防火墙配置NAT,组网简化为如下:
浏览器---核心---防火墙---光猫---公网---
不涉及
防火墙多出口配置NAT,连接光猫。经过防火墙打开公积金界面显示异常。不经过该防火墙,从其他路径公网直接访问则无问题。
开始看到这个问题,判断可能是网站服务器对于请求的host有校验,类似于如下问题:
问题排查一般要抓包看一下客户端和服务器的交互从而判断问题。于是让现场抓包确认,抓取NAT前后的报文,方式可以参考如下案例:
从抓包可以看出,终端访问网页跳转的时候重新发起了一个连接请求,请求的目的端口为9445。如图所示:
但是,网站服务器直接回应RST,直接回应RST的原因一般为服务器未监听该端口,中间有其他设备代答,或者服务器拒绝访问。
因此判断问题可能与防火墙设备无关。
但是后续我观察抓包发现,前面正常打开网页的报文交互有对应NAT前后的报文:
但是跳转后的连接报文交互中并没有NAT后的报文交互。想到这我顿时明白了,前期让现场人员抓包的时候是基于第一个访问的会话写acl进行抓包的,因此可以抓到NAT前后的报文;但是后续跳转的访问应该是NAT后的地址变化了,导致设备上没有抓到NAT后的报文。
因此,问题的原因也水落石出。现场多出口的场景下,跳转链接进行第二次访问的时候NAT后的地址发生了变化,导致访问被服务器阻断。结合现场配置,发现配置了出链路负载,且调度算法为最小连接数。所以第二次跳转链接的访问被分配到其他链路。
更改链路组调度算法为源地址hash后,问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作