在一個客戶那裏發現所有電腦都不能登錄工商網銀,用的防火牆是juniper的,給了6個公網IP,在juniper上做的地址池(DIP),並且做了帶端口轉換(PAT)的NAT,開始的時候一直認爲是PAT的問題,因爲工行網銀用的是443端口,帶端口轉換後,443被轉換到其他端口號,這種情況可能被拒絕。後來經過查資料發現像工行的這個網站,一次訪問,有多個不同的session,而做了DIP,每個session就給你分配不同的IP,即發起會話的ip與後續會話的ip是不一樣的,工商行網站就會認爲是非法的會話從而造成無法登陸。
解決方法:
用telnet登錄防火牆,輸入set dip sticky,就行了!
關於set dip sticky,juniper官方文檔的說明:
主機發起與要求網絡地址轉換 (NAT)的策略相匹配的幾個會話,並且獲得了來自 DIP池(已啓用端口轉換) 的分配地址時,安全設備爲每個會話分配不同的源 IP 地址。對於創建多個會話(每個會話都需要同一源IP 地址) 的服務,這種隨機地址分配可能會產生問題。
如果 DIP 池未執行端口轉換,安全設備將會從相同的主機爲所有併發會話分配一個IP地址。
例如,使用“AOL 即時消息”(AIM) 客戶端時,多個會話具有相同的 IP 地址非常重要。登錄時將創建一個會話,並且將創建另一個用於每個聊天的會話。對於驗證新聊天屬於認證用戶的 AIM 服務器,必須使登錄會話的源 IP 地址與聊天會話的源 IP 地址相匹配。如果它們不同 - 可能因爲是在 NAT 過程期間從 DIP 池隨機分配 - IM 服務器將拒絕聊天會話。要確保安全設備從 DIP 池將相同的 IP 地址分配給主機的多個同時會話,可輸入CLI 命令set dip sticky,啓用DIP粘連功能。
如果 DIP 池未執行端口轉換,安全設備將會從相同的主機爲所有併發會話分配一個IP地址。
例如,使用“AOL 即時消息”(AIM) 客戶端時,多個會話具有相同的 IP 地址非常重要。登錄時將創建一個會話,並且將創建另一個用於每個聊天的會話。對於驗證新聊天屬於認證用戶的 AIM 服務器,必須使登錄會話的源 IP 地址與聊天會話的源 IP 地址相匹配。如果它們不同 - 可能因爲是在 NAT 過程期間從 DIP 池隨機分配 - IM 服務器將拒絕聊天會話。要確保安全設備從 DIP 池將相同的 IP 地址分配給主機的多個同時會話,可輸入CLI 命令set dip sticky,啓用DIP粘連功能。