USG实现被分割的网段互相通信

发布时间:  2015-12-17 浏览次数:  155 下载次数:  0
问题描述

用户情况较特殊,运营商分配给用户是192的私网IP段,现在用户有一台服务器和运营商的一台服务器需要互相通信,但这两台服务器均在同一网段,现要求实现互相通信。

 

解决方案

配置模拟环境如下:

SW1------FW1------SW2

SW1上配置环回口loopback1,ip地址是1.1.1.1/24

SW2上配置环回口loopback1,ip地址是1.1.1.2/24

主要配置如下:

SW1配置:
interface Vlanif1
ip address 192.168.0.2 255.255.255.0

interface LoopBack0
ip address 1.1.1.1 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1

FW1方法:
interface GigabitEthernet0/0/0
alias GE0/MGMT
ip address 192.168.0.1 255.255.255.0
dhcp select interface
dhcp server gateway-list 192.168.0.1
nat enable
detect ftp
#
interface GigabitEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
arp-proxy enable
nat enable
detect ftp

ip route-static 1.1.1.1 255.255.255.255 192.168.0.2
ip route-static 1.1.1.2 255.255.255.255 192.168.1.2

nat server 10 protocol icmp global 192.168.2.2 inside 1.1.1.2  //供内部到外部访问,重要的是这一条
nat server 20 protocol icmp global 192.168.1.1 inside 1.1.1.1 //供外部到内部访问

LSW2配置:
interface Vlanif1
ip address 192.168.1.2 255.255.255.0
interface LoopBack0
ip address 1.1.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

内部带源1.1.1.1去访问外部1.1.1.2会话: //相当于1.1.1.1的用户访问192.168.2.2即访问1.1.1.2 
[USG]display firewall session table verbose
15:55:02  2015/12/17
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: trust--> untrust  TTL: 00:00:20  Left: 00:00:15
  Interface: GigabitEthernet0/0/1  NextHop: 192.168.1.2  MAC: 4c-1f-cc-01-31-99
  <--packets:5 bytes:420   -->packets:5 bytes:420
  1.1.1.1:54187[192.168.1.1:2049]-->192.168.2.2:2048[1.1.1.2:2048]

外部带源1.1.1.2访问内部1.1.1.1会话://相当于1.1.1.2的用户访问192.168.1.1即访问1.1.1.1
[USG]display firewall session table verbose
15:57:14  2015/12/17
Current Total Sessions : 1
  icmp  VPN:public --> public
  Zone: untrust--> trust  TTL: 00:00:20  Left: 00:00:19
  Interface: GigabitEthernet0/0/0  NextHop: 192.168.0.2  MAC: 4c-1f-cc-4f-6c-90
  <--packets:5 bytes:420   -->packets:5 bytes:420
  1.1.1.2:53675[192.168.2.2:53675]-->192.168.1.1:2048[1.1.1.1:2048]

该方案难点在于内部如何访问外网,精髓在于nat地址映射表项10,内网用户访问192.168.2.2时对用户来说是外网地址(该IP地址在设备及内网里均不存在),报文到达防火墙上后触发nat server,目的地址被替换成1.1.1.2,然后寻找32位路由找到出接口,再命中出方向NAT,把源地址1.1.1.1转换成192.168.1.1后,相当于源目IP地址都做了NAT转换,数据包就能正确到达对端服务器。

END