記錄一下Juniper SSG或者ISG 系列防火墻上配置一對多NAT映射 VIP（Viritual Internet Protocol）時碰到的一個特殊的問題， 就是在內部服務器ICMP報文被阻斷的情況下，啟用VIP的Server Auto Enable 功能引起的NAT映射失效問題，希望可以給碰到相同問題的人一些參考。

測試平臺：Juniper ISG 1000 防火墻，軟件版本為 6.3.0。

遇到的問題：

任務是將內網的一臺Windows服務器（IP地址：192.168.X.X）的公網出口地址更換為新的公網出口地址(IP地址：60.X.X.X)，所以在出口防火墻上添加了一條新的VIP映射，將公網地址 60.X.X.X 的8080端口映射到內網服務器 192.168.X.X 的 8080端口，如下圖所示：

默認配置VIP時會開啟Server Auto Dectection，這里就保持默認了，但是配置完成后，就直接 telnet 公網地址60.X.X.X的8080端口進行測試，發現不通。

然后就去檢查服務器，服務器上發現8080端口和對應的服務狀態都是正常的，直接在出口防火墻上telnet服務器192.168.X.X的8080端口也是正常的。

那就說明是對外的VIP映射出了點問題，但奇怪的是同事發現把服務器自身的防火墻關閉之后，外網就能訪問到服務器的8080端口了，但是開啟之后又不能訪問了，這就把問題又引入另一個奇怪的方向了？服務器8080端口不管有沒有關閉自身防火墻在內網一直是可以訪問的，但是關閉它自身的防火墻卻可以影響外網對它8080端口的訪問？然后檢查了服務器的防火墻，8080端口沒有被阻斷，也沒配置任何跟它相關的安全策略。

最后再次檢查了防火墻，確認了一下VIP的配置，沒什么問題，只是這條VIP映射狀態顯示為Down，一個有經驗的前輩讓我把VIP的Server Auto Detection參數去掉試試，我就去掉了，然后發現通了?。?！

問題原因：

最后確認問題是Juniper ISG 防火墻配置VIP時開啟了 Server Auto Detection 導致的，但以前配置的時候都是正常的，這次是因為服務器也有鍋，服務器自身防火墻上出于安全考慮配置了阻斷外部ICMP報文（ping）的策略，而Juniper防火墻的 Server Auto Detection自動檢測功能是通過ping來檢測服務器的連通性進而判斷配置的VIP映射是否有效，有效則顯示狀態為OK，無效則顯示狀態為Down，如果判定為無效，數據包進來時就無法使用此映射規則了。

所以正常情況下服務器自身沒有配置任何安全策略的時候，Juniper防火墻上直接配置VIP并默認開啟 Server Auto Detection是不影響正常通信的，這里是因為服務器自身阻斷了ICMP報文這種特殊情況，導致防火墻使用 Server Auto Detection 對該服務器進行連通性檢測時失敗，進而將映射到該服務器的VIP 判定為無效映射，從而無法使用映射規則進行通信，對應的映射端口自然也無法訪問了。

解決辦法：

針對這種問題，解決辦法有兩個，要么就是關閉服務器自身防火墻的阻斷ICMP報文的策略，要么就是關閉防火墻VIP映射里的 Sever Auto Detection 功能，也不會影響正常通信。我這里直接關閉了VIP配置中的 Sever Auto Detection。

這里簡單說一下關閉 Sever Auto Detection 的功能的兩種方法，在Web界面只需在VIP配置界面，去掉 Sever Auto Detection 的勾選即可，在命令行配置VIP時，可以通過幫助信息看到，在 VIP配置后添加 manual 參數即表示關閉 Sever Auto Detection功能，通過默認參數配置的VIP都會不會添加 manual 參數。

nsisg1000-> set interface ethernet3/4 vip 60.X.X.X + 8088 "tcp-8088" 192.168.X.X ?

manual turn off server auto detection