防火墙与nat以及双机热备

文章目录

  • 防火墙支持哪些NAT技术,主要应用场景是什么?
  • 当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明
  • 防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
  • 防火墙支持那些接口模式,一般使用在那些场景?
  • 客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
  • 华为系列交换机的双机热备和各种nat配置
    • 拓扑
    • 双机热备
    • 域间双向NAT
    • 域内双向NAT

防火墙支持哪些NAT技术,主要应用场景是什么?

源NAT、Server NAT、域内双向NAT、域间双向NAT

  • 源NAT主要应用于私网用户访问公网
  • Server NAT主要用于内网服务器向公网提供服务
  • 域内双向NAT主要用于内网用户通过域名或公网ip访问本地的内网服务器
  • 域间双向NAT主要用于内网服务器需要避免配置公网路由(缺省路由)的情况下,则可以对外网用户的源IP地址也进行转换,转换后的源IP地址与服务器的私网地址在同一网段。这样内部服务器会将回应报文发给网关来转发回应报文。

当内网PC通过公网域名解析访问内网服务器时,会存在什么问题,如何解决?请详细说明

当内网pc通过公网域名访问内网服务器时,源ip不会被nat转换,所以服务器回包时会直接通过内网以内网ip回复,导致pc无法接受此包,无法正常与服务器通信。解决方案就是使用域内双向nat,将源地址一并转换,这样回包就能原路返回。

防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明

  • 问题1:主防火墙挂掉后,VRRP会将流量转到备用防火墙,但是备用防火墙无法新建会话表,因为建立会话表需要首包,所以流量不能通过。
    解决方法:

    • 选择让用户重新发送流量:用户体验不佳
    • 关闭检测,直接通过,不安全
    • HRP 华为双机热备协议(Huawei Redundancy Protocol)
      可同步防火墙之间的ARP信息、NAT/PAT信息,以及防火墙上配置的安全策略信息等,能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。
  • 问题2:当主防火墙一边的链路断了,虽然VRRP能够进行链路追踪,进行主备切换,但另一边的设备并不知情,仍会错误地转发流量。
    解决方法:

    • OSPF协议自动进行选路,缺点是如果内网很复杂,会增大负载,影响稳定性。
    • 使用VGMP协议建立VRRP组,使两边同时切换
      防火墙与nat以及双机热备_第1张图片

防火墙支持那些接口模式,一般使用在那些场景?

  • 路由模式
    防火墙的接口三层路由接口的形式参与组网
  • 交换模式
    防火墙的接口二层交换接口的形式参与组网
  • 接口对模式
    接口对模式是一种特殊的二层模式,该模式的接口是成对出现,这一对接口之间转发数据不经过二层的MAC寻址,也就类似网线的形式转发,速度快。
  • 旁路模式
    旁路模式的接口也是二层的交换机接口,该接口一般用于接收镜像流量,向主机一样旁观在设备上。通过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。

客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?

  • 首先是检查安全策略是否放行
  • 然后检查nat是否正确配置
  • 再检查有无来回路由
  • 如果是双机热备的情况还要考虑VGMP和HRP是否正常工作,双机配置是否同步,热备配置是否得当

华为系列交换机的双机热备和各种nat配置

拓扑

防火墙与nat以及双机热备_第2张图片

双机热备

  • 使用链路聚合建立心跳线,所有接口都先配好
    防火墙与nat以及双机热备_第3张图片
  • 开启双机热备
    防火墙与nat以及双机热备_第4张图片
    防火墙与nat以及双机热备_第5张图片
    防火墙与nat以及双机热备_第6张图片
    备份那边配置几乎一样,只是选择备用按钮。
    可以看到状态是起来了
    防火墙与nat以及双机热备_第7张图片
    现在配置策略配置NAT就只用再主防火墙上配置了,它会自己进行配置同步

域间双向NAT

防火墙与nat以及双机热备_第8张图片
防火墙与nat以及双机热备_第9张图片

域内双向NAT

防火墙与nat以及双机热备_第10张图片
防火墙与nat以及双机热备_第11张图片

你可能感兴趣的:(服务器,网络,运维)