防火墙热知识【附带三种NAT和双机热备实验】

目录

1.防火墙支持那些NAT技术，主要应用场景是什么？

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

4.防火墙支持那些接口模式，一般使用在那些场景？

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

NAT实验

1）NAT实验拓扑

2）源NAT

3）服务 sever

4）域间双向NAT

5）域内双向NAT

VRRP双机热备实验

1）实验拓扑

2）实验操作

1.防火墙支持那些NAT技术，主要应用场景是什么？

防火墙支持近乎所有的NAT技术。

NAT：NAT是一种地址转换技术，它可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。NAT作为一种缓解IPv4公网地址枯竭的过渡技术，由于实现简单，得到了广泛应用

根据转换的ip不同分为，源NAT，目标NAT，双向NAT。

源NAT

源NAT在NAT转换时，仅对报文中的源地址进行转换，主要应用于私网用户访问公网的场景。当私网用户主机访问Internet时，私网用户主机发送的报文到达NAT设备后，设备通过源NAT技术将报文中的私网IPv4地址转换成公网IPv4地址，从而使私网用户可以正常访问Internet。

目标NAT

目的NAT在NAT转换时，仅对报文中的目的地址和目的端口号进行转换，主要应用于公网用户访问私网服务的场景。当公网用户主机发送的报文到达NAT设备后，设备通过目的NAT技术将报文中的公网IPv4地址转换成私网IPv4地址，从而使公网用户可以使用公网地址访问私网服务。

双向NAT

双向NAT指的是在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能，而是源NAT和目的NAT的组合。双向NAT是针对同一条流，在其经过设备时同时转换报文的源地址和目的地址。双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景。

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

问题：内网用户通过公网IP地址可以正常访问内网WEB服务器，但是通过域名却无法访问，通过nslookup检查域名解析，解析结果为错误的私网IP地址

解决方法：域内双向NAT

说明：DNS属于多通道协议，防火墙默认开启了ALG功能，可以检测到DNS Response报文数据域answer字段的IP地址，查看是否匹配server-map表项，如果能匹配，则将对应的公网IP地址转换为私网IP地址，因此，在内网访问服务器直接通过私网IP地址进行访问，不会导致访问失败的现象出现，但由于内网没有部署DNS server导致DNS请求报文穿过防火墙转发到公网的DNS server 解析，会ALG的特性导致错误的IP地址转换。

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

问题：双机热备当主用防火墙出现问题时，会切换到备用防火墙。但由于会话表的首包机制，会话表只能由首包建立，所以切换到备用防火墙后会话表无法建立，流量就无法通过备用防火墙，导致备用防火墙也无法正常工作。

解决方案：关闭状态检测机制

问题：用户访问流量来回路径不一致

解决方案：使用VGMP

4.防火墙支持那些接口模式，一般使用在那些场景？

 路由：类路由器工作模式，拥有路由器的连通性，可用于nat，vpn，dhcp服务器等专属于路由的的服务。

交换：类交换机接口，需要配置接口连接类型，access，trunk，hybrid。可让防火墙像交换机一样工作于网络中。

旁路检测：可以像端口镜像一样检测通过防火墙的流量，但不能对流量进行策略等干涉。一般用IPS以及审计作用。

接口对：需要两个接口，可配置同口进出和不同口进出两种模式。可用于更快的转发流量，不用查mac地址表。

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

1.该PC所在网段没有加入安全域。

2.该PC所在安全域没有做nat策略，或者防火墙没有在安全策略里放行该区域流量

3.该PC所在网络路由有问题，使用ping命令逐步检查。

NAT实验

1）NAT实验拓扑

该实验的其他配置如安全策略，安全域划分在下面链接，这里只做NAT部分讲解

http://t.csdn.cn/Lb5EL

  实验拓扑以及ip规划如图

2）源NAT

 测试

 3）服务 sever

测试

  4）域间双向NAT

测试

  5）域内双向NAT

 测试

VRRP双机热备实验

1）实验拓扑

 说明：GE1/0/5和GE1/0/6为心跳线，做链路聚合

2）实验操作

1.修改管理口GE0/0/0口的接口ip，两台防火墙的ip和云在同一网段。并开启所有管理权限

[FW1-GigabitEthernet0/0/0]ip address 192.168.132.10 24 
[FW1-GigabitEthernet0/0/0]service-manage all permit 

[FW2-GigabitEthernet0/0/0]ip address 192.168.132.20 24 
[FW2-GigabitEthernet0/0/0]service-manage all permit 

 2.登录防火墙的web操作页面

        在浏览器直接输入管理口ip

3. 创建GE1/0/5和GE1/0/6的链路聚合（两边都要做）

 4.创建hrp安全域，将eth-trunk加入hrp安全域（两边都做）

 5.配置hrp的安全策略（两边都做）

 6.配置双机热备

配置主用机FW1

  配置备用机FW2

 7.配置完成查看状态

 8.断掉FW1的上行链路GE1/0/2后查看转态

[FW1-GigabitEthernet1/0/2]shutdown

注意：由于ensp的原因，结果显示可能会不尽人意，但配置思路就是以上过程