①访问方向:WAN->LAN
②访问方向:LAN->WAN
2、版本确认
AD各版本均可参考排查
3、端口映射访问方向WAN->LAN不通对应处理方法
1)端口映射TCP协议80或8080端口不通,处理如下:
①优先与运营商确认80和8080是否有备案。
②更换其它端口,如80端口换成81端口进行测试。
③AD设备webconsole控制台执行抓包命令,确认数据是否有到AD,如:
tcpdump -i eth1 host 1.1.1.1 and port 80 -nn(抓取eth1接口IP地址1.1.1.1的80端口映射,注意:tcpdump命令最长执行30秒,抓到20个数据包会立即结束抓包,公网telnet测试需要30秒内操作完成)。
2)检查端口映射配置是否正确,匹配条件中源端口范围是否为0,发起端请求源端口为大于1024的随机端口,此处不能固定某个端口,否则会导致匹配不上该条端口映射规则。
3)AD设备到内网服务器端口是否通,处理如下:
①检查AD是否有去往服务器的路由。
②AD设备webconsole控制台执行命令测试到服务器端口是否通,如 sock 192.168.1.1 80;同时内网电脑使用telnet命令测试检测服务器端口是否通;AD设备sock和内网电脑telnet测试端口都不通,检查服务器服务器是否开启;AD设备sock不通,电脑telnet通,检查AD到服务器中间是否有安全设备拦截。
4)检查AD是否有配置ACL进行了拦截。
5)确认服务器是否单独使用其它出口设备上网,导致数据回包未经过AD,回包数据异常。
6)抓包进行确认,数据包是否有从LAN口发出。
4、端口映射访问方向LAN->WAN不通对应处理方法
1)检查端口映射配置是否正确,是否有勾选发布内网服务器,勾选发布内网服务器会使LAN口进来的数据匹配端口映射;
注意:①AD低版本无此选项,需要额外新建一条入接口为LAN口的端口映射条目。
②若6.x和6.x以下使用Manage口作为LAN口,需要新建入接口为MANAGE口的端口映射。
2)检查出接口为LAN口的源地址转换,源IP网段是否包含有终端内网网段。
3)AD有多个LAN接口,终端与AD非直连网段,处理如下:
①每个LAN口下都有终端(终端与AD非直连网段)需要访问,则每个LAN口都需要配置出接口为LAN口的源地址转换条目。
②确认不同LAN口下终端数据来回路径是否一致,如数据从LAN1口进,从LAN2口回包,单边数据流很可能被中间安全设备拦截导致不通;通过AD回包静态路由路径控制或安全设备策略调整放通可以解决此类问题。
4)若AD设备与内网之间通过动态路由协议实现互通,则需要添加去往服务器网段的静态路由回包;AD数据转发原理,从LAN口进来的数据包不会主动查找动态路由表,内网访问端口映射数据最后会匹配走智能路由转发,无法访问端口映射。
5、注意事项
从LAN口进入的数据不查动态路由的机制,存在的版本有6.x以及6.x以下、7.0、7.0R1、7.0.2版本,可以通过单独添加去往服务器的静态路由解决;从LAN口进入查动态路由的机制,在AD7.0.3版本已经实现。
6、TCP端口测试推荐工具
发表于 2017-11-20 13:10
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
