USG5530如何将同一个内网地址映射为两个公网地址

发布时间:  2014-09-11 浏览次数:  1020 下载次数:  0
问题描述
某银行局点,出于安全性考虑,要求对于内网服务器的19030端口做NAT server时使用 145.196.64.17,从内网服务器访问公网的地址时使用 145.196.64.18。
用户相关配置如下:
  nat server 17 zone newzjyw protocol tcp global 145.196.64.17 19030 inside 10.0.26.233 19030

nat-policy interzone trust newzjyw outbound
policy 1
  action source-nat
  policy source 10.0.26.233 0.0.0.0
  policy destination 9.234.3.101 0.0.0.0
  policy destination 9.234.3.102 0.0.0.0
  policy destination 17.17.17.64 0.0.0.0
  policy destination 10.200.30.6 0.0.0.0
  policy destination 172.41.1.42 0.0.0.0
  policy destination 10.0.21.1 0.0.0.0
  policy destination 10.140.11.202 0.0.0.0
  policy destination 16.5.1.202 0.0.0.0
  policy destination 172.18.94.192 0.0.0.0
  policy destination 9.234.3.105 0.0.0.0
  address-group 13
nat address-group index 13 145.196.64.18 145.196.64.18

当从内网服务器10.0.26.233访问公网17.17.17.64时 ,nat转换的地址是145.196.64.17而不是145.196.64.18
告警信息
处理过程
配置nat server 17 zone newzjyw protocol tcp global 145.196.64.17 19030 inside 10.0.26.233 19030 no-reverse后解决。


根因
由于NAT server没有配置no-reverse参数,从内网服务器10.0.26.233访问公网17.17.17.64时会匹配反向会话表,而不是通过匹配源地址NAT出去。通过查看 server-map可以查出。
建议与总结
no-reverse用于配置多个不同的Global地址和端口对应同一个Inside地址和端口,不会建立反向会话表,注意客户的需求和这条命令的应用场景。

END