某局点SecPath GAP2000-B网闸配置TCP通道不通经验案例

现场工程师反馈一台SecPath GAP2000-B网闸设备，现场配置了外端机到内端机的TCP远程桌面的服务。现场反馈外端机的客户通过访问外端机的监听地址访问不到远程桌面，接下来针对反馈的问题进行分析。

首先我们对现场反馈的配置和抓包信息进行分析。

1. 分析配置信息

根据现场反馈的信息，现场是想通过从外端机到内端机的访问，外端机对外提供的服务是TCP 3380，对内服务器的端口是TCP 3389，如下图所示：

根据现场的配置，访问是不通的。我们通过在网闸的内端口的连接接口上面抓包分析，如下图所示：

我们可以看到在内端机转换为连接地址172.26.117.53作为源地址，172.26.117.13作为目的地址进行访问。但是需要注意到的是，访问的端口号还是TCP 3380，并不是我们想象NAT server转换的那样，会做端口的转换。因此服务器没有开启TCP 3380的服务，回复了TCP RST报文进行断开连接。

2. 确认故障原因以及解决办法

通过上面的分析来看，网闸是不会对端口进行转换的。因此需要现场将监听地址的端口号修改为下面的配置：

这个时候我们再次在内端机的互联口进行抓包，如下图所示：

更改配置之后发现这个时候内端机接口地址作为源IP，服务器真实地址作为目的IP，访问的目的端口号为TCP 3389，服务器正常响应，服务正常。

通过以上的分析，需要明确的一点就是配置网闸通道的时候，需要以监听地址的端口号为准。内部服务器提供什么端口服务，监听地址后面的端口号就设置为相应的端口，不能完全以NAT的思路进行配置。本案例通过将监听地址的端口改为3389之后解决问题。