Print

F1000-AI-35(V7) nat hairpin enable不生效 ,内网访问不了内网服务器

2021-11-17 发表

组网及说明


问题描述

外网地址接口1/0/0 ,内网接口1/0/1。内网通过公网地址访问映射的服务器,内网接口已经开启nat hairpin enable,但并没有生效。

外网访问时是正常的,但内网侧用户访问服务器时并不能成功。版本为8860p12

过程分析

排查配置发现安全域是成功放通的,其流量没有被拒绝掉。也没有配置策略路由和负载均衡也就不涉及到这些限制。

security-policy ip 

 rule 9 name 222 

 action pass 

 rule 6 name 内网限制

 source-zone Trust 

 destination-zone Untrust 

但发现有全局nat与端口nat混用的问题

nat global-policy 

 rule name GlobalPolicyRule_1 

 description GuideNat 

 source-zone Trust 

 destination-zone Untrust

 action snat easy-ip 

既有全局的也有端口的。

原因是设备买的时间太早,一直沿用了之前的全局nat。后续添加业务后才升级到最新版本。8860P1212

但之前老版本时并没有接口下的 nat outbound ,在升级之后才添加的。

解决方法

查询案例后并没有发现全局与接口nat混用并成功配置的相关案例,所以决定修改配置。

将设备配置的全局nat也转换接口nat后问题成功解决。