Nat Server故障排查

题目：网络当中配置了NAT SERVER，在外部用户（3.3.3.3）访问内网用FTP服务器（10.2.0.8）的时候发现流量无法访问，请分析故障原因

解答：

情况梳理

通过命令display firewall session table或者是web界面中查看会话表，查询源地址为3.3.3.3的表项。根据会话表显示结果可以缩小可能原因的范围，请分别按以下三种情况逐一排查可能原因。

1. 没有找到源地址为3.3.3.3的会话表。

2. 存在会话表项，但是会话表项错误。例如：表项中没有目的地址1.1.1.10的转换记录、转换后目的地址不正确。

3. 已经建立了正确的会话表项。

处理步骤

没有找到源地址为3.3.3.3的会话表项

可能原因及相应的处理步骤如下：

1. Internet上没有达到Global地址1.1.1.10的路由
   检查Internet中的路由设备是否存在到达Global地址的路由。可能需要联系ISP管理员确认。

2. Internet上的其他设备将报文丢弃
   检查Internet中是否存在设备将报文丢弃，如果存在，请检查并调整该设备的配置信息。

3. NGFW的基础配置不正确
   检查GigabitEthernet 1/0/1和GigabitEthernet 1/0/2是否配置了正确的IP地址并加入了安全区域。

4. NGFW上配置了黑名单将报文丢弃
   选择“策略 > 安全防护 > 黑名单”，搜索目的地址为1.1.1.10的表项以及和源地址为3.3.3.3的表项。如果找到则删除此表项，否则请进行其他项目的检查。

5. NGFW上配置的安全策略不正确
   选择“策略 > 安全策略 > 安全策略”，查找“源地址”包含3.3.3.3，“目的地址”包含1.1.1.10的表项，存在该条表项且“动作”为“允许”，则该项配置正确，否则请重新调整安全策略的配置。

6. NGFW上没有配置到达内部服务器的路由
   本举例中，内部服务器与NGFW直接相连，不涉及路由问题，因此不需要考虑本原因。如果NGFW没有直接与内部服务器所在的网络相连，就需要在NGFW上配置到达内部服务器的路由。

7. 选择“网络 > 路由 > 路由表”，查找是否存在正确的公网路由表项。
   内部服务器与NGFW直接相连的情况下，如果NGFW无法获取内部服务器的MAC地址，在丢包统计信息中会出现ARP miss字段。此时请您检查内部服务器的IP地址设置或者内部服务器与NGFW的相连线路的问题。

存在会话表项，但是会话表项错误。例如：表项中没有目的地址1.1.1.10的转换记录、转换后目的地址不正确。

可能原因及相应的处理步骤如下：

1. 目的地址没有被转换
   选择“策略 > NAT策略 > 服务器映射”，找到“公网地址”包含1.1.1.10的表项。存在该条表项则该项配置正确，否则请重新调整静态映射的配置。
2. 目的地址转换错误
   选择“策略 > NAT策略 > 服务器映射”，找到“公网地址”包含1.1.1.10的表项，检查其“私网地址”是否配置正确，否则请重新调整静态映射的配置。

已经建立了正确的会话表项。

可能原因及相应的处理步骤如下：

1. 内部服务器故障
   检查内部服务器是否故障，能否正常提供的服务。
   检查内部服务器的网关设置是否正确，网关应设置为NGFW连接内部服务器所在网络接口的IP地址。

2. 内部网络中的其他设备将报文丢弃
   检查内部网络中是否存在其他设备将回程的报文丢弃，如果存在，请检查并调整该设备的配置信息。

3. NGFW上配置了黑名单将回程报文丢弃
   选择“策略 > 安全防护 > 黑名单”，搜索目的地址为1.1.1.10的表项以及和源地址为3.3.3.3的表项。如果找到则删除此表项，否则请进行其他项目的检查。

4. NGFW上没有去往Internet的路由
   选择“网络 > 路由 > 路由表”，查找是否存在去往Internet的路由。

华为网络安全论述题解析（1）相关推荐

1. 华为网络安全论述题解析（2）

   IPSEC双出口双分支设计规划 题目表述 答题思路 主备链路备份方式 隧道化链路备份方式 题目表述 如图,FW1和FW2是主备方式的HA,FW1主用接入,FW2备用接入分支FW3和分支FW4都通过is ...

2. 最新，2023年6月CDGP设计及论述题解析

   2023年6月CDGP设计及论述题解析 (加gzh"大数据食铁兽",回复"2023cdgp"获取完整版) 酒店会员建模 结合国内外数据安全法律法规,谈谈境外传输 ...

3. 2021全国职业技能大赛-网络安全赛题解析总结①（超详细）

   2021全国职业技能大赛-网络安全赛题解析总结(1) 模块A 基础设施设置与安全加固 有问题可以私聊博主 模块A 基础设施设置与安全加固 一.项目和任务描述: 假定你是某企业的网络安全工程师,对于企业 ...

4. 2022全国职业技能大赛-网络安全赛题解析总结②（超详细）

   2022全国职业技能大赛-网络安全赛题解析总结(自己得思路) 模块A 基础设施设置与安全加固(20分) 模块B 网络安全事件响应.数字取证调查和应用安全(40分) 模块C CTF夺旗-攻击(本模块20 ...

5. 2022全国职业技能大赛-网络安全赛题解析总结①（超详细）

   2022全国职业技能大赛-网络安全赛题解析总结(自己得思路) 模块A 基础设施设置与安全加固(20分) 模块B 网络安全事件响应.数字取证调查和应用安全(40分) 模块C CTF夺旗-攻击(20分) ...

6. 2022全国职业技能大赛-网络安全赛题解析总结⑤（超详细）

   2022全国职业技能大赛-网络安全赛题解析总结(自己得思路) 模块A 基础设施设置与安全加固(20分) 模块B 网络安全事件响应.数字取证调查和应用安全(40分) 模块C CTF夺旗-攻击(20分) ...

7. 北林计算机考研真题答案,真题解析｜『北林』2020年考研初试真题

   原标题:真题解析|『北林』2020年考研初试真题 真题解析|『北林』2020年考研初试真题 前言 从今年的考试题型来看未做改变,(选择.名词解释.简答.论述)但分数分布略有更改. 从考试内容来看,基本 ...

8. 华为HCIE-RS（数通datacom）论述题（十）

   华为HCIE-R&S(数通datacom)论述题(十) OSPF网络规划及双出口主备备份 问题一:请对OSPF进行区域划分,实现当办公网络拓扑发生变化时,通用服务器区域路由器路由表不会产生变化 ...

9. 华为HCIE-RS（数通）论述题（二）

   华为HCIE-R&S(数通)论述题(二) 路由反射器性能指标 1.公司采购两台路由器作为RR,路由器有很多指标:nat.qos能力等,该路由器不兼任ASBR.P角色,请你写觉得最重要的两个指标 ...

10. 军哥华为HCNP（科目H12-221）真题解析课程：1-30题

    华为HCNP(科目H12-221)真题解析 HCNP-R&S-IERS: (Huawei Certified Network Professional-Implementing Enterpr ...

最新文章

1. 【Android】AsyncTask异步类
2. wxml 点击图片下载_云存储之上传图片和展示图片(小程序云开发)
3. 下列有关python语言的说法正确的是-关于 Python 语言的注释,以下选项中描述正确的是( )...
4. Java后台解析前台的get中文请求
5. 分布式缓存服务器设计原理
6. ASP.NET中Image控件不能自动刷新
7. 一文看透java8新特性
8. OpenGL编程指南12：光照_渲染真实球体
9. vuex modules 命名空间
10. misc高阶 攻防世界_攻防世界 Misc 进阶题（一）
11. 寒冷的高纬度——我的梦开始的地方
12. I9 9900K线程_收藏党抓紧了！英特尔停产i9-9900K特色包装，只因运输太浪费
13. 系统内核快速编译并替换的方法
14. 安卓期末大作业（AndroidStudio开发），日记本app，代码注释详细，能正常运行
15. Win10系统解决图片打开方式没有照片查看器
16. 封装el-select（全球国家名字及国家区号），select 输入框回显
17. 封堵高危端口，预防勒索病毒
18. 澳洲PHP工作,怀爱伦澳洲行_在新西兰的工作
19. 使用WIFI通讯，手机秒变单片机大屏显示器
20. 如何培养员工的团队合作精神

热门文章

1. 如何批量将多个 Txt、Json、Html 以及记事本等文本文档快速合并成一个文档
2. 太阳换ip软件_[动态IP]太阳动态IP加速器v3.3.8会员版
3. 基于Java开发的五子棋游戏APP设计与实现
4. 谷歌离开中国的三大原因四大后果
5. 问题解决-Visio2016和Office不能并行
6. java pos58打印_POS58小票打印机
7. MacOS罗技鼠标定义的功能键经常失灵
8. 这款优秀的检验工具SolidWorks Inspection你用过吗？
9. 论文笔记：ARTNet、Non-local Neural Networks
10. SQL Express