1 1拓撲
拓撲可以保存到本地,然後擴大查看,這樣才能看的更清楚。
1 NAT Server測試
說明:之前部署了NAT Server功能,並且轉換了2個地址,提供了對應WWW服務與FTP服務。目前用外網進行測試。
2 內網測試是否能正常訪問
說明:可以看到2個服務都已經正常了。
外網PC訪問對應服務【電信】
防火牆是有對應的NAT會話信息了,
WEB正常 FTP訪問不了
外網PC訪問對應服務【網通】
還是以公網地址充當外網訪問的角色。
一樣無法打開。
3 問題:為什麼HTTP可以訪問,而FTP卻訪問失敗。
說明:因為HTTP是單信道協議,而FTP則是多信道協議,而分為主動與被動模式,它會根據不同的模式在應用層動態的協商一個端口號與地址,所以導致NAT後,地址變化了,但是應用層的地址防火牆沒有感知到,導致訪問失敗。
解決辦法:【開啟應用層網關功能 ALG】
[USG-GW]firewall interzone trust isp_dx
[USG-GW-interzone-trust-isp_dx]detect ftp
[USG-GW]firewall interzone trust isp_lt
[USG-GW-interzone-trust-isp_lt]detect ftp
說明:該配置就是開啟了應用層網關功能,在trust到2個ISP之間。注意這個不區分方向的 雙向開啟。
可以看到開啟後,2個地址都可以正常訪問了。
擴展:如果映射了PPTP服務器的話,也會出現問題。
說明:PPTP服務器除了映射端口號以外,它還會封裝GRE,如果不是一對一的轉換,則會出現問題,所以解決辦法還是跟上面一樣,在裡面監控PPTP即可。
4 工程中常見問題:如何使用公網IP或者域名訪問內部服務器。
說明:在工作當中,往往需要訪問服務器,並且又對外提供了服務,這樣的話,會讓客戶記住2個IP,一個內網訪問的,一個外網訪問的,這樣非常不方便,也對於不懂IT技術的人來說不可行。所以我們希望的是,通過外網IP或者域名直接訪問。
默認情況下用內網地址訪問是沒任何問題的。
5 解決辦法【域內NAT】
1、定義地址池
[USG-GW]nat address-group 5 200.1.1.1 200.1.1.1
2、定義域內NAT
[USG-GW]nat-policy zone trust
說明:地址池的地址可以隨意定義的,然後調用在域內NAT裡面。如果是平時的話這裡就可以結束了,可以正常訪問了,但是在這個環境中還不行。
3、在雙ISP+策略路由的情況下特別需要注意的地方。
(1)問題:雙ISP綁定了Zone
說明:上面那2個配置只適合沒有綁定Zone的,也就是在輸入時沒有加入對應的Zone參數,沒加的話屬於任何一個Zone都可以,如果加了則只處理該Zone的數據包轉換,而之前定義的都是綁定了出口ISP的,所以只能轉換從2個ISP來的流量,而內部來的則不能正常轉換。這樣會導致失效。
解決辦法:no-reverse
加了兩條綁定Trust Zone的,這樣的話就可以處理Trust來的轉換了,實際就是在域內直接轉換了。這裡只給出了WWW的,FTP的就不演示了,注意同一個Zone是需要加no-reverse參數的,否則配置不上。
4、策略路由影響
分析:如果在平時的話,上面3個配置絕對可以解決問題了,但是,在這個環境下,我們還部署了一個策略路由,策略路由是優先於NAT轉換的,也就是說,它會按照策略路由指定的下一跳轉發,那麼導致的情況是,本來已經轉換成功了訪問,但是策略路由交給的下一跳是丟給ISP的,而不是服務器。
6 解決辦法:
1、定義新的ACL
[USG-GW]acl number 3001
[USG-GW-acl-adv-3001]rule deny ip source 192.168.0.0 0.0.255.255 destination 192.168.88.251 0
[USG-GW-acl-adv-3001]rule permit ip source 192.168.19.0 0.0.0.255
[USG-GW-acl-adv-3001]rule permit ip source 192.16.21.0 0.0.0.255
[USG-GW]acl number 3002
[USG-GW-acl-adv-3002]rule deny ip source 192.168.0.0 0.0.255.255 destination 192.168.88.251 0
[USG-GW-acl-adv-3002]rule permit ip source 192.168.20.0 0.0.0.255
說明:ACL從標準的變為了擴展的,可以看到先是deny掉了,當192.168.0.0訪問服務器的時候做轉換,平時肯定是直接通過三層交換機進行轉換了,沒經過防火牆,但是做域內NAT的話,其實就是在防火牆的入接口上面做了一下轉換,但是在入接口上面又調用了策略路由,之前的話是匹配了直接交給ISP,這樣的話導致本來正常轉換了的數據包,想發送給服務器,但是由於策略路由的存在,就強行的發送給ISP了,所以這裡deny掉,就是讓它正常按路由錶轉發,而不受策略路由的控制。
2、策略路由改動【把ACL調用為修改後的】
3、應用到入接口(不在演示)
4、FTP的需要注意的地方。
除了之前的NAT Server在Trust定義以外,還需要調用一個應用層監控,因為之前是在域間轉換的,所以在域間調用了ALG功能,但是這次是域內轉換,所以需要再次 監控。
[USG-GW]firewall zone trust
[USG-GW-zone-trust]detect ftp
7 結果測試
可以看到通過IP地址可以正常訪問了,當然通過域名的方式也是可以的,這裡只是不搭建環境測試了。
8 總結【策略、NAT、雙ISP部署】
可以看到策略、NAT 雙ISP的情況出現,需要考慮的因素會非常多,比如策略需要考慮需求,要結合NAT、時間策略等因素進行部署,達到效果,源NAT沒什麼需要太多注意的地方,但是NAT Server的需要注意幾點,如果是同一個zone的話,必須加no-resver參數,不同Zone可以不加。而雙ISP的存在,需要考慮到路由的切換,檢測機制,跟策略路由的部署,這裡策略路由的ACL強烈建議用擴展ACL,因為可以看到如果需求有變化的話,標準ACL立馬顯得無奈,只有擴展的才能更好的匹配。 最後是如果部署需要通過公網IP或者域名訪問公司內部服務器的話,則必須部署域內NAT。但是有綁定Zone跟策略路由的情況下,需要非常注意。最後就是NAT的ALG功能,對於多信道的協議必須開啟應用層監控功能,否則NAT識別不了,常見的比如FTP、PPTP、QQ等都有,如果發現該應用工作不正常,則加入ALG功能即可。
閱讀更多 思恆科技 的文章
