一、背景说明
出口EG设备配置端口映射,外网无法访问。
二、排查思路
1、检查内网是否可以正常访问内网需要映射的资源,确保被映射内网资源是正常提供服务。
2、查看映射端口是否有配置正确的端口或IP地址。
3、检查设备上是否配置安全策略,如配置安全策略是否对映射IP和端口进行放通
4、行为策略是否禁止对应的应用,或者内网设备被配置黑名单导致无法访问
5、内网是否开启了web认证导致服务器不可达
6、映射端口是否被运营商屏蔽或者使用了非法的映射端口
三、排查方法
1、登录内网被映射服务器,查看响应服务的端口是否处于监听状态,服务是否正常提供服务,如非我司服务器,可以要求服务器管理员确认。服务器上是否开启防火墙安全过滤功能。
2、检查出口是否配置的正确的内外网端口(指定服务对应端口是否正确)和IP地址;
映射配置命令:ip nat inside source static tcp 192.168.1.4 3389 172.18.161.111 3389 permit-inside
如果不知道服务器的端口号的可以在下表中查找
附常见端口的表格:
a.基于UDP:SNMP:UDP 161 L2TP:UDP 1701 IPSEC: UDP 500、4500 SSLVPN: UDP 443 DHCP:UDP 67、68
b.基于TCP:telnet: tcp 23 PPTP: TCP 1723 SAM联动:TCP 2012 WEB管理:http方式默认TCP 80、https方式默认 TCP 443
c.基于IP:GRE OSFP ICPM
检查映射的IP地址与实际是否相符,映射的端口、协议是否正确,是否未把所有需要的端口都映射出来。
3、排查设备上安全策略是否过滤或放通,接口访问控制列表或者是ip session filter调用的ACL需要放通任意到外网的IP地址对应端口的数据流,还有内网对应服务器IP到任意的数据流,如安全策略的ACL中,针对上面配置的端口映射信息,需要放通内网192.168.1.0段的地址上网的数据流,也要放通外网用户访问到外网口地址172.18.161.11的3389端口
通过底层查看流表,show ip f f | inc 172.18.161.11
查看是否有公网IP测试用户访问的流表信息,如果有收发流信息说明EG映射功能正常,继续排查,这种情况也有可能是EG与被映射资源之间有安全设备,如果拓扑中存在安全设备,比如防火墙等。需要确认防火墙是否将服务器的端口过滤。如果没有流表信息查看EGip session filter或接口调用安全策略是否正常放通映射资源,跳过第4步排查。
4、排查是否EG配置了行为策略,具体路径如下:
(1)、 配置路径:web界面--行为管理--行为策略--简易配置--禁止应用(禁止了被映射的服务)