juniper 550 上访问age out

lodestar300802

做的多对一的源地址转换，将内部多个源ip 转换为17.93.8.1并告知对方，将对方的实际ip 192.169.10.2转换为122.2.18.99供内部访问。对方做服务端，对方服务器为windows平台，对方服务端口为1500端口
故障现象：其中122.0.65.12为aix操作系统，122.5.31.92为windows操作系统，122.0.33.61为suse linux操作系统
在aix操作系统下能够ping通对端地址122.2.18.99，但无法telnet 对方服务端口。
在windows 、suse下既能够ping通对端地址122.2.18.99，也能够telnet 对方服务端口。


dip和策略配置如下
set interface redundant3 ext ip 17.93.8.1 255.255.255.255 dip 60 17.93.8.1 17.93.8.1
set policy id 1282 from "Intraccess" to "Untrust"  "122.0.33.61"
"122.2.18.99/32" "ANY" nat src dip-id 60 dst ip 192.169.10.2 permit log
set policy id 1282
set src-address "122.0.65.12/32"
set src-address "122.5.31.92/32"
exit
防火墙日志显示bytes received为0，close reason为close - AGE OUT


                                                                             
在防火墙之外的交换机上抓包（因为经过了防火墙，目的地址就变为实际地址了）
根据抓包情况，抓包过滤条件为源17.93.8.1，目的192.169.10.2
访问不通的aix系统发包，tcp包的options字节数为4;
而能够访问成功的windows系统发包，tcp 包的options字节数为20.