记一次AD双向地址转换不生效排查过程

现象：

反馈全部双向地址转换不生效

环境：

简化后的拓扑如下：

负载作为互联网出口，互联网地址为200.x.x.x，lan口地址为10.1.1.1，内用用户为192.168.1.100，内网服务器地址为172.16.1.100.

现象分析：

当前AD版本为7.0.8版本，是不支持一步配置双向地址转换的。双向地址转换=目的地址转换+源地址转换，排查的思路还是得排查对应的源地址转换跟目的地址转换的有效性。

排查过程：

[size=10.5000pt]1. 根据服务器ip快速定位到目的地址策略，查看匹配数

匹配数正常

[size=10.5000pt]2. 检查目的地址转换策略

以上配置目的地址映射是正确的

3. 检查源地址转换策略

明显，目的地址填错了，更改配置如下后，该业务测试正常（下文见具体解释）

4. 另一个平行业务，同理改了之后，还是不行。进一步检查配置，发现存在这么一条策略

明显，ip与对应的端口已被虚拟服务策略占用，恰好该虚拟服务对应节点都已离线，导致无法访问，策略删除之后，业务正常访问

分析：

[size=10.5000pt]1. 第一个问题，当时客户给我是这么分析的：首先我做了端口映射，测试没问题，这一点是达成一致的；要做双向地址，那么我需要添加一条源地址转换，那么，我用户需要访问200.x.x.x地址，自然我目的地址是200.x,x,x。

2. 我归纳了一下，客户理解是这样的：流量到了负载，负载对流量进行源地址转换，然后再进行目的地址转换，最后到达服务器地址。

3. 这就陷入了一个误区，当流量到达负载时，多条策略匹配这股流量时，设别内部会分优先级，虚拟服务>目的地址转换>源地址转换。那么，当流量到达负载时，首先匹配虚拟服务策略；虚拟服务策略匹配之后，接着匹配目的地址转换，转换成源是192.168.1.100、目的是172.16.1.100的流量；那么接下来配置源地址转换，自然是配置源是192.168.1.100，目的是172.16.1.100的策略。（关机下班，200到手）

总结：

流量到达负载，当多条策略匹配这股流量时，设别内部会分优先级，虚拟服务>目的地址转换>源地址转换。

感谢楼主的分享，虚拟服务优先级是高于端口映射的，当有多条策略的时候，需要注意一下不要冲兔，否则就有可能导致端口映射出问题，如果不用AD的出栈负载，建议旁挂负载，避免这类问题

策略配置太多，又加上地址转换，很容易出现问题

看来下  是内部地址之间的地址转换，流量没有出去，学习了~

双向地址转换很容易出现问题，学习了。

感谢分享。

清晰易懂，值得学习

策略太多，容易乱，到最后都不知道之前的策略是做什么的。
需要做好策略记录。

感谢楼主的分享，这里的“干货”是在AD内部根据不同的策略的处理优先级，只要了解了其处理流程，那么排查问题就有思路了，类似的场景还有源地址转换（指定SNAT地址集 =自动SNAT>网络配置模块中源地址转换 ）。期待楼主后续更基精彩的分享~~

案例很实用，具有典型性，希望有更多这样的干货供我们学习参考，非常感谢！