一、故障现象描述
RSR50-X 将内网服务器映射到公网后,内网终端无法通过公网地址访问
场景拓扑
二、故障排查分析
-
终端进行telnet 公网地址加端口的方式访问测试,路由器上通过流表查看对应数据流的源目地址、端口都正常转换,并且流表有收发报文,说明NAT端口映射转换正常,服务器也正常回包到路由器了,但是终端显示telnet不通
-
进一步排查服务器回的数据包是否正常发往内网核心,影响因素主要是路由:静态路由及策略路由;查看路由表正常,排除路由问题;查看策略路由中ACL 101 匹配了内网服务器访问所有目的地址的流量丢到了公网,因此服务器回包的数据也会被策略路由丢到了公网,导致终端访问不通
-
通过增加ACL 101 中ACE条目,deny 服务器网段访问内网地址段的流量、使对应的流量不走策略路由,走普通静态路由回到核心后测试业务访问正常
三、故障根因说明
策略路由中ACL 101 匹配了内网服务器访问所有目的地址的流量丢到了公网,因此服务器回包的数据也会被策略路由丢到了公网,导致终端访问不通
四、故障解决方案
通过增加ACL 101 中ACE条目,deny 服务器网段访问内网地址段的流量、使对应的流量不走策略路由,走普通静态路由回到核心后测试业务访问正常