【AD】内网用户通过WAN口访问七层虚拟服务失败

更新时间：2018-08-17

所属模块应用负载 | 虚拟服务

适用版本通用

某客户AD7.0.4设备网关部署在网络出口，同时使用AD的七层虚拟服务发布了内网的OA系统，对外域名www.oa.com解析地址为虚拟服务vip，目前外网用户可以正常访问，但内网用户使用该域名无法正常访问。

1、检查虚拟服务配置如下，没有问题，加上节点服务器需要审计公网源IP地址，所以没启用自动SNAT。

2、内网用户使用域名(解析出来IP地址为接口公网地址)访问，类似端口映射的双向地址转换。检查配置发现，单独配置了一条从LAN口进且从LAN口出的源地址转换。

配置该规则的目的是将从LAN口进入的数据做源地址转换，便于节点服务器可以回包给AD。

3、加上2中的地址转换后，当内网电脑访问该虚拟服务时候，抓包发现内网电脑经过AD后，并没有转换源IP地址和服务器交互。

七层虚拟服务为全代理模式，前后端连接是独立的，因此对于AD而言，后端连接的数据并不是从LAN口进入的数据，而是设备主动发出的，导致上述的源地址转换规则匹配不上，不像四层虚拟服务纯转发。

方法一、源地址转换的入接口选择全部，则可以包含设备自己主动发包。

方法二、将七层虚拟服务改为四层虚拟服务，则上述从LAN进的源地址转换可以匹配上，因为四层没有涉及到协议代理，而是纯转发原理。

{{contentObj.name||'--'}}