SANGFOR_ACSG_V5.X_2014年度渠道高级认证培训10_端口映射排错指导.ppt

培训内容 培训目标 端口映射不生效排查 1.掌握端口映射不成功的分析和排查方法 LAN-LAN端口映射不生效排查 1.掌握LAN-LAN端口映射的原理和排查方法 端口映射不生效排查 端口映射不生效排查 3. 服务器返回客户端的数据要回应给AC/SG，通过AC/SG再转发回应给客户端 WAN-LAN端口映射整个过程分为三个部分： 1. 客户端访问服务器的数据到达AC/SG 设备 2. AC/SG设备做DNAT转换，再经过防火墙的过滤发给内网真实的服务器 Internet PC 服务器 端口映射不生效排查 AC设备网关模式部署，WAN1口IP地址为113.16.X.230，某客户想通过端口映射发布内网的web服务器，服务器地址是00。配置完毕后，测试外网访问http:// 113.16.X.230无法打开页面，现在需要定位问题出在哪了？ 排查思路： 1.设备上测试服务器发布的端口 2.检查设备端口映射（DNAT）配置 3.使用设备抓包工具抓包定位问题 端口映射不生效排查 1.设备上测试服务器发布的端口 在设备上telnet服务器00的80端口是否能通，如果不通则检查服务器运行状态（服务器本机测试端口是否能通 ：telnet 80），以及设备到服务器的连通性。如果设备上测试正常，但是外网仍然无法访问，则进入下一步 端口映射不生效排查 2.检查设备端口映射（DNAT）配置 注意检查配置细节和放通防火墙。具体配置说明请参考《防火墙规则和路由规则》PPT。检查完配置后，但是外网仍然无法访问，则进入下一步 端口映射不生效排查 3.使用设备抓包工具抓包定位问题 A.首先使用高级抓包在wan口抓取数据包，目的是看公网访问服务器的请求是否已经到设备wan口了，以确认访问请求是否被运营商拦截 外网测试访问http:// 113.16.X.230，测试后下载刚才抓取的数据包，并分析： 分析数据包，发现WAN1口能收到访问80端口的请求包，但是没有回复包，目前能说明运营商没有对80端口做限制，但是还不知到是配置问题导致没映射成功，数据包没有到服务器，还是服务器问题？ 端口映射不生效排查 3.使用设备抓包工具抓包定位问题 B.接着到LAN口去抓到WEB服务器00的80端口的数据包： 外网测试访问http:// 113.16.X.230，测试后下载刚才抓取的数据包并分析： 分析数据包，发现设备LAN口也抓到了访问服务器80端口的包，说明端口映射规则设置成功了，已经把访问外网80端口的数据映射给WEB服务器的80端口。 ? 现在可以定位问题出在服务器了，服务器没有回应我们测试发送的SYN请求包。如需进一步分析，则需要到服务器以及内网路由设备上抓包，这里不讲解。 LAN-LAN端口映射不生效排查 LAN-LAN端口映射不生效排查 AC设备网关模式部署，WAN1口IP地址为5，内网有一台OA服务器，地址是50，使用的服务端口是TCP 80。客户希望将此OA服务器发布到公网，外网和工厂内网的用户均通过5:8000的方式访问到服务器。 排查思路： 1.设备上测试服务器发布的端口 2.检查设备LAN-LAN端口映射配置 3.使用设备抓包工具抓包定位问题 LAN-LAN端口映射不生效排查 如果是在WAN-LAN端口映射高级规则里，勾选“发布服务器”自动创建的规则，按“端口映射不生效排查”步骤进行处理。 LAN-LAN端口映射不生效常常是由于手动配置不正确引起的。这里主要对LAN-LAN端口映射数据流进行说明，方便理解配置，保证配置正常。服务器连通性测试，以及抓包分析不赘述。 回顾手动设置LAN-LAN端口映射的三步骤： 1. 新建一条端口映射（DNAT规则），注意外网接口应选择内网口 2. 新建一条代理上网（SNAT规则），注意外网接口应选择内网口 3.手动放通LAN-LAN的防火墙规则，注意网络服务选择DNAT之后的端口 其中，第一步和第三步好理解，为什么第二步要做一条SNAT规则， 把源地址转换成设备的LAN口地址呢？ LAN-LAN端口映射不生效排查 这样做的目的是为了让服务器回给客户端的数据包时，先回给AC/SG设备。如果不做这样的转换，服务器直接通过内网回包给客户端，数据包会被内网客户端丢弃，导致端口映射不成功。所有LAN-LAN环境下的代理上网规则，源IP地址要转换为设备LAN口的IP地址。（代理上公网的环境下，源IP地址要转换成设备的WAN口公网地址） 源地址：0 目地址：5 0 50 源地址：0 目地址：50 源地址：50 目地址：0 5 LAN-LAN端口映射不生效排查 不配置SNAT的情况 源地址：0 目地址：5 0 50 源地址： 目地址：50 源地址：50 目地址： 源地址：5 目地址：0 5 LAN-LAN端