1. 前言

相信大家已經熟練掌握了單出口場景下目的NAT部署方案。本篇將解決上期遺留的問題,和大家一起來看看多出口場景下目的NAT又該如何部署。

2. 雙出口屬于不同安全區域

如圖2-1所示,某公司在網絡邊界處部署了防火墻作為安全網關,通過兩個ISP接入Internet,既可以做到負載均衡又可以起到主備備份作用、1條鏈路故障后流量全部切到另外1條鏈路,其中Router是ISP1和ISP2提供的接入網關。為了使私網WEB服務器和FTP服務器能夠對外提供服務,需要在防火墻上配置指定安全域的目的NAT功能。公司僅申請了2個(ISP1和ISP2各1個)公網IP地址,作為和運營商路由器互聯地址,需要借用出接口IP配置端口映射。

圖2-1 口目的NAT之雙出口屬于不同安全區域

 2.1 接口配置 

圖2-2 接口配置

 2.2 安全域配置 

圖2-3 安全域配置

2.3 靜態路由配置 

外網用戶主動發起連接訪問服務器映射的公網IP地址,正向報文到達防火墻后正確建立會話表項(形如:入接口-源IP地址-協議-源端口-目的IP地址-目的端口-出接口);服務器返回的反向響應報文直接命中會話進行轉發,無需額外配置靜態路由,提高防火墻轉發效率;與此同時,還到達了“源進源出”的效果,有效避免了從一個域進來的報文從另一個域轉出的情況出現。

 2.4 資產(池)配置 

圖2-4 資產配置

圖2-5 資產池配置

 2.5 安全策略配置 

圖2-6 安全策略配置

 2.6 目的NAT配置 

圖2-7 目的NAT配置

 2.7 路由器配置 

本案例中由于服務器映射的公網IP地址直接借用了防火墻接口IP且與路由器接口IP地址在同一網段,因此路由器上不需要額外配置靜態路由便可使公網用戶訪問服務器映射的公網IP時的流量可以正確轉發到防火墻上進行處理。

3.雙出口屬于相同安全區域

如圖3-1所示,某公司在網絡邊界處部署了防火墻作為安全網關,通過兩個ISP接入Internet,其中Router是ISP1和ISP2提供的接入網關。為了使私網WEB服務器、FTP服務器和DNS服務器能夠對外提供服務,需要在防火墻上配置指定安全域的目的NAT功能。除了公網接口的IP地址外,公司還分別向ISP1和ISP2申請了117.11.39.31和42.122.138.252作為內網服務器對外提供服務的地址。

圖3-1 目的NAT之雙出口屬于相同安全區域

 3.1 接口配置 

圖3-2 接口配置

3.2 安全域配置 

圖3-3 安全域配置

3.3 靜態路由配置 

免,原理同2.3

 3.4 資產(池)配置 

圖3-4 資產配置

圖3-5 資產池配置

 3.5 安全策略配置 

圖3-6 安全策略配置

 3.6 目的NAT配置 

圖3-7 目的NAT配置

 3.7 路由器配置 

由于服務器映射的公網IP地址與路由器接口IP地址不在同一網段,因此需要配置靜態路由使得公網用戶訪問服務器映射的公網IP時的流量可以正確轉發到防火墻上進行處理,本案例中具體配置為:

(1)ISP1-聯通路由器:ip route-static 117.11.39.31/32 1.1.1.1

(2)ISP2-電信路由器:ip route-static 42.122.138.252/32 2.2.2.2

4.雙出口使用同一個公網IP

如圖4-1所示,某公司在網絡邊界處部署了防火墻作為安全網關,通過兩個ISP接入Internet,其中Router是ISP1和ISP2提供的接入網關。為了使私網WEB服務器和FTP服務器能夠對外提供服務,需要在防火墻上配置指定安全域的目的NAT功能。公司僅向ISP1申請了1個公網IP地址(117.11.39.31),作為內網服務器對外提供服務的地址,ISP1和ISP2的外網用戶都通過ISP1的這個公網地址訪問WEB服務器和FTP服務器。

圖4-1 目的NAT之雙出口使用同一公網IP

 4.1 接口配置 

圖4-2 接口配置

4.2 安全域配置 

圖4-3 安全域配置

 4.3 靜態路由配置 

免,原理同2.3

 4.4 資產(池)配置 

圖4-4 資產配置

圖4-5 資產池配置

 4.5 安全策略配置 

圖4-6 安全策略配置

 4.6 目的NAT配置 

圖4-7 目的NAT配置

 4.7 路由器配置 

由于服務器映射的公網IP地址與路由器接口IP地址不在同一網段,因此需要配置靜態路由使得公網用戶訪問服務器映射的公網IP時的流量可以正確轉發到防火墻上進行處理,本案例中具體配置為:

(1)ISP1-聯通路由器:ip route-static 117.11.39.31/32 1.1.1.1

(2)ISP2-電信路由器:ip route-static 117.11.39.31/32 2.2.2.2

5.結語

至此,威努特車載防火墻支持的目的NAT功能基本介紹完畢!通過這幾期的介紹不知各位讀者是否有所收獲,是否對威努特防火墻產品有了一定的了解,如有點滴幫助請記得收藏加關注哦。后續有機會的話再和大家一起聊聊雙向NAT(如:公網用戶通過公網地址訪問私網服務器,但是私網服務器不允許配置網關和明細路由,此時服務器響應報文如何返回?),敬請期待!

防火墻
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接