会话外网访问内网

知双机热备NAT朱尘炀2016-09-19发表某运营商局点V5防火墙插卡(双机热备)业务流量外网访问内网方向natstatic不生效案例分析1、组网拓扑如下2、故障现象a、路由器做纯路由转发,在主备FW上做静态nat映射变更(变更前:natstatic10.
40.
107.
1310.
16.
36.
10变更后:natstatic10.
40.
106.
10010.
16.
36.
10)b、变更后,从终端PC过来的ping包可以正确到达映射后的服务器B,但是从终端PC过来的业务流量(UDP5060端口)依旧还是到变更前的服务器A,无法到达变更后的服务器Bc、回退到变更前的配置,业务流量正常到达服务器A1、变更后测试时防火墙上抓到的会话信息如下所示:2、变更后,服务器B上没有抓到终端PC的任何业务流量(只抓到了ping的流量),但是在服务器A上抓到了终端PC的业务流量现场业务流量为UDP5060端口报文,变更前由于原来的业务流量一直在运行,导致防火墙的UDP会话一直未老化,并且变更前没有进行ping测试而无icmp会话,变更了natstatic配置之后,新进入的流量直接匹配原来未老化的UDP会话,导致新修改的nat配置在UDP业务流量报文上不生效,由于无相关的icmp会话,所以修改nat配置之后ping测试时建立新的ICMP会话,natstatic对于ping测试生效变更了natstatic配置之后,在主备防火墙上同时重置所有会话,避免原来未老化的会话对新业务产生影响1、涉及到双机热备部署的V5防火墙,进行配置修改之后,尤其是影响流量转发的策略,在修改配置之后一定要清空重置一下防火墙的会话2、清空会话的时候,一定要主备防火墙同时重置会话,因为主备防火墙之间会话实时同步,只清空其中一台的话另外一台又会把老的会话同步过来