Nat acl应用的故障排查

　　一、客户需求

　　客户原来只有一条30M联通链路，办公区和服务器区都走联通链路。由于办公区和服务器区共同使用同一条链路，办公区上网人员较多时常出现外部人员访问服务器区速度慢的现象。为了提高访问效率、拓展带宽、增加链路冗余备份的功能，客户选择增加一条50M电信通链路解决上述问题。

　　二、改造思路

　　1.服务器区网段终端通过默认路由走联通链路 ，并配置到电信通的默认浮动路由增加冗余性。

　　2.办公区网段终端通过在路由器上配置的策略路由走电信通链路。

　　3.客户要求服务器的静态映射在防火墙上做，故从路由器上配置的静态映射移动到防火墙上(路由器和防火墙互联的ip为公网联通ip，地址池也是联通公网ip)

　　三、拓扑图

　　四、故障现象

　　配置完毕后，办公区和服务器区终端向外访问正常，也实现了办公区走电信通链路服务器区走联通链路的预想设置效果，但是外部人员无法正常访问服务器了。

　　五、故障排查思路

　　1、问题定位

　　1. 防火墙到服务器区的路由不通

　　2. 在防火墙上配置的服务器静态映射有问题

　　3.外部用户到防火墙上路由不通

　　2、排查过程

　　1.从防火墙上ping服务器区终端发现路由是通的，排除第一种可能。

　　2.从内部办公区用户访问防火墙上服务器静态映射的公网ip发现可以正常跳转到服务器的web页面，说明静态映射成功。

　　3.从外部网络ping防火墙上的公网ip(防火墙开启了允许ping功能)发现不通，然后ping路由器上的公网ip发现能通，然后在路由器上ping防火墙ip也通，那么问题就定位在了路由器上了，检查路由器配置发现如下：

　　acl number 2000

　　rule 0 permit

　　interface GigabitEthernet0/1

　　nat outbound 2000

　　这样问题就定位了，之所以外部用户无法访问防火墙上ip是因为在G0/1上做了nat把公网ip也进行了地址转换，外部用户访问防火墙的数据包可以到达防火墙上的ip，但是数据包返回时不再是防火墙上的ip而是经过nat转换成为了路由器上的ip，这样就导致外部用户请求的目的ip和返回的源ip不一致造成网络ping不通故障。

　　3、解决办法

　　解决办法只需防火墙的公网ip不经过nat转换即可，具体实现是在acl 2000上添加拒绝公网源ip经过nat转换的rule即可，添加完毕后外部用户可以访问服务器区上的业务了。

　　六、小结

　　遇到网络上的一些故障问题，要静下心来分析造成故障的多种原因，然后根据每种可能性进行排查，一步步的就可以找到问题原因从而解决网络故障。

2016年01月