NAT与双机热备原理
1.防火墙支持哪些NAT技术,主要应用场景是什么?
NAT分为三类:
仅源地址转换
仅目的地址转换
源地址和目的地址同时转换
- NATNo-PAT:
只转换源IP地址,不转换端口,主要适用于需要上网的用户较少,而公网地址又足够的场景
- NAPT (网络地址和端口转换):
既转换报文的源地址,又转换源端口。转换后的地址不能是外网接口IP地址,主要适用于内部大量用户需要上网,但只有少数公网IP地址可用的场景
- 出接口地址 (Easy-IP):
和NAPT一样既转换源P地址,又转换源端口。不同于NAPT的是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的P地址,主要适用于没有额外的公网地址可用,但内部上网用户非常多且直接通过外网接口本身的IP地址转换的场景。
- Smart NAT (智能转换):
预留一个公网地址进行NAPT转换,其余的公网地址用来进行NAT No- -PAT转换。主要用于平时上网用户比较少,但是偶尔会出现上网用户倍增的情况下。
- 三元组NAT:
将源IP地址和源端口转换为固定公网P地址和端口,能解决一些特殊应用在普通 NAT中无法实现的问题。其主要用于外部用户访问局域网用户的一些P2P 应用。
域间双向NAT
当外部网络中的用户访问内部服务器时,使用该双向NAT功能同时转换该报文的源和目的地址可以避免在内部服务器上设置网关,简化配置。
域内双向NAT
内网pc以公网的形式访问内网服务器时,私网用户与内部服务器在同一安全区域同一网段时,私网用户希望像外网用户一样,通过公网地址来访问内部服务器的场景。
2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
当内网服务器发布到公网时,外网用户能够访问,但内网用户无法访问,
原因:出口设备路由器或者是防火墙做了源地址和目标地址同时转换产生路由回流
解决方法:在内网配置DNS服务器,在内网DNS服务器中转发外网DNS服务器的IP地址
3.防火墙使用VRRP实现双机热备时会遇到什么问题
当主防火墙挂了,虽然通过VRRP流量能够转移到通向备用防火墙的路径,备用防火墙不能建立对应会话表,因为会话表的建立是要依靠于流量的第一个包,流量无法穿过防火墙。
解决方法:
1.使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。
2.使用HRP同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。同时还能监测主备防火墙之间的运行状态。
4.防火墙支持哪些接口模式,一般使用在那些场景?
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网
1.DNS服务器:该区域指向的DNS服务器可能出现故障或没有指定DNS服务器
2.防火墙策略:没有放行该区域流量的策略
7570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
