关于juniper火墙不能登录银行网银问题
在一个客户那里发现所有电脑都不能登录工商网银,用的防火墙是juniper的,给了6个公网IP,在juniper上做的地址池(DIP),并且做了带端口转换(PAT)的NAT,开始的时候一直认为是PAT的问题,因为工行网银用的是443端口,带端口转换后,443被转换到其他端口号,这种情况可能被拒绝。后来经过查资料发现像工行的这个网站,一次访问,有多个不同的session,而做了DIP,每个session就给你分配不同的IP,即发起会话的ip与后续会话的ip是不一样的,工商行网站就会认为是非法的会话从而造成无法登陆。
解决方法:
用telnet登录防火墙,输入set dip sticky,就行了!
关于set dip sticky,juniper官方文档的说明:
主机发起与要求网络地址转换 (NAT)的策略相匹配的几个会话,并且获得了来自 DIP池(已启用端口转换) 的分配地址时,安全设备为每个会话分配不同的源 IP 地址。对于创建多个会话(每个会话都需要同一源IP 地址) 的服务,这种随机地址分配可能会产生问题。
如果 DIP 池未执行端口转换,安全设备将会从相同的主机为所有并发会话分配一个IP地址。
例如,使用“AOL 即时消息”(AIM) 客户端时,多个会话具有相同的 IP 地址非常重要。登录时将创建一个会话,并且将创建另一个用于每个聊天的会话。对于验证新聊天属于认证用户的 AIM 服务器,必须使登录会话的源 IP 地址与聊天会话的源 IP 地址相匹配。如果它们不同 - 可能因为是在 NAT 过程期间从 DIP 池随机分配 - IM 服务器将拒绝聊天会话。要确保安全设备从 DIP 池将相同的 IP 地址分配给主机的多个同时会话,可输入CLI 命令set dip sticky,启用DIP粘连功能。
