16、华为华三中小型企业网络架构搭建【防火墙篇之NAT存在的问题（通过公网地址或者域名方式访问）】

拓扑

拓扑可以保存到本地&＃xff0c;然后扩大查看&＃xff0c;这样才能看的更清楚。&＃xff08;拖动到新窗口打开即可&＃xff09;

NAT Server测试

说明&＃xff1a;之前部署了NAT Server功能&＃xff0c;并且转换了2个地址&＃xff0c;提供了对应WWW服务与FTP服务。目前用外网进行测试。

内网测试是否能正常访问

说明&＃xff1a;可以看到2个服务都已经正常了。

外网PC访问对应服务【电信】

防火墙是有对应的NAT会话信息了&＃xff0c;

WEB正常 FTP访问不了

外网PC访问对应服务【网通】

还是以公网地址充当外网访问的角色。

一样无法打开。

问题&＃xff1a;为什么HTTP可以访问&＃xff0c;而FTP却访问失败。

说明&＃xff1a;因为HTTP是单信道协议&＃xff0c;而FTP则是多信道协议&＃xff0c;而分为主动与被动模式&＃xff0c;它会根据不同的模式在应用层动态的协商一个端口号与地址&＃xff0c;所以导致NAT后&＃xff0c;地址变化了&＃xff0c;但是应用层的地址防火墙没有感知到&＃xff0c;导致访问失败。

解决办法&＃xff1a;【开启应用层网关功能 ALG】
[USG-GW]firewall interzone trust isp_dx
[USG-GW-interzone-trust-isp_dx]detect ftp

[USG-GW]firewall interzone trust isp_lt
[USG-GW-interzone-trust-isp_lt]detect ftp
说明&＃xff1a;该配置就是开启了应用层网关功能&＃xff0c;在trust到2个ISP之间。注意这个不区分方向的 双向开启。

可以看到开启后&＃xff0c;2个地址都可以正常访问了。

扩展&＃xff1a;如果映射了PPTP服务器的话&＃xff0c;也会出现问题。
说明&＃xff1a;PPTP服务器除了映射端口号以外&＃xff0c;它还会封装GRE&＃xff0c;如果不是一对一的转换&＃xff0c;则会出现问题&＃xff0c;所以解决办法还是跟上面一样&＃xff0c;在里面监控PPTP即可。

工程中常见问题&＃xff1a;如何使用公网IP或者域名访问内部服务器。

说明&＃xff1a;在工作当中&＃xff0c;往往需要访问服务器&＃xff0c;并且又对外提供了服务&＃xff0c;这样的话&＃xff0c;会让客户记住2个IP&＃xff0c;一个内网访问的&＃xff0c;一个外网访问的&＃xff0c;这样非常不方便&＃xff0c;也对于不懂IT技术的人来说不可行。所以我们希望的是&＃xff0c;通过外网IP或者域名直接访问。

默认情况下用内网地址访问是没任何问题的。

解决办法【域内NAT】

1、定义地址池
[USG-GW]nat address-group 5 200.1.1.1 200.1.1.1

2、定义域内NAT
[USG-GW]nat-policy zone trust

说明&＃xff1a;地址池的地址可以随意定义的&＃xff0c;然后调用在域内NAT里面。如果是平时的话这里就可以结束了&＃xff0c;可以正常访问了&＃xff0c;但是在这个环境中还不行。

3、在双ISP&＃43;策略路由的情况下特别需要注意的地方。
&＃xff08;1&＃xff09;问题&＃xff1a;双ISP绑定了Zone
说明&＃xff1a;上面那2个配置只适合没有绑定Zone的&＃xff0c;也就是在输入时没有加入对应的Zone参数&＃xff0c;没加的话属于任何一个Zone都可以&＃xff0c;如果加了则只处理该Zone的数据包转换&＃xff0c;而之前定义的都是绑定了出口ISP的&＃xff0c;所以只能转换从2个ISP来的流量&＃xff0c;而内部来的则不能正常转换。这样会导致失效。
解决办法&＃xff1a;no-reverse

加了两条绑定Trust Zone的&＃xff0c;这样的话就可以处理Trust来的转换了&＃xff0c;实际就是在域内直接转换了。这里只给出了WWW的&＃xff0c;FTP的就不演示了&＃xff0c;注意同一个Zone是需要加no-reverse参数的&＃xff0c;否则配置不上。
4、策略路由影响
分析&＃xff1a;如果在平时的话&＃xff0c;上面3个配置绝对可以解决问题了&＃xff0c;但是&＃xff0c;在这个环境下&＃xff0c;我们还部署了一个策略路由&＃xff0c;策略路由是优先于NAT转换的&＃xff0c;也就是说&＃xff0c;它会按照策略路由指定的下一跳转发&＃xff0c;那么导致的情况是&＃xff0c;本来已经转换成功了访问&＃xff0c;但是策略路由交给的下一跳是丢给ISP的&＃xff0c;而不是服务器。

解决办法&＃xff1a;

1、定义新的ACL
[USG-GW]acl number 3001
[USG-GW-acl-adv-3001]rule deny ip source 192.168.0.0 0.0.255.255 destination 192.168.88.251 0
[USG-GW-acl-adv-3001]rule permit ip source 192.168.19.0 0.0.0.255
[USG-GW-acl-adv-3001]rule permit ip source 192.16.21.0 0.0.0.255

[USG-GW]acl number 3002
[USG-GW-acl-adv-3002]rule deny ip source 192.168.0.0 0.0.255.255 destination 192.168.88.251 0
[USG-GW-acl-adv-3002]rule permit ip source 192.168.20.0 0.0.0.255
说明&＃xff1a;ACL从标准的变为了扩展的&＃xff0c;可以看到先是deny掉了&＃xff0c;当192.168.0.0访问服务器的时候做转换&＃xff0c;平时肯定是直接通过三层交换机进行转换了&＃xff0c;没经过防火墙&＃xff0c;但是做域内NAT的话&＃xff0c;其实就是在防火墙的入接口上面做了一下转换&＃xff0c;但是在入接口上面又调用了策略路由&＃xff0c;之前的话是匹配了直接交给ISP&＃xff0c;这样的话导致本来正常转换了的数据包&＃xff0c;想发送给服务器&＃xff0c;但是由于策略路由的存在&＃xff0c;就强行的发送给ISP了&＃xff0c;所以这里deny掉&＃xff0c;就是让它正常按路由表转发&＃xff0c;而不受策略路由的控制。

2、策略路由改动【把ACL调用为修改后的】

3、应用到入接口&＃xff08;不在演示&＃xff09;

4、FTP的需要注意的地方。
除了之前的NAT Server在Trust定义以外&＃xff0c;还需要调用一个应用层监控&＃xff0c;因为之前是在域间转换的&＃xff0c;所以在域间调用了ALG功能&＃xff0c;但是这次是域内转换&＃xff0c;所以需要再次 监控。
[USG-GW]firewall zone trust
[USG-GW-zone-trust]detect ftp

结果测试

可以看到通过IP地址可以正常访问了&＃xff0c;当然通过域名的方式也是可以的&＃xff0c;这里只是不搭建环境测试了。

总结【策略、NAT、双ISP部署】

可以看到策略、NAT 双ISP的情况出现&＃xff0c;需要考虑的因素会非常多&＃xff0c;比如策略需要考虑需求&＃xff0c;要结合NAT、时间策略等因素进行部署&＃xff0c;达到效果&＃xff0c;源NAT没什么需要太多注意的地方&＃xff0c;但是NAT Server的需要注意几点&＃xff0c;如果是同一个zone的话&＃xff0c;必须加no-resver参数&＃xff0c;不同Zone可以不加。而双ISP的存在&＃xff0c;需要考虑到路由的切换&＃xff0c;检测机制&＃xff0c;跟策略路由的部署&＃xff0c;这里策略路由的ACL强烈建议用扩展ACL&＃xff0c;因为可以看到如果需求有变化的话&＃xff0c;标准ACL立马显得无奈&＃xff0c;只有扩展的才能更好的匹配。 最后是如果部署需要通过公网IP或者域名访问公司内部服务器的话&＃xff0c;则必须部署域内NAT。但是有绑定Zone跟策略路由的情况下&＃xff0c;需要非常注意。最后就是NAT的ALG功能&＃xff0c;对于多信道的协议必须开启应用层监控功能&＃xff0c;否则NAT识别不了&＃xff0c;常见的比如FTP、PPTP、QQ等都有&＃xff0c;如果发现该应用工作不正常&＃xff0c;则加入ALG功能即可。

如果大家有任何疑问或者文中有错误跟疏忽的地方&＃xff0c;欢迎大家留言指出&＃xff0c;博主看到后会第一时间修改&＃xff0c;谢谢大家的支持&＃xff0c;更多技术文章尽在网络之路Blog&＃xff08;其他平台同名&＃xff09;&＃xff0c;版权归网络之路Blog所有&＃xff0c;原创不易&＃xff0c;侵权必究&＃xff0c;觉得有帮助的&＃xff0c;关注、转发、点赞支持下&＃xff01;~。