双防火墙单Internet出口常见组网NAT配置

发布时间:  2014-09-12 浏览次数:  513 下载次数:  0
问题描述
 客户购置了2台防火墙,但是客户只租用了1条Internet链路,而且客户现场有一个多余的交换机可以用,因为公网地址有限,不能将交换机换成二层,公网地址直接配置到防火墙上,所以,组网就变成了下面的组网;
客户需求有两个:
(1) 本地用户可以访问internet
(2) 有一个FTP Server可以在公网上访问;

如何配置NAT功能成为难点,因为公网地址不在防火墙上。
Example拓扑:
告警信息
处理过程
1.   NAT 和Routing的主要配置

Switch-GW配置:

ip route-static 172.16.0.0 255.255.0.0 10.10.10.1     --- 这条命令没有,原因是USG-A 和USG-B防火墙做了NAT,所以,在Switch-GW上无法看到内网172.16.0.0/16网段的IP地址;

ip route-static  202.2.2.104 255.255.255.255 10.10.10.1  --- For NAT
ip route-static  202.2.2.105 255.255.255.255 10.10.10.1  --- For NAT
ip route-static  202.2.2.106 255.255.255.255 10.10.10.1  --- For NAT-Server
--- 这是到内网的回程路由,所有172.16.0.0/16网段的IP地址都映射到202.2.2.104地址;
ip route-static 0.0.0.0 0.0.0.0 202.2.2.1 默认路由


USG-A&USG-B 的NAT配置:
ip route-static 0.0.0.0 0.0.0.0 10.10.10.4     ----- 默认路由
ip route-static 172.16.0.0 0.0.255.255 172.16.99.4 --- 到内网的路由
nat-policy interzone trust untrust outbound
policy 0
action source-nat
policy source 172.16.0 0.0.255.255
address-group 1
#
nat address-group 1 202.2.2.104 202.2.2.105
#
nat server 1 protocol tcp global 202.2.2.106 ftp inside 172.16.100.20 ftp
#

2.   域间策略的主要配置

[USG] policy interzone dmz untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source 172.16.0.0 0.0.255.255
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] quit
[USG-policy-interzone-trust-untrust-outbound] quit

[USG] policy interzone dmz untrust inbound
[USG-policy-interzone-dmz-untrust-inbound] policy 0
[USG-policy-interzone-dmz-untrust-inbound-0] policy destination 172.16.100.20 0
[USG-policy-interzone-dmz-untrust-inbound-0] policy service service-set ftp
[USG-policy-interzone-dmz-untrust-inbound-0] action permit
[USG-policy-interzone-dmz-untrust-inbound-0] quit

[USG] firewall interzone  dmz untrust
[USG-interzone-dmz-untrust] detect ftp
[USG-interzone-dmz-untrust] quit
根因
本案例的难点就在于路由与NAT之间的混淆(公网地址不在防火墙上),请详细参考处理过程的配置;
建议与总结
1. 如果有多余的防火墙,可以将出口交换机换成防火墙,在新的出口防火墙做NAT
2. 本文中VRRP等配置忽略,只涉及路由和NAT配置

END