客户拓扑如上所示: 环境描述: AD上做了应用负载,由于客户服务器不支持XFF字段,并且要求审计到用户的真实IP地址。所以AD上没有开启源地址转换。Server的网关全部都在AD上,是1.100 问题现象: 访问AD上的虚服务地址可以正常访问业务,但是如果直接使用mstsc远程桌面或者ssh登录Server,是无法访问到的。 排查原理: 对于访问虚服务的流量,从防火墙进来,到AD,再调度到服务器。从服务器回AD,再回到防火墙转发出去,没有任何问题。 对于直接访问Server的流量,从防火墙进来的时候,由于防火墙内网接口地址和AD和Server都是同网段的,所以防火墙会查直连路由,是个二层流量。但是回包的时候,服务器发的包目的地址是其他网段,会先找网关AD,于是从AD变成了三层流量,二层流量和三层流量最根本的区别是,MAC地址修改为了AD的地址。这样的话,对于防火墙来说,发出去的流量目的MAC地址是Server,收到的流量源地址是AD的MAC地址,但是IP地址都是相同的。这样的流量不对称,对于基于会话机制的防火墙来说是有问题的,如果NGFW变成路由器,这样的访问就是没问题的。 解决方式: 有的厂商可以防火墙关闭单向流检测功能。如果没有,可以在防火墙上添加目的地址是服务器的32位主机路由,下一跳指向AD来解决。
|