雙鏈路+多層端口映射疑難雜癥！華為路由器+華為防火墻配置解析

有客戶部署了電信+移動雙鏈路接入網(wǎng)絡(luò)，本是為了提升網(wǎng)絡(luò)訪問穩(wěn)定性與冗余性，可當(dāng)華為 AR6140E-S 路由器雙鏈路接入，下聯(lián) USG6000E-S12 防火墻，內(nèi)網(wǎng)多臺服務(wù)器 N 個(gè)端口需要映射，且要求電信、移動公網(wǎng) IP 均能訪問內(nèi)網(wǎng)服務(wù)時(shí)，卻陷入了端口映射失效、跨運(yùn)營商訪問不通的技術(shù)困境。

眼看著群里折騰了三天了，最終還是付費(fèi)讓筆者來解決。通過梳理網(wǎng)絡(luò)架構(gòu)、精準(zhǔn)配置設(shè)備參數(shù)，順利實(shí)現(xiàn)雙鏈路下的端口映射與跨運(yùn)營商訪問，現(xiàn)將完整解決方案與技術(shù)配置分享如下。

先交待一下網(wǎng)絡(luò)架構(gòu)：電信光貓→AR6140E-S GE2 口，移動光貓→AR6140E-S GE3 口，；AR6140E-S 內(nèi)網(wǎng)口直連 USG6000E-S12的GigabitEthernet0/0/8口，USG6000E-S12 內(nèi)網(wǎng)口連接交換機(jī)，內(nèi)網(wǎng)服務(wù)器均接入交換機(jī)，內(nèi)部私網(wǎng)網(wǎng)段為192.168.2.0/24 。

電信和移動都是固定IP的城域網(wǎng)專線，基礎(chǔ)的配置已經(jīng)作完了，現(xiàn)在內(nèi)部的服務(wù)器和電腦都能正常上網(wǎng)，只是端口映射全部失效，筆者收了錢，也只是負(fù)責(zé)把端口映射的問題解決掉。

一、華為 AR6140E-S 路由器的配置錯(cuò)誤
因?yàn)檎迪掳鄷r(shí)間，筆者決定晚上加班干活，所以只是臨時(shí)登錄設(shè)備看了一眼，發(fā)現(xiàn)端口是做了幾十個(gè)，但是沒有一個(gè)會生效的，因?yàn)閮?nèi)部IP全部填寫了服務(wù)器的IP，而在現(xiàn)有架構(gòu)下，路由器和服務(wù)器之間還隔著防火墻，這種基礎(chǔ)性錯(cuò)誤也是沒誰了，虧他們搞了幾天。

二、USG6000E-S12 防火墻的配置錯(cuò)誤
既然路由器錯(cuò)得離譜，那就再看一眼防火墻的配置吧。
很好，一個(gè)端口映射都沒做，一條安全策略都沒寫，那外網(wǎng)怎么可能訪問內(nèi)部服務(wù)器嘛，看來我晚上的工作量不小嘍。

三、撥亂反正，調(diào)整路由器和防火墻的配置，實(shí)現(xiàn)電信、移動分別端口映射

第一步，在華為AR6140E-S上，把所有的端口映射改一遍，IP地址全部改為華為防火墻上的WAN IP，也就是與華為AR6140E-S的Lan IP在同一網(wǎng)段的IP地址。這一步要注意：1、千萬不能直接寫服務(wù)器的IP；2、所有端口映射要做兩遍，電信一遍，移動一遍，客戶要求如此，在外網(wǎng)電信和移動IP都能訪問內(nèi)部服務(wù)器。

本以為這一步很簡單很快，實(shí)則不然，華為的路由器，Web頁面配置還是一如既往地拉胯，幾乎每改一個(gè)就要“等待”響應(yīng)。

改了兩三個(gè)失去了耐心，就開了兩個(gè)瀏覽器，來回切換操作，這還不夠，干脆再開一個(gè)窗口，同步調(diào)試華為防火墻。

第二步，在華為USG6000E-S12防火墻上，配置服務(wù)器映射

值得稱道的是，華為的防火墻，Web頁面配置還是一如既往的絲滑，不會有任何的卡頓，哈哈。

第三步，配置相應(yīng)的安全策略
如果是防火墻直接連接了運(yùn)營商線路，我肯定是每個(gè)端口映射單獨(dú)匹配一條安全策略，但是上面還有臺路由器，我就簡單點(diǎn)了，那了個(gè)Servers的對象，把需要映射端口的服務(wù)器都包含了進(jìn)去，然后用一條安全策略解決，就是允許untrust訪問Servers，省了許多事。

先拿其中一臺服務(wù)器上的oa系統(tǒng)測試了一下，電信和移動的IP，都能訪問OA系統(tǒng)了，表示配置正確無誤，就先通知客戶了，免得他們著急，畢竟接下來只是時(shí)間問題了。

第四步，內(nèi)網(wǎng)用戶以域名訪問映射端口的應(yīng)用
這其實(shí)已經(jīng)算是額外的工作了，但是無所謂了，額外贈送一下，也未嘗不可。
如果華為防火墻直連運(yùn)營商鏈路，這一步需要做一個(gè)特殊的NAT，實(shí)現(xiàn)內(nèi)部用戶也能以外部IP來訪問內(nèi)部服務(wù)器，因?yàn)橛蛎冀K會被解析為IP地址的，所以做個(gè)特殊的NAT就能解決問題的，方法如下圖所示：

這個(gè)特殊的NAT，意思是把內(nèi)網(wǎng)192.168.1.0/24訪問服務(wù)器的數(shù)據(jù)流，轉(zhuǎn)到WAN口去了，也就實(shí)現(xiàn)了在內(nèi)網(wǎng)能通過公網(wǎng)的IP地址和端口訪問登錄內(nèi)部服務(wù)器。

但是，這個(gè)方法，顯然不適用于本案例，因?yàn)榉阑饓Σ]有直連運(yùn)營商鏈路，所以我要用不同的方法。

由于內(nèi)網(wǎng)沒有DNS服務(wù)器，交換機(jī)也是傻瓜交換機(jī)，那就只能在華為防火墻上動腦筋了。

我心里知道要做什么配置，但是這玩意兒，Web頁面在哪配置，我還真沒弄過，幸好，華為防火墻可以在Web頁面，開個(gè)Cli窗口，輸入兩個(gè)命令行了：
1、綁定域名和IP地址：
ip host oa.xxx.com 192.168.2.x
2、開啟DNS代理
dns proxy enable

完事后，讓客戶改一下每臺電腦的DNS服務(wù)器，改為華為防火墻的Lan IP就好了，如果有DHCP服務(wù)那就方便了，但是客戶網(wǎng)絡(luò)環(huán)境沒有配置DHCP，那就這樣吧，打完收工。