今日提问
1.防火墙支持那些NAT技术,主要应用场景是什么?
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
4.防火墙支持那些接口模式,一般使用在那些场景?
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
1.防火墙支持那些NAT技术,主要应用场景是什么?
防火墙支持的NAT技术有:
1、NAT ALG
某些协议会在应用层携带通信ip,这个ip用于下一阶段通信。但是nat的地址转换并不是转应用层IP而是 转三层ip,这就导致某些协议的通信阶段在nat场景下失败。
2、域间双向转换NAT
一般是解决内网服务器没有外网路由的问题
- NAT策略:把握住转换前数据包源目地址是什么以及转换后源目地址是什么
- 安全策略:把握住在没有做NAT时数据应该放行的参数,就是做完NAT后应该放行的参数内网不需要外网路由,只需要外网转换后的路由即可
3、域内双向转换NAT
当我们有内网用户通过公网访问内网服务器需求时,做域内双向NAT(常见于内网通过域名访问服务器的场景)
可以避免与服务器在同一网段的用户在通过DNS访问内网服务器时,服务器所回应的路由的地址为内网IP地址从而导致session表不建立会话的情况
4、双出口NAT
一般于双运营商
其原理就是将路由与NAT转换通过下一跳做关联
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
如图,当PC通过公网域名解析访问内网服务器时,通过DNS服务器所解析到的IP地址为公网IP地址,则访问时,源IP为PC的私网地址192.168.1.5,目标IP为202.202.1.1,当服务器接收到这个包时,看见源地址与自己同一个网段,则直接通过私有地址进行回复。回复时,源IP为192.168.1.1,目标IP为192.168.1.5。但PC的会话表所要的回复地址应该是服务器的公网地址,所以会将回复的包丢弃。
解决方法是设置域内双向转换NAT,强制的使内网PC访问内网服务器使,将IP转换为公网地址后再访问内网服务器,内网服务器查看到访问IP是公网,则也通过公网地址进行回复。
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
如图,假设PC1正在与PC2发包时,主防火墙突然突然发生故障,后续的包因为首包机制的缘故无法通过备用防火墙。或者,PC1和PC2发包发完,当PC2给PC1回包时,主防火墙发生故障时,备用的防火墙无法建立返回包的会话。
我们就要在两个防火墙左边的网关有一个vrrp1,右边的网关有一个vrrp2,因为由于上面问题,我们知道vrrp1变化的时候,vrrp2也要变化。两者行动要一致。 于是我们又需要一个技术叫做VGMP
(VGMP:用于同步两个防火墙左边的VRRP1和右边的VRRP2,解决组一致行动 )
4.防火墙支持那些接口模式,一般使用在那些场景?
接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的 MAC寻址,也就类似网线的形式转发,速度快。
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
去向流量包与回包流量不一致,查看防火墙,解决方案是让来回路径一致或者关闭防火墙的状态检测。
二: 实验:
拓扑:
域间双向nat:
抓包:
域内双向nat:
转换过程:
172.16.3.1->10.1.1.116
10.1.1.115->172.16.2.5
1、域内nat的配置
2、安全策略
3、测试:
抓包:
829
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
