防火墙与NAT以及防火墙的双机热备

1.防火墙支持那些NAT技术,主要应用场景是什么?

NAT ALG:和防火墙的ASPF原理一样,都要观察协商报文然后找到协商端口进而动态的做一个NAT把协商端口映射出来,应用于随机端口的场景。

NAT域间双向转换:一般是解决内网服务器没有外网路由的问题,即应用于内网访问外网的场景

NAT域内双向转换:应用于内网用户通过公网访问内网服务器

双出口NAT:应用于需要访问两个运营商的场景

2.当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明   

防火墙与NAT以及防火墙的双机热备_第1张图片     

 (以上图为例,上图中,不做域内双向转换时候,用户访问内网服务器时候,源IP是192.168.1.5,目标是202.202.1.1,经过防火墙转换之后只会改变目标IP,目标IP从202.202.1.1转换为192.169.1.1,这样服务器收到的源IP就是192.168.1.5,目标IP是192.168.1.1,因为服务器给的回包就会直接从下面走,这样和源包路径不一样 )

(如果做了域内双向转换,包在经过防火墙的时候源目标IP都会改变,源IP从192.168.1.5转变为202.202.1.5,目标I[从202.202.1.1转变为192.168.1.1,这样服务器查看包的源就是202.202.1.5,这样回包就会从上面经过,然后在经过防火枪NAT转换 )

(综上所述,域内双转前经过防火墙只改变目标IP,而经过了NAT域内双转换,则源目标IP都会改变 )


3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明:

问题:

            防火墙的双机热备会比交换机和路由器繁琐许多。我们知道防火墙的首包机制,第一个包过去在之后后面的包都是基于会话表通过的。因此产生了一下问题:

                1、当主防火墙突然关闭之后,就算流量从备防火墙通过,因为没有首包建立会话表,所以流量不能过去。(其实想要非首包建立会话表关闭状态检测机制就可以)

                2、当防火墙的上连断了时候(就是上图中叉叉的位置),假设流量从下面的备防火墙通过,回来的时候流量还会以为自己上路通着网管还在,还会从上面走。(因此防火墙一边的线路挂了则两边的线路就都挂了)

解决:

                通过以上问题,我们就要在两个防火墙左边的网关有一个vrrp1,右边的网关有一个vrrp2,因为由于上面问题,我们知道vrrp1变化的时候,vrrp2也要变化。两者行动要一致。 于是我们又需要一个技术叫做VGMP(VGMP:用于同步两个防火墙左边的VRRP1和右边的VRRP2,解决组一致行动 )

                且还有一个HRP用于同步数据会话表等,以实现防火墙双机之间动态状态数据和关键配置命令的备份。        


4.防火墙支持那些接口模式,一般使用在那些场景?

防火墙与NAT以及防火墙的双机热备_第2张图片

 (以上可知防火墙有路由、交换、旁路检测、接口对模式)


5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?


二、NAT演示实验包括、域内双向NAT、域间双向NAT,以及双机热备实验

防火墙与NAT以及防火墙的双机热备_第3张图片

 

以双机热备为例:

第一步:做Eth-trunk

        防火墙与NAT以及防火墙的双机热备_第4张图片

 防火墙与NAT以及防火墙的双机热备_第5张图片

 (因为是直连,所以IP随便配)

第二步:各个接口配区域和IP以及策略

 (上图是在备防火墙做的策略的实例,所以目的是本地local)

第三步:配置双机热备

防火墙与NAT以及防火墙的双机热备_第6张图片

 

第四步:配置VRRP:

防火墙与NAT以及防火墙的双机热备_第7张图片

 防火墙与NAT以及防火墙的双机热备_第8张图片

 

你可能感兴趣的:(网络,服务器,linux)