防火墻--NAT類型和vrrp

一、根據以下問題總結：

1.防火墻支持哪些NAT技術，主要應用場景是什么？

NAT類型：

根據轉化方式的不同，NAT可以分為三類：

??? 源NAT，源地址轉化的NAT。 有：NO—PAT, NAPT, Easy_ip,Smart_nat, 三元組NAT

??? 目的NAT：將目的地址做轉化。 有：NAT-Server， SLB

??? 雙向NAT：即做源地址轉化，又做目的地址轉化。有：域間雙向NAT，域內雙向NAT

NAPT:是一種轉換時同時轉換地址和端口，實現多個私網地址共用一個或多個公網地址的地址轉換方式。適用于公網地址數量少，需要上網的私網用戶數量大的場景。

Easy IP是一種利用出接口的公網IP地址作為NAT轉后的地址，同時轉換地址和端口的地址轉換方式。對于接口IP是動態獲取的場景，Easy IP也一樣支持。

域間雙向NAT：

好處：轉完之后，當回包的時候不需要外網路由，只需要內網路由就可以。

一般是解決內網服務器沒有外網路由的問題

注意點：

• NAT策略 把握轉換前數據包源目地址是什么? 轉換后源目地址是什么

• 安全策略

當外部網絡中的用戶訪問內部服務器時，使用該雙向NAT功能同時轉換該報文的源和目的地址可以避免在內部服務器上設置網關，簡化配置。

域內雙向NAT：

使用場景：

內網pc以公網的形式訪問內網服務器時

私網用戶與內部服務器在同一安全區域同一網段時，私網用戶希望像外網用戶一樣，通過公網地址來訪問內部服務器的場景。

目的：由于私網用戶與死亡服務器被規劃到同一個網絡中，為了提高內部網絡的安全性，使私網服務器的回應報文也經過防火墻，就需要配置域內NAT。

2.當內網PC通過公網域名解析訪問內網服務器時，會存在什么問題，如何解決？請詳細說明

如圖：

當內網PC通過公網域名解析訪問內網服務器時，先由pc地址? 源172.168.1.5 目的為 公網地址202.202.1.1，到達防火墻后，目的地址進行nat轉換，由202.202.1.1轉為服務器的地址192.168.1.1，接下來回包的時候，遇到的問題就是不會走內網，繼續走的是外網，原因就是，服務器收到的數據包源是192.168.1.5 目的是 202.202.1.1 再回包的時候，不會走內網（192.168.1.1到192.168.1.5），回包的源轉換為公網。到防火墻進行雙轉。

3、防火墻使用VRRP實現雙機熱備時會遇到什么問題，如何解決？詳細說明

?存在問題1：當主用防火墻壞掉了，它會選擇備用，但是不會進入會話表，原因是首包機制，解決辦法，關閉流量監測，使用非首包建立會話表。

問題2：當防火墻的線路有一條斷開，則另一端自動斷開。同步組

4.防火墻支持哪些接口模式，一般使用在那些場景？

路由（L3模式）、交換（L2模式）透明交換機、接口對（L1模式）在二層不用查mak地址表，速度快、旁路檢測（TAP模式）

5.客戶反饋在部署防火墻后網絡出現個別區域PC無法訪問互聯網，你覺得會是什么原因？

去向流量包與回包流量不一致，查看防火墻，實行策略放行

二： 實驗：

拓撲：

域間雙向nat:

?抓包：

域內雙向nat：

轉換過程：

172.16.3.1->10.1.1.116

10.1.1.115->172.16.2.5

?1、域內nat的配置

2、安全策略

3、測試：

抓包：

總結

以上是生活随笔為你收集整理的防火墙--NAT类型和vrrp的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。