由于未正确配置nat server导致Trust域用户不能访问DMZ服务器

问题描述

  如图所示,一台部署在企业出口,企业内部用户属于Trust区域,通过接口GE0/0/2与连接。FTP服务器等服务器属于DMZ区域,对外部和内部网络提供FTP等服务,通过接口GE0/0/1与连接。的接口GE0/0/3与Internet连接,属于Untrust区域。
防火墙上启动NAT功能。相关配置如下:
[sysname-interzone-trust-untrust] nat outbound 2000 address-group 1
[sysname] nat server global x.x.x.x inside 192.168.2.2
其中,211.1.1.8是FTP服务器的公网IP地址。
配置完成后,Trust区域的用户无法访问FTP服务器的私网地址192.168.2.2,只能访问其公网地址x.x.x.x。

由于未正确配置nat server导致Trust域用户不能访问DMZ服务器_第1张图片由于未正确配置nat server导致Trust域用户不能访问DMZ服务器_第2张图片由于未正确配置nat server导致Trust域用户不能访问DMZ服务器_第3张图片

告警信息

处理过程

  修改nat server命令,添加zone关键字。将该命令只应用到DMZ和Untrust域间。[sysname] nat server zone untrust global  x.x.x.x inside 192.168.2.2

根因

在配置命令nat server时没有指定zone关键字,nat server命令应用到了Trust和DMZ域间。造成Trust区域用户必须访问公网地址才能命中会话表。

建议与总结

在DMZ区域配置nat server时,如果需要Trust区域的用户用私网地址访问FTP服务器,必须配置zone关键字。

你可能感兴趣的:(网络,华为)