Print

MSR 5600 系列路由器由于 ip fast-forwarding 导致NAT Server不生效问题

2020-01-10发表

组网及说明

拓扑:不涉及

设备型号/软件版本: MSR 5600系列路由器 / R0707系列版本

问题描述


设备部署NAT Server功能,需要外网用户通过访问公网接口IP地址3389端口,进而登陆内网远程服务器。


关键配置如下:

#

 interface GigabitEthernet2/0/2

 port link-mode route

 combo enable copper 

 ip address 192.165.x.x 255.255.255.240

 nat outbound 3000

 nat server protocol tcp global current-interface 3389 inside 192.168.y.y 3389 counting  //已部署NAT Server功能

 nat static enable 

#


通过上述方式部署后,发现外网用户无法访问内网服务器。

在 MSR 设备上,开启debug ip packet 观察 MS R设备报文处理情况。发现 MSR 设备收到了外网终端的请求报文,但是没有将相关报文进行NAT地址转发,发向内部服务器。


*Oct 10 23:02:35:169 2019 MSR5660 IPFW/7/IPFW_PACKET: -Slot=2; 

Receiving, interface = GigabitEthernet2/0/2

version = 4, headlen = 20, tos = 0

pktlen = 52, pktid = 5622, offset = 0, ttl = 128, protocol = 6

checksum = 10105, s = 192.165.z.z, d = 192.165.x.x  //其中 192.165.z.z为外网终端IP,192.165.x.x为MSR外网接口IP

channelID = 0, vpn-InstanceIn = 0, vpn-InstanceOut = 0.

prompt: Receiving IP packet from interface GigabitEthernet2/0/2.

Payload: TCP

  source port = 60519, destination port = 3389

  sequence num = 0x2c5da225, acknowledgement num = 0x00000000, flags = 0x2

  window size = 8192, checksum = 0xc999, header length = 32.


过程分析


通过上述排查后,确认故障位于 MSR 设备上。检查MSR 56设备使用的软件版本:Release 0707P19,发现存在如下特性:


对于NATNetwork Address Translation,网络地址转换)、ASPFAdvanced Stateful Packet Filter,高级状态包过滤)、攻击检测及防范等基于会话进行处理的业务,关闭快速转发功能会导致这些功能失效。”


http://www.h3c.com/cn/d_201910/1233024_30005_0.htm#_Toc19717085“ 

 

检查故障 MSR 设备配置,发现管理员确实关闭了快速转发功能,及:

#

 undo ip fast-forwarding enable

#

因此需将相关配置进行调整。


解决方法


在故障 MSR 设备上使能快速转发功能,问题解决。


[H3C] ip fast-forwarding enable