AF路由部署在内网，业务区域无法访问服务器区域

-------故障现象-------

客户反馈有台墙在防火墙区域的前面路由部署，现在内网无法访问服务器

-------基本环境确认-------

根据客户的描述的网络地址信息得出以下网络环境

-------故障原因定位-------

根据现象以及环境，怀疑两个原因

1、  被应用控制策略拦截

2、  缺少路由导致的

-------故障排除中------

一、检查应用控制策略是全放通的，所以第一个怀疑的基本上可以排除掉了，主要检查理由方便的原因，多半是由于少路由引起的

二、分别检查在内网PC到服务器之间的所有三层设备，也就是三层交换机和AF的路由，判断是否缺少路由导致的

1、AF上添加路由

首先要在AF上添加一个去往10.18.21.0/24位的网段的路由有没有，如果没有添加上，如下

2、三层交换机上写条到10.0.240.0/24的路由，如下

都写完之后验证下联通性，测试结果发现

PC仅仅能访问到AF的lan口，即10.0.240.1，访问不到10.0.240.2的服务器地址，这说明什么？也就是在各个设备上都有相关的路由了，那问题可能是出现在服务器本身了。

三、根据以上的分析，可能的原因有两个

1、 服务器禁ping

2、 服务器上没有到PC段的回包路由

到底是哪个原因导致的？还需要一步一步验证，先看第一个

1、第一个很简单，只需要在AF的命令控制台ping下服务器的地址看下是否通的

结果：可以ping通，说明服务器没有禁ping

2、验证第二个，正常情况下将服务器看成一个主机即可，主机要想产生默认的路由，需要写网关，如果服务器的网关指向AF的240.1口的话，那就会生成一个默认的路由，下一跳是240.1，所以这一步我们只需要看服务器的网关即可

结果：服务器的网关指向的并不是240.1，那这样的话，服务器就无法和内网的用户进行通信了，因为没有回包路由（网关不能做修改）。

那问题又来了，虽然路由打通了，但是内网PC依旧无法访问服务器，既然这样，那怎么实现呢？

四、址转换实现内网PC访问服务器

地址转换有三种

1、  源地址转换：这种方式是将内网的PC区域地址转换成AF的24.1这个地址去访问服务器，这样对于服务器来讲，看到的访问自己的所有的数据的源都只240.1这个地址，客户并咩有看到真实的源IP的需求，所以通过源地址转换可以实现此需求；

2、  目的地址转换（端口映射）：这种的话，炸一想是可以的，将服务器映射到10.18.115.210这个地址，仔细一想实际是不可以的，因为服务器本身到115.210是不通的哇。（没有路由所以不通）

3、  双向映射：双向也是可以的，因为双向的源和目的都是服务器的地址，并不需要服务器和AF的wan口也就是115.210通信。

最终解决

根据客户的要求，最终做源地址转换实现

-------结论-------

1、  在PC到服务器之间的所有三层设备上添加相对应的路由。

2、  在AF上做源地址转换，实现PC到服务器的互访。

排错过程很详细，出现问题，解题思路很重要，哈~~~
学习了，感谢分享！

恩恩  不错

厉害厉害，感谢分享

点赞！！！！！！！！！！！！！！！

“虽然路由打通了，但是内网PC依旧无法访问服务器”是因为路由是转发不了私网地址与公网地址通信，所以私网地址需要NAT技术转发为公网IP实现与外网通信。

感谢楼主分享

感谢分享

感谢分享

详细，值得借鉴