【每日一记10】+第4天+地址映射不生效排查

每天坚持打卡学习签到！！

    故障：AF配置了地址映射规则，但在外网无法访问到映射到外网的服务。

     换个车怎么样？

   

   

    一、排查

   1、检查配置

   路径：【策略】--【地址转换】

   检查策略没有问题，全地址映射，源是公网，目的是外网接口的公网IP，转换为内网IP。

   已经勾选“放通上述条件的数据，不受应用控制策略的限制”。

   

   2、在内网测试

   在内网PC上可以访问到内网服务器的业务。

   3、在AF上测试

   路径：【系统】--【排障】--【命令行控制台】

   

   AF到内网服务器的通信正常。

    4、将映射的公网IP添加到AF的外网接口上。

    考虑到外网接口只配置了互联IP，没有配置映射的公网IP，将公网也填进去。

    路径：【网络】--【接口/区域】--【接口】

    在外网接口上添加上映射的公网IP。

    5、开直通

    路径：【策略】--【排障】--【故障排查】

    分别添加上要访问的公网IP、内网IP和源。

   

   没有拦截的日志包显示。

   6、抓包

   路径：【系统】--【排障】--【抓包取证】

   分别抓取外网口和内网口的数据包。

   在外网持续访问该服务接口。

   发现在外网口有抓到包，但是在内网口没有抓到包。

   说明数据已经到达防火墙，只是防火墙没有进行转发。

   

   7、将地址映射更改为双向地址转换。

   编辑第一步配置的地址映射规则，点击“高级”。

   

    启用“双向地址转换”。

    然后，故障解决。

    怀疑是内网有错误的路由导致，由于时间比较晚，就没有进行验证。

   

    二、注意

    1、如果两个网段的数据通过AF的同一个接口转发，即从Eth0进又从Eth0口出，需要配置一条LAN-2-LAN的规则。