USG防火墙NAT Server双出口环境下的配置要点

发布时间:  2014-09-11 浏览次数:  1104 下载次数:  0
问题描述
组网拓扑:





用户需求,

a、  内网用户,访问网通的IP走网通链路,默认走电信链路,达到访问速度快和链路带宽的合理化利用,并且当其中一条链路down掉时,所有流量可以切换到另外一条链路。

b、  外网用户和内网用户通过网通的公网IP和电信的公网IP均能访问内部服务器11.1.1.2



当前配置(省略部分均为默认配置):

……

undo nat alg enable esp

nat alg enable ftp

nat alg enable dns

nat alg enable icmp

……                                     

firewall statistic system enable

#

interface Ethernet0/0/0

ip address 218.10.0.2 255.255.255.0

#

interface Ethernet0/0/1

ip address 58.40.0.2 255.255.255.0

#

interface Ethernet0/0/2

ip address 11.1.1.1 255.255.255.0

……

#

firewall zone trust

set priority 85

add interface Ethernet0/0/2

……

#

firewall zone name wangtong

set priority 6

add interface Ethernet0/0/0

#

firewall zone name dianxin

set priority 7                          

add interface Ethernet0/0/1

……

#

firewall interzone trust wangtong

#

firewall interzone trust dianxin

……

#

告警信息
问题:

①、请按照上述需求补充其它主要的具体配置,包括路由、nat等配置(假定内网上外网nat以接口ip进行转换)?

②、如何实现双出口nat server情况下,使得外网用户可以通过网通IP和电信IP访问内部服务器?(该方案需要保证外网用户数据包从哪条链路进来就从哪条链路回包,否则对于路由不对称的情况下,运营商如果开启防IP欺骗,可能出现部分访问不通的情况)

③、用户发现内网用户不能够通过访问公网IP 218.10.0.3访问内网服务器,但能够通过访问域名www.xyz.com(该域名对应的公网IP正是218.10.0.3)来访问内部服务器。请分析其原因,并给出通过访问公网IP访问内网服务器的方法?
处理过程
①、主要配置,包括路由、nat配置路由配置:

搜集网通IP明细网段,根据此设置静态路由指向下一跳,218.10.0.1

默认网关配置

ip route-static 0.0.0.0 0.0.0.0 58.40.0.1(preference 60)

ip route-static 0.0.0.0 0.0.0.0 218.10.0.1 preference 100

##关键点优先级大小不要弄错,上面第二条命令中的数值要比第一条大,默认网关的默认preference为60,则默认路由优选第一条。

nat 配置:

acl number 3100

rule 5 permit ip source 11.1.1.0 0.0.0.255

……

firewall interzone trust wangtong

nat outbound 3100 interface Ethernet0/0/0

#

firewall interzone trust dianxin        

nat outbound 3100 interface Ethernet0/0/1

在不同的域间nat策略转换成对应的接口出去



②、如何实现双出口下nat server的配置方案



目前防火墙的转发流程决定,无法实现用户通过电信IP/网通IP访问服务器,数据包就从电信链路/网通链路回。

规避方案如下

在内部服务器上配置两个IP,不同链路上的nat server对应不同的IP,然后在数据包的回包过程中基于不同的源IP设定策略路由指回对应的链路。从而实现nat server映射到网通的服务器IP从网通回,映射到电信的服务器IP从电信回。



nat server的配置:

nat server zone Wangtong global 218.10.0.3 inside 11.1.1.2

nat server zone Dianxin global 58.40.0.3 inside 11.1.1.3



策略路由的配置:

策略路由的配置不同防火墙略有区别,采用qos或者route-policy命令进行配置,同时由于要实现内网PC通过公网IP来访问内部服务器,则需要在策略路由中的acl匹配中,deny掉服务器IP到内网段的规则。





③、用户发现内网用户不能够通过访问公网IP访问内网服务器,但能够通过访问域名www.xyz.com(该域名对应的公网IP正是218.10.0.3)来访问内部服务器。请分析其原因,并给出通过访问公网IP访问内网服务器的方法?

用户能够通过域名来访问内网服务器,这是因为防火墙默认开启了dns nat alg功能。

内网用户在使用域名访问内部服务器,在解析域名时,通过DNS nat alg将DNS解析答复报文中的公网IP转换成nat server对应的私网IP,这样内网用户通过域名访问的时候,实际上可以直接通过私网进行访问



如果需要在内网通过公网IP来访问内网服务器,则需要在内网trust域内配置域内nat

     ##acl配置##

     acl number 3002

     rule 5 permit ip source 11.1.1.0 0.0.0.255

     rule 10 deny ip

     ##nat address group配置##

    nat address-group 9 11.1.1.1 11.1.1.1  **只要是转换成防火墙上的IP均可**

    ##域间规则配置##

    firewall zone trust

    nat 3002 address-group 9
根因
建议与总结
多熟悉和了解双出口的典型场景配置 

END