在防火墙怎样映射云主机SC

发布时间:  2016-12-14 浏览次数:  90 下载次数:  0
问题描述

防火墙为-USG9520 V300R001C20SPC200。公网用户访问云主机流量首先经过核心交换机,防火墙旁挂于核心交换机,核心交换机为(S12804),核心交换机和防火墙之间路由通过VPN实例进行转发,IP请求通过核心交换机再到防火墙根墙,根墙上把报文通过静态IP又指回核心交换机。


 在防火墙上NAT映射很容易在配置层实现,前期只映射了543(管理员登录)和643(租户登录)端口以及443端口,但是在公网侧还是无法实现网页登录。


处理过程

最后跟云主机及防火墙研发一起经行了思路排查,云主机研发建议在防火墙上做映射映射时公网与私网端口映射要一致,云主机SC需要映射的端口有-543(管理员视图)/643(租户视图)/443(网页登录)/6081(VNC登录)/80(www访问),最后防火墙研发在防火墙上带源地址ping不通云主机SC,查看会发表,发现TCP三次握手时第三次没有回复报文,所以问题还是出在来回路径上,应为云主机网管在核心交换机,而且流量是先经过核心交换机再到防火墙,防火墙再把报文丢给核心交换机,所以当报文到核心时找不到默认的路由,报文不知道转给那个路由,导致TCP三次握手第三次无法建立。所以需要在核心交换机上写一条默认路由,这样就可以有效解决公网用户用网页登录云主机SC的需求。

根因

nat server 3 protocol tcp global 202.98.201.2 klogin inside 10.200.8.19 klogin

nat server 4 protocol tcp global 202.98.201.2 643 inside 10.200.8.19 643

防火墙做NAT映射时,前期只映射了543(管理员级别端口)及643(租户级别端口),导致公网多次访问只有几次可以跳转到网页视图,但是点击登录就无法访问特定资源。需要把防火墙的443及22端口也进占用映射,才能通过公网访问SC平台。

解决方案

nat server 7 protocol tcp global 202.98.201.2 443 inside 10.200.8.19 443

nat server 10 protocol tcp global 202.98.201.2 22 inside 10.200.8.19 22

把防火墙443端口及22端口也做NAT映射,这样用户就可以通过公网登录SC平台,并且能直接访问能不存储资源。

END