一、故障现象
内网通过映射后的IP或域名访问端口映射不通
二、组网拓扑
三、可能原因
1、配置问题,端口映射地址配置错误
2、映射的外网端口号与其他配置是否冲突
3、内网口策略路由匹配
4、acl限制了
5、内网安全设备拦截
四、排查步骤
步骤一、检查端口映射地址配置,是否有permit-inside参数,(域名访问时检查是否关闭DNS ALG功能)
判断方法:通过show run | in ip nat 查看配置是否有permit-inside参数
解决方法:添加permit-inside参数
Ip nat inside source static tcp 192.168.10.254 80 183.1.1.2 10080 permit-inside
如果通过域名访问、路由器上添加关闭DNS ALG功能命令:
no ip nat translation dns
步骤二、映射的外网端口号与其他配置冲突
判断方法:
sh ip f f | in x.x.x.x //x.x.x.x为电脑IP
流 表 意 思 : 电 脑 192.168.33.49 访 问 183.1.1.2 的 10080 端 口 时 , 端 口 映 射 转 为 192.168.20.1,发送 1437 字节,收到回应 1923 字节。 但是端口映射转的内网服务器 ip 不对,正确的应该是 192.168.10.254,可以看出配置的外网端口与其他配置冲突,可修改外网端口号。
解决方案:修改外网对应的端口号
Ip nat inside source static tcp 192.168.10.254 80 183.1.1.2 10081 permit-inside
注: 若高校 RSR77X 需进入对应线卡查看流表常见命令:
sh ip f f user x.x.x.x //源 ip x.x.x.x
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255 //y.y.y.y 为端口映射外网
ip,6 为 tcp(udp 为 17,icmp 为 1)
sh ip f f f 6 x.x.x.x 255.255.255.255 y.y.y.y 255.255.255.255 //x.x.x.x 为电脑 ip,y.y.y.y 为 端口映射外网 ip; 详细操作可以到百度搜索,闪电兔pro 搜索:设备流表查看
步骤三、RSR内网接口调用策略路由PBR
判断方法:
策略路由调用的 ACL 需要deny 内网用户访问内网服务器地址的数据流
例如配置:
show running-config interface gigabitEthernet 0/1
interface gigabitEthernet 0/1
ip nat inside //内网口
ip policy route-map chukou //配置PBR
解决方法:
修改参考: con
ip access-list extended 100
1 deny ip any 192.168.0.0 0.0.255.255 //pbr 对应的 ACL:添加最高优先级,过滤掉内网 用户访问内网服务器的数据
10 permit user-group DX_4M any
ex
route-map chukou permit 10
match ip address 100
set ip next-hop 183.1.1.1
ex
步骤四、RSR做了ACL限制
判断方法:
sh run | in fpm
ip fpm session filter 199 //配置全局流攻击保护,检查 ACL 199 是否限制
sh run | in access-group
ip access-group 199 in //接口调用 ACL,检查 ACL
解决方法:acl放通对应的网段
配置参考
IP access-list ex 199
permit IP any 192.168.0.0 0.0.255.255
步骤五、内网电脑访问 端口映射的内网服务器ip及端口,确认服务是否正常
判断方法:
如,测试访问(http 是默认就是80端口)http://192.168.10.254
解决办法:
如果不正常检查服务器及内网环境问题。
步骤六、内网服务器或内网其他设备做限制
判断方法:
(1)流表收发正常时,检查服务器或防火墙影响
(2)流表有发包没有收包,检查内网过滤
解决办法:检查是否被服务器或者中间设备拦截
五、信息收集
sh run | in ip nat
Sh run
sh ip route
show ip fpm statistics
Sh cpu
Sh ip f f | in x.x.x.x //x.x.x.x为源ip
六、总结与建议
内网端口映射错误检查以下问题。
1、配置问题,端口映射地址配置错误
2、映射的外网端口号与其他配置是否冲突
3、内网口策略路由匹配
4、acl限制了
5、内网安全设备拦截