https://support.huawei.com/enterprise/zh/knowledge/EKB1000060744
问题描述
USG防火墙NAT映射不通故障汇总,本案情况均配置正常。
处理过程
用户有一台服务器,IP地址是192.168.1.100,公网地址是1.1.1.1。在防火墙上配置地址映射如下:
nat server 10 protocol tcp global 1.1.1.1 80 inside 192.168.1.100 80
故障一:防火墙上没有放行策略
现象:访问不通,在防火墙上查看不到会话。
查看会话命令为:
display firewall session table verbose destination inside 192.168.1.100
Current Total Sessions : 0
解决办法:在域间放行到服务器的策略。
故障二:运营商封闭端口号
现象:访问不通,在防火墙上查看不到会话。
解决办法:找运营商协商。
故障三:服务器没有配置网关,或内网路由有问题。
现象:访问不通,在防火墙上看到会话有去无回。
查看会话为:
display firewall session table verbose destination inside 192.168.1.100
Current Total Sessions : 1
telnet VPN:public –> public
Zone: untrust–> trust TTL: 00:00:00 Left: 00:00:10
Output-interface: GigabitEthernet0/0/1 NextHop: 192.168.1.100 MAC: xx-xx-xx-xx
<–packets:445 bytes:20841 –>packets:0 bytes:0
x.x.x.x:56221–>1.1.1.1:80[192.168.1.100:80]
解决办法1:服务器配置网关或者解决路由问题。
解决办法2:如果确认路由无问题,而服务器因特殊原因不方便配置,可以在内网接口上起用nat功能,将外网地址转换成内网地址。
故障四:特殊应用访问不正常,例如,FTP服务器可以登录,但无法访问资源。
现象:特殊应用访问不正常,例如,FTP服务器可以登录,但无法访问资源。会话查看有时正常,且数据有去有回。
解决办法:域间开启nat alg功能。
命令如下:
firewal interzone trunst untrust
detect ftp
注:此外,PPTP、SIP等问题均可参考。
故障五:双链路环境下,源进源出问题导致访问不正常。
现象:客户将一台服务器同时映射到两个接口上,访问有时正常有时无法访问,出现问题时,查看会话有去无回。
解决办法:该问题为老版本没有源进源出功能,USG2000/5000防火墙需要升级到V300R001C00SPC700以后的版本解决。
建议与总结
针对地址映射不通,最有效的办法就是查看会话状态:
1、如果没有会话,就有可能是策略拒绝或者运营商封闭端口号。
2、如果数据有去无回,就是内网服务器或者路由的问题。
3、如果数据有无有回,但访问不正常,就有可能是特殊应用的问题。
移动通信技术经历了多次迭代,不断提升性能和服务质量。
第一代移动通信技术(1G):采用模拟信号传输,主要支持语音通话,传输速率较低,保密性差。
第二代移动通信技术(2G):以数字信号为基础,除语音通话外,还支持短信等简单的数据业务。GSM 是 2G 中广泛应用的标准。
第三代移动通信技术(3G):能够提供更高的数据传输速率,支持多媒体业务,如视频通话、移动互联网接入等。WCDMA、CDMA2000 和 TD-SCDMA 是 3G 的主要标准。
第四代移动通信技术(4G):基于 LTE 技术,数据传输速率大幅提升,提供高质量的移动宽带体验,支持高清视频流、在线游戏等高带宽需求的应用。
第五代移动通信技术(5G):具有高速率、低时延、大容量连接等特点。不仅能满足更高速的移动互联网需求,还能支持物联网、工业互联网、智能交通等众多新兴应用场景。