vlan-interface101
Source security zone: Untrust
State: UDP_READY
Application: SIP
Rule ID: 18
Rule name: Դת»»
Start time: 2021-10-12 19:13:18 TTL: 7200s
Initiator->Responder: 71826 packets 79627254 bytes
Responder->Initiator: 71703 packets 27503156 bytes
发现如上标红的两个地方会话冲突了,导致正向会话无法创建
1. 更改源PC正向访问的端口号
2. 将nat server和nat outbound删掉,用nat static替代
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
debug session table看下,我的问题是创建不了会话,被aspf模块丢掉的