USG2210双出口案例中出现的问题

发布时间:  2014-09-11 浏览次数:  448 下载次数:  0
问题描述
设备描述: USG2210一台,双出口,一条电信光纤,一条ADSL线路,内网口为G0/0/1。
现象:内网有一台服务器,通过做NAT server映射出去,外网用户能够正常访问,内网用户无法通过公网地址正常访问此服务器。
告警信息
处理过程
首先,分析内网用户通过公网地址访问内网服务器的整个数据流走向,观察到USG2210并没有做域内NAT。随后按照需求配置域内NAT,进行测试后发现并没有测通。
其次,通过咨询分析,防火墙接收到访问数据流后,先进行NAT SERVER的转换,把目的地址转换成服务器私网地址,再通过查路由决定数据流的走向。由于转换后,目的地址变成了私网地址,在策略路由的设置中,已经deny了这些服务器的私网地址,所以内网用户访问服务器的数据流会按照正常的静态路由进行转发,从而能够被内网服务器接收到,以完成整个数据的通讯过程。
根因
正常情况下,内网用户通过公网地址访问同一内网的服务器,在使用我们USG的情况下必须做域内NAT,才能够使其正常访问。由于此客户环境为双出口,客户要求在一些IP走光纤链路,一些IP走ADSL线路上外网。所以必须结合静态路由和策略路由设置实现数据的负载分担。
内网用户无法通过公网地址访问同一内网的服务器,是因为在做策略路由时,没有把内网用户到公网用户的数据流踢出策略,也就是数据流先匹配了策略路由直接转成外网,并没有通过域内NAT的正常转换,访问内网服务器。
建议与总结
在稍微复杂的网络环境中,必须理清客户的业务访问需求,然后转换成我们所能控制的数据流动需求,通过对防火墙处理数据的顺序理解,进行正确的策略路由配置、NAT配置和其它安全策略设置。

END