1.防火墙支持哪些NAT技术,主要的应用场景是什么?
首先,NAT的分类:
? ? ? ? 在内外网之间,流量进出的两个方向,而NAT技术是包含源地址转换和目标地址转换这两类,在通常的情况下,源地址转换是主要用于解决内部局域网计算机访问外部网络的场景;而目标地址转换时用于解决外部网络用户访问局域网服务器的场景,目标地址通常被称为服务器地址映射。
? ? ? ? ? ? ? ? 1.NAT NO-PAT
????????????????????????????NAT NO-PAT?:?类似于思科的动态转化,多对多,不转化端口,不能解约公网IP地址????????
? ? ? ? ? ? ? ? ? ? ? ? ? ? ?它的实际应用场景比较少,主要用内网访问外网的用户比较少,而公网IP地址足够多的场景。
????????????????
? ? ? ? ? ? ? ? 2.NPAT
? ? ? ? ? ? ? ? ? ? ? ? ? ? ?NPAT(网络地址和端口转换):类似于思科的PAT转换,NAPT转换就是转换报文的源地址,又转换源端口。转换后的地址不能是外网接口的IP地址。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 属于多对多或这多对一的转换,可以节约公网IP地址,使用场景较多。
? ? ? ? ? ? ? ? 3.EASY-IP
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 出接口地址:因为转换方式比较简单,所以被称为easy-ip。和napt一样,就是转换源IP地址,又转换源端口。区别是出接口地址方式转换后的地址只能是nat设备外网接口所配置的IP地址,属于多对一转换。可以节约IP地址。
? ? ? ? ? ? ? ? 4.NAT Server
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?静态一对一发布,主要用于内部服务器需要对外网提供服务时使用。
? ? ? ? ? ? ? ? 5.Smart NAT
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?Smart nat? 智能转换,通过预留一个公网地址进行napt转换,而其他的公网地址用来进行nat no-pat转换,因为方式比较独特,该方式一般不常用。
? ? ? ? ? ? ? ? 6.三元组NAT
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 三元组NAT和源IP地址、源端口、协议类型有关的一种转换。将源IP地址和源端口转换为固定公网IP地址和端口,解决一些特殊应用在普遍NAT中无法实现的问题。
? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 主要应用于外部用户访问局域网的一些P2P应用。
2.防火墙如何解决内网设备通过域名访问内网服务器问题?
? ? ? ? 当用防火墙将内网服务器发布到公网上,供外网用户访问的过程中,会出现一种现象,就是web服务器已经成功发布了,外网的用户能够成功的访问,但是内网的用户却无法访问到web服务器,这就属于到路由回流。会造成路由回流的原因主要是因为出口设备路由器或者防火墙做了NAT/PAT也就是源地址转换和端口映射,使得在出去的地址在通过防火墙回来时不知道对选择哪个端口,从而使得内网用户访问不了web服务器。
? ? ? ? 需要做NAT的路由器或防火墙上配置域内的NAT转换,让pc访问该公网域名时,防火墙或者路由器能正确的寻址。
3.防火墙使用VRRP实现双机热备时会遇到什么问题,如何解决?详细说明
? ? ? ? 因为首包机制的存在,在主防火墙down掉时,备份防火墙不能继续传输,需要同步会话表才能继续接替主防火墙的工作。(需要对应的会话表才能接替主防火墙的工作)
? ? ? ? ? ? 这种情况,可以断开会话重新连接,但是中间会有一段响应时间,对用户体验不好。
? ? ? ? ? ??还可以关闭防火墙的状态检测机制实现,但是会有隐患。
? ? ? ? 第二种就是使用vrrp实现双击热备时会遇到的情况,当流量从主防火墙通过访问到终端,但是终端回包时,路由选路没有选号,走的备用防火墙。这个时候回去的包就不是首包的那条的路,在备份防火墙的会话表中没有这条路的首包记录,也不能通过备份防火墙。
? ? ? ? 当三种可能就是链路可能断开的情况,当主防火墙的物理链路以外断掉,vrrp协议将流量切换到下方的备份防火墙的链路上去,如果在断开之前,主防火墙发送的首包,那么断开之后,对端回包的时应该是走备用的防火墙的线路。 如果两个防火墙的会话表没有同步,vrrp也没有进行同步,流量还是会走主防火墙,即使物理链路断掉。这样的结果就是终端收不到回包。所以:当一个防火墙的物理链路断掉,那么在它与备份防火墙中的vrrp必须要进行同步状态才能接过 主防火墙未完成的使命。
? ? ? ? 在以上过程中,为了解决vrrp同步的问题,就需要一个新的协议VGMP
? ? ? ? VGMP 是为了防止可能导致在vrrp状态下双方信息不一致现象的发生。这是H3C在vrrp基础上进行的扩展,推出的vrrp组管理协议VGMP,负责统一管理加入其中的各备份组VRRP状态。
? ? ? ? 这解决了vrrp同步问题,但是此时流量还是过不去,因为备份无法建立会话表(首包机制),所以才需要建立一个会话同步机制,需要用到HRP
? ? ? ? HRP? ? ? ? 华为双机热备协议
? ? ? ? 可以同步防火墙之间的ARP信息、NAT\PAT信息,以及防火墙上配置的安全策略信息等,能够保证主防火墙down之后备防火墙的回包流量能够顺利的接收,还能够检测主备防火墙之间的运行状态。
????????
4.防火墙支持那些接口模式,一般使用在那些场景?
? ? ? ? 物理接口:防火墙支持的接口可以是二层的接口,也可以是三层接口
? ? ? ? ? ? ? ? ? ? ? ? 二层接口:交换接口? portswitch
? ? ? ? ? ? ? ? ? ? ? ? ?三层接口: undo portswitch? ? ?类似于路由器的接口
? ? ? ? 逻辑接口:
? ? ? ? ? ? ? ? ? ? ? ? ? 1.tunnel接口,null接口
? ? ? ? ? ? ? ? ? ? ? ? ??2.vlanif接口
? ? ? ? ? ? ? ? ? ? ? ? ??3.三层以太网子接口(备份时)、loopbak接口
? ? ? ? ? ? ? ? ? ? ? ? ? ?
5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网,你觉得会是什么原因?
? ? ? ? 首先,考虑路由的问题,可能是该地区的路由没有写完整,没有写缺省之类的,其次可能是网关地址没有配置正确。
? ? ? ? dns,该地区指向的dns服务器出现问题,域名解析错误,无法访问互联网。
? ? ? ? 策略,在防火墙上没有对相关区域的线路的流量没有放行,导致无法连接互联网。
? ? ? ? 双机热备,在实际情况中,私网访问公网会有多个防火墙,当遇到没有配置正确的双机热备的防火墙,例如vrrp和HRP这些协议没有实现完成,都会影响私网访问互联网的情况。
实现双机热备需要三种东西:VRRP(解决虚拟网关的问题)、VGMP(解决VRRP一致行动的问题)、HRP(解决同步会话的问题)
实验:
?注意:我先写入的是备份机(第二台机器,和这个顺序不同)
主设备机:
?配置安全区域:
?
?
?
此时
?
第二台设备:?
?
?在第二个接口列表需要重新写入新的:
?定义一个区域:(HRP区域)
?再做一个HRP策略:(其中发现没有HRP协议可选,我们就用any代替,但是实际操作中必然选HRP协议)
?
?接下来就是配备备份机器的参数:
?
?
?这边备份就弄好了,接下里切换到主机上去
此时:第二台机子的情况已经完成:
?还需要一致性检查:
再次切换到主设备上去:
?
?看看效果:
当断开主机旁边的线路时
?结果:
?最后实验大功告成!