主要应用在转换手机用户WAP网关地址,使手机用户可以正常上网的场景。NAT基本概念:在USG系列防火墙上,还有Server-map用于存放关于地址转换的映射关系,设备根据这种映射关系对报文的地址进行转换,并转发。NAT生成Server-map的两种情况:
配置NAT Server成功后生成静态表项。
配置NAT No-PAT后,需要由流量触发建立Server-map表。
NAT ALG基本概念:NAT ALG(Application Level Gateway,应用级网关)是特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。
FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
1、在FW1部署NAT双出口为内网设备访问外部数据,在出口ISP1或ISP2路由设备故障进行切换,其中ISP1申请地址池范围为10.1.10.9/29,向ISP2申请地址范围为10.1.22.9/29,并配置相应安全策略允许内向流通通过。2、考虑在FW1出口的两个ISP可能会出现的潜在环路或ARP广播问题,该如何解决? 通过分析发现这个LAB2的需求并不是难,无非是是基础知识组合在一起。但大部分工程师并没有能提交完整的答案。反馈的问题是在FW1设备无法将流量访问到ISP1的G0/0/1接口直连。(其中ISP1设备G0/0/1地址为10.1.10.10/24,FW1设备G1/0/1地址为10.1.10.254/24) 询问大家在这个位置做了什么操作时,有人说到在NAT地址池与出口处于同网段时可能引起ARP广播问题,NAT地址池与出口处于不同网段时可能引起环路问题。登录防火墙,此时FW1上的路由条目如下:
在FW上查会话如下:
产生ARP广播条件:向FW1的G1/0/1口发送目的为10.1.10.13的数据包:
此处ARP广播产生的原因是因为防火墙收到报文后,发现报文的目的地址和自己的接口在同一网段,直接发送ARP请求报文(第2个ARP报文),寻找该地址的MAC地址(防火墙依然没有意识到该报文的目的地址是自己的NAT地址池地址)。如果公网上的不法分子发起大量访问时,防火墙将发送大量的ARP请求报文,也会消耗系统资源。解决的办法是在FW1上针对NAT地址池写黑洞路由,随即在FW1上配置了如下命令"ip route-static 10.1.10.9/29 NULL 0",此时FW1路由表如下:
接着在FW1上查的会话也老化消失:
之后就出现经过FW1访问ISP1直连不通的现象,甚至有人在此排查了半个多小时。在针对直连链路访问失败问题,我们可在FW1执行“display ip routing-table 10.1.10.10”就会得到你想要的结果,发现数据都丢NULL 0 接口。原因是:根据路由匹配原则,路由器会优先选择掩码最长的条目,导致数据无法从FW1的G1/0/1口发送出来,ISP1设备不能收到请求报文。
解决此场景"在NAT地址池与出口处于同网段时可能引起ARP广播问题",可写关于地址池的明细路由(排除已配置的IP)指向NULL 0接口,或者规划好IP地址的使用,避开NAT地址池的范围10.1.10.9/29,使用其他地址配置物理接口。通过上述案例可以发现,很多的场景并不复杂,只是我们忘了原本基础的内容。包括很多高级学员参加HCIE考试,经常会忘记基础的内容。排错是技术工程师务必掌握的内容,而排错这个技能往往离不开平时的实验练习与基础理论部分。 
温馨提示:
微信扫码关注公众号
获取更多考试热门资料
