一、故障现象
外网通过映射后的IP或域名访问端口映射不通
二、组网拓扑
三、可能原因
1、端口映射配置问题
2、acl拦截
3、是否是多出口回包错误
4、内网安全设备拦截
四、排查步骤
步骤一:检查端口映射地址配置是否错误,(访问域名时检查是否关闭DNS ALG功能)
判断方法:通过show run | in ip nat 查看配置是否错误
解决方法:修改端口映射配置
Ip nat inside source static tcp 192.168.10.254 80 183.1.1.2 10080 permit-inside
访问域名的添加关闭DNS ALG功能
no ip nat translation dns
步骤二:确认是否映射的公网地址或协议号写错,全局ACL拦截。
判断方法:查看流表和配置
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255
//y.y.y.y 为端口映射外网 ip,6 为 tcp (udp 为 17,icmp 为 1)
1、流表没有数据。
检查RSR是否做了ACL拦截
sh run | in fpm
ip fpm session filter 199 //配置全局抗攻击保护,检查 ACL 199 是否限制
sh run | in access-group
ip access-group 199 in //接口调用 ACL,检查 ACL
解决方案:修改正确的公网地址和协议号;对应ACL放通正常数据流
配置参考
IP access-list ex 199
permit IP any 192.168.0.0 0.0.255.255
注: 若设备是RSR30X SPU10 V2、RSR50X、RSR77、RSR77X 确认是否进错线卡,需进入线卡查看流表常见命令:
进线卡(vtty 线卡号,进入后输入enbale,再看流表)
RSR30X SPU10 V2(vtty 0/0)、RSR50X(vtty 1/0)、RSR77(sh version slot 查看外网口所在的线卡,vtty 线卡号,如果是sip 5 线卡进入主卡查看。)
sh ip f f user x.x.x.x //x.x.x.x为源IP地址
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255
//y.y.y.y 为端口映射外网 ip,6 为 tcp(udp 为 17,icmp 为 1)
sh ip f f f 6 x.x.x.x 255.255.255.255 y.y.y.y 255.255.255.255 //x.x.x.x 为电脑 ip,y.y.y.y 为 端口映射外网 ip 详细操作可以到百度搜索,闪电兔pro 搜索:设备流表查看
步骤三:RSR去往内网服务器没有路由或接口acl拦截,
判断方法:
查看流表和配置,流表有发包无回包
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255
//y.y.y.y 为端口映射外网 ip,6 为 tcp (udp 为 17,icmp 为 1)
解决方法:
Sh ip rou 查看有无去往服务器的路由
没有的话添加上去往服务器的路由,
配置参考
Ip route 192.168.10.0 255.255.255.0 10.1.1.1
步骤四:是否多出口,回包回错了
判断方法:
查看流表和配置,流表有发包有回包但是不通
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255
//y.y.y.y 为端口映射外网 ip,6 为 tcp (udp 为 17,icmp 为 1)
解决办法:
将每个出口和内网口都配置源进源出 ip reverse-path
步骤五:内网的防火墙或其他设备拦截
判断方法:
查看流表和配置,流表有发包无回包
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255
//y.y.y.y 为端口映射外网 ip,6 为 tcp(udp 为 17,icmp 为 1)
解决办法:检查是否内部设备拦截
步骤六:DNS解析不到域名地址
判断方法:打开CMD
Nslookup +域名 是否能解析出地址
五、信息收集
Sh ip f f | in xxxx //访问的IP
sh run | in ip nat
Sh run
sh ip rou
Sh cpu
Sh memory
查看流表:
注: 若高校 RSR77X 需进入线卡查看流表常见命令:
进入线卡: vtty 3/0 //3/0为线卡所在槽位号,sip 5进入主卡查看。
sh ip f f user x.x.x.x //源 ip x.x.x.x
sh ip f f f 6 0.0.0.0 0.0.0.0 y.y.y.y 255.255.255.255 //y.y.y.y 为端口映射外网
ip,6 为 tcp(udp 为 17,icmp 为 1)
sh ip f f f 6 x.x.x.x 255.255.255.255 y.y.y.y 255.255.255.255 //x.x.x.x 为电脑 ip,y.y.y.y 为 端口映射外网 ip 详细
操作可以到百度搜索,闪电兔pro 搜索:设备流表查看
六、总结与建议
外网访问端口映射不通
1、检查下端口映射配置是否有问题
2、RSR去往内网服务器访问时是否有acl拦截
3、是否有多出口回包错误
4、内网有安全设备拦截