某运营商局点V5防火墙插卡（双机热备）业务流量外网访问内网方向nat static不生效案例分析

1、组网拓扑如下

2、故障现象

   a、路由器做纯路由转发，在主备FW上做静态nat映射变更（变更前：nat static 10.40.107.13 10.16.36.10  变更后：nat static 10.40.106.100 10.16.36.10）

   b、变更后，从终端PC过来的ping包可以正确到达映射后的服务器B，但是从终端PC过来的业务流量（UDP 5060端口）依旧还是到变更前的服务器A，无法到达变更后的服务器B

   c、回退到变更前的配置，业务流量正常到达服务器A

1、变更后测试时防火墙上抓到的会话信息如下所示：

2、变更后，服务器B上没有抓到终端PC的任何业务流量（只抓到了ping的流量），但是在服务器A上抓到了终端PC的业务流量

现场业务流量为UDP 5060端口报文，变更前由于原来的业务流量一直在运行，导致防火墙的UDP会话一直未老化，并且变更前没有进行ping测试而无icmp会话，变更了nat static配置之后，新进入的流量直接匹配原来未老化的UDP会话，导致新修改的nat配置在UDP业务流量报文上不生效，由于无相关的icmp会话，所以修改nat配置之后ping测试时建立新的ICMP会话，nat static对于ping测试生效

变更了nat static配置之后，在主备防火墙上同时重置所有会话，避免原来未老化的会话对新业务产生影响

1、涉及到双机热备部署的V5防火墙，进行配置修改之后，尤其是影响流量转发的策略，在修改配置之后一定要清空重置一下防火墙的会话

2、清空会话的时候，一定要主备防火墙同时重置会话，因为主备防火墙之间会话实时同步，只清空其中一台的话另外一台又会把老的会话同步过来