组网及说明
现场特殊的sip环境
sip服务器a访问sip服务器b
同时b也主动访问a
前提如下
a在内网
b在外网
a监听1111端口
b监听2222端口
a主动发起请求 源端口 1111 目的端口2222
b也主动发起请求 源端口2222 目的端口1111
在防火墙上1/0/3做nat server
将内网1.1.1.1地址映射为2.2.2.2
同时1/0/3下做nat outbound
问题描述
此时内网a首先访问外网b,然后b主动访问a ,sip业务不通
过程分析
此时内网a首先访问外网b,
创建匹配源nat会话
in 源ip 1.1.1.1
目的ip 2.2.2.1
源端口 1111
目的端口2222
入接口 1/0/2
rs 源ip 2.2.2.1
目的ip 2.2.2.2
源端口2222
目的端口1111
入接口1/0/3
此时如果b主动访问a会创建如下会话
in 源ip 2.2.2.1
目的 2.2.2.2
源端口2222
目的端口1111
入接口1/0/3
rs 源ip 1.1.1.1
目的ip 2.2.2.1
源端口1111
目的端口2222
入接口1/0/2
该会话与内网主动发包的会话冲突了,导致会话建立失败
如果建立成功,外到内的流量和内到外返回的流量都是1/0/3进来,源目ip和源目端口相同 ,
内到外的流量情况相同,
防火墙无法无法区分,因此就不会建立这种冲突的会话
解决方法
使用nat static outbound 一条命令 同时起到目的nat和源nat的作用 ,产生一条会话
例如 全局下
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
出方向一对一静态地址转换的配置中不引用ACL规则时,该静态地址转换允许反方向发起的连接进行地址转换。否则,必须指定reversible参数才允许反向地址转换。
配置出方向一对一静态地址转换
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作