1.防火墙支持那些NAT技术,主要应用场景是什么?
答:一个非常官方的话语对nat的解释:NAT(Network Address Translation)是一种地址转换技术,可以将IPv4报文头中的地址转换为另一个地址。通常情况下,利用NAT技术将IPv4报文头中的私网地址转换为公网地址,可以实现位于私网的多个用户使用少量的公网地址同时访问Internet。因此,NAT技术常用来解决随着Internet规模的日益扩大而带来的IPv4公网地址短缺的问题。
NAT地址池: 是指用NAT转换时用于分配公网的IP地址范围。进行转换时,设备会从该地址池中选择一个地址,用于替换报文的源IP地址。源NAT是指对报文中的源地址进行转换。通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。
根据转化方式的不同,NAT可以分为三类:
-
源NAT,源地址转化的NAT。
-
目的NAT:将目的地址做转化。
-
双向NAT:即做源地址转化,又做目的地址转化
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
如图可见,我们内网pc通过公网域名解析访问内网服务器时,存在的问题就是:当公网将流量传递到服务器后,服务器不会通过公网把流量传回去,而是直接通过内网路由将流量传送回去,这样流量到达pc后会出现源目地址不是预期的,就会出现些问题。
解决方法就是:我们必须迫使服务器回包的时候是从公网回去而不是从内网回去,解决的方法就是:域内双向技术。
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
答:防火墙使用vrrp实现双机热备的时候遇到的问题有:如果主出现问题了就要切到备份的防火墙上,但是会话表有个首包机制,会话表是首包建立起来的,如果切换到备份的防火墙上那么会话表无法起来,这样流量就过不去。对于这个问题的解决方法是:关闭状态检测机制即可。
还有个问题是:需要左右两边的vrrp的动作要一致,这样切换就没什么问题,这里就会用到vgmp,vgmp管理多个vrrp。优先级和vrrp一样就是优先级和抢占性。
4.防火墙支持那些接口模式,一般使用在那些场景?
如图所示:我们可以看到防火墙的接口支持的模式有:路由,交换,旁路检测,接口对:
路由,意思就是像一个路由器一样。
交换,就是像交换机一样,但是虽然是交换,它还是可以做策略,毕竟交换机就是转发流量的, 检测是检测部分,转发是转发部分相互不会影响,但是把防火墙改为交换后还是会损失一 些功能,例如:不可以做nat,vpn。
旁路检测:就类似一个终端不会转发流量,但是我们可以用镜像copy的技术(就是将一个接口的刘流量copy到另一个接口上)来复制流量(没必要),这样的好处是可以提高转发速度。
接口对:接口对是指两个接口,它有两种模式:一种是流量可以从一个接口只能出不能进,一个能进不能出,还有一个模式是流量可以从一个接口能进能出。
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
答:个别区域无法上网,说明有些区域是可以上网的,说明只是防火墙的策略问题,我们可以去 检查防火墙的策略,检查防火墙是否放行这个区域的流量,如果策略也配置好还是无法上 网,此时可能是内网某段的路由问题,可以从从终端逐级的ping看能不能通,直至某段不通 说明问题就出现在那,便可以查看路由。
二、复现当天课程中的NAT演示实验包括源NAT、server nat、域内双向NAT、域间双向NAT,以及双机热备实验
想要R1访问外网R3,用nat技术:
然后用172.16.1.1去ping100.1.1.2:
域间双向:
做策略:
用10.1.1.3去访问内网的172.16.10.2:
域内双向:
做策略:
用172.16.2.2去ping172.16.1.3:
双机热备:
主:
备:
1231
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
