域间NAT解决路由重叠问题

发布时间:  2013-06-08 浏览次数:  190 下载次数:  0
问题描述
192.168.0.0/16----SWA-----RouterA------trust-------USG3040-----guest--------RouterB-----SWB--------192.168.1.0/24
                                                                |
                                                         Internet(untrust)

客户trust区域为办公网,guest区域为来宾网,之前的完全拒绝trust到guest之间的通信,二者都通过untrust接口上外网,trust区域内有邮件服务器对外提供服务,通过外网和trust区域都可以访问该服务器。

guest区域用户要求访问trust区域的邮件服务器。在USG3040上放行到邮件服务器192.168.3.100的流量,发现不能正常访问。

        
告警信息
在guest区域不能访问邮件服务器,
[RouterB]ping 192.168.3.100
03:38:51  2000/04/02
  PING 192.168.1.100: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 192.168.3.100 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss
处理过程
测试从防火墙上ping邮件服务器192.168.3.100,可以ping通,于是在trust区域和guest做基于源的NAT转换处理步骤如下:

acl number 3000
rule 5 permit ip destination 192.168.3.100 0
#
acl number 3010
rule 5 permit ip
#
firewall interzone guest trust
packet-filter 3000 inbound
nat inbound 3010 interface GigabitEthernet0/1

测试在guest区域访问邮件服务器正常,ping正常:
C:\Documents and Settings\Administrator>ping 192.168.3.100

Pinging 192.168.3.100 with 32 bytes of data:

Reply from 192.168.3.100: bytes=32 time=13ms TTL=250
Reply from 192.168.3.100: bytes=32 time=4ms TTL=250
Reply from 192.168.3.100: bytes=32 time=4ms TTL=250
Reply from 192.168.3.100: bytes=32 time=4ms TTL=250

Ping statistics for 192.168.3.100:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 4ms, Maximum = 13ms, Average = 6ms
根因
登陆到SWA上查看路由,发现SWA上存在一条直连路由如下:

[RouterA]display ip routing-table
15:04:32  2013/06/08
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
        Destinations : 10       Routes : 10

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

        0.0.0.0/0   Static 60   0          RD  192.168.10.1   GigabitEthernet0/0/0
   192.168.1.0/24  Direct 0    0           D  192.168.1.1     Vlanif1

当数据包从guest区域进入trust区域可以顺利的到达邮件服务器,但是邮件服务器回包的时候,当数据包传送到SWA上,SWA查找到达192.168.1.0/24网段的路由的时候,将查找到
                         192.168.1.0/24  Direct 0    0           D  192.168.1.1     Vlanif1
该条路由关联的出接口为trust区域内网交换机的vlanif接口,即数据包被送到vlan1相同的IP地址对应的PC上,不能成功的送到防火墙上转发。

建议与总结

END