記錄一下Juniper SSG或者ISG 系列防火墻上配置一對(duì)多NAT映射 VIP（Viritual Internet Protocol）時(shí)碰到的一個(gè)特殊的問(wèn)題， 就是在內(nèi)部服務(wù)器ICMP報(bào)文被阻斷的情況下，啟用VIP的Server Auto Enable 功能引起的NAT映射失效問(wèn)題，希望可以給碰到相同問(wèn)題的人一些參考。

測(cè)試平臺(tái)：Juniper ISG 1000 防火墻，軟件版本為 6.3.0。

遇到的問(wèn)題：

任務(wù)是將內(nèi)網(wǎng)的一臺(tái)Windows服務(wù)器（IP地址：192.168.X.X）的公網(wǎng)出口地址更換為新的公網(wǎng)出口地址(IP地址：60.X.X.X)，所以在出口防火墻上添加了一條新的VIP映射，將公網(wǎng)地址 60.X.X.X 的8080端口映射到內(nèi)網(wǎng)服務(wù)器 192.168.X.X 的 8080端口，如下圖所示：

默認(rèn)配置VIP時(shí)會(huì)開(kāi)啟Server Auto Dectection，這里就保持默認(rèn)了，但是配置完成后，就直接 telnet 公網(wǎng)地址60.X.X.X的8080端口進(jìn)行測(cè)試，發(fā)現(xiàn)不通。

然后就去檢查服務(wù)器，服務(wù)器上發(fā)現(xiàn)8080端口和對(duì)應(yīng)的服務(wù)狀態(tài)都是正常的，直接在出口防火墻上telnet服務(wù)器192.168.X.X的8080端口也是正常的。

那就說(shuō)明是對(duì)外的VIP映射出了點(diǎn)問(wèn)題，但奇怪的是同事發(fā)現(xiàn)把服務(wù)器自身的防火墻關(guān)閉之后，外網(wǎng)就能訪問(wèn)到服務(wù)器的8080端口了，但是開(kāi)啟之后又不能訪問(wèn)了，這就把問(wèn)題又引入另一個(gè)奇怪的方向了？服務(wù)器8080端口不管有沒(méi)有關(guān)閉自身防火墻在內(nèi)網(wǎng)一直是可以訪問(wèn)的，但是關(guān)閉它自身的防火墻卻可以影響外網(wǎng)對(duì)它8080端口的訪問(wèn)？然后檢查了服務(wù)器的防火墻，8080端口沒(méi)有被阻斷，也沒(méi)配置任何跟它相關(guān)的安全策略。

最后再次檢查了防火墻，確認(rèn)了一下VIP的配置，沒(méi)什么問(wèn)題，只是這條VIP映射狀態(tài)顯示為Down，一個(gè)有經(jīng)驗(yàn)的前輩讓我把VIP的Server Auto Detection參數(shù)去掉試試，我就去掉了，然后發(fā)現(xiàn)通了?。?！

問(wèn)題原因：

最后確認(rèn)問(wèn)題是Juniper ISG 防火墻配置VIP時(shí)開(kāi)啟了 Server Auto Detection 導(dǎo)致的，但以前配置的時(shí)候都是正常的，這次是因?yàn)榉?wù)器也有鍋，服務(wù)器自身防火墻上出于安全考慮配置了阻斷外部ICMP報(bào)文（ping）的策略，而Juniper防火墻的 Server Auto Detection自動(dòng)檢測(cè)功能是通過(guò)ping來(lái)檢測(cè)服務(wù)器的連通性進(jìn)而判斷配置的VIP映射是否有效，有效則顯示狀態(tài)為OK，無(wú)效則顯示狀態(tài)為Down，如果判定為無(wú)效，數(shù)據(jù)包進(jìn)來(lái)時(shí)就無(wú)法使用此映射規(guī)則了。

所以正常情況下服務(wù)器自身沒(méi)有配置任何安全策略的時(shí)候，Juniper防火墻上直接配置VIP并默認(rèn)開(kāi)啟 Server Auto Detection是不影響正常通信的，這里是因?yàn)榉?wù)器自身阻斷了ICMP報(bào)文這種特殊情況，導(dǎo)致防火墻使用 Server Auto Detection 對(duì)該服務(wù)器進(jìn)行連通性檢測(cè)時(shí)失敗，進(jìn)而將映射到該服務(wù)器的VIP 判定為無(wú)效映射，從而無(wú)法使用映射規(guī)則進(jìn)行通信，對(duì)應(yīng)的映射端口自然也無(wú)法訪問(wèn)了。

解決辦法：

針對(duì)這種問(wèn)題，解決辦法有兩個(gè)，要么就是關(guān)閉服務(wù)器自身防火墻的阻斷ICMP報(bào)文的策略，要么就是關(guān)閉防火墻VIP映射里的 Sever Auto Detection 功能，也不會(huì)影響正常通信。我這里直接關(guān)閉了VIP配置中的 Sever Auto Detection。

這里簡(jiǎn)單說(shuō)一下關(guān)閉 Sever Auto Detection 的功能的兩種方法，在Web界面只需在VIP配置界面，去掉 Sever Auto Detection 的勾選即可，在命令行配置VIP時(shí)，可以通過(guò)幫助信息看到，在 VIP配置后添加 manual 參數(shù)即表示關(guān)閉 Sever Auto Detection功能，通過(guò)默認(rèn)參數(shù)配置的VIP都會(huì)不會(huì)添加 manual 參數(shù)。

nsisg1000-> set interface ethernet3/4 vip 60.X.X.X + 8088 "tcp-8088" 192.168.X.X ?

manual turn off server auto detection