雙鏈路+多層端口映射疑難雜癥!華為路由器+華為防火墻配置解析
有客戶部署了電信+移動雙鏈路接入網(wǎng)絡(luò),本是為了提升網(wǎng)絡(luò)訪問穩(wěn)定性與冗余性,可當(dāng)華為 AR6140E-S 路由器雙鏈路接入,下聯(lián) USG6000E-S12 防火墻,內(nèi)網(wǎng)多臺服務(wù)器 N 個(gè)端口需要映射,且要求電信、移動公網(wǎng) IP 均能訪問內(nèi)網(wǎng)服務(wù)時(shí),卻陷入了端口映射失效、跨運(yùn)營商訪問不通的技術(shù)困境。
![]()
眼看著群里折騰了三天了,最終還是付費(fèi)讓筆者來解決。通過梳理網(wǎng)絡(luò)架構(gòu)、精準(zhǔn)配置設(shè)備參數(shù),順利實(shí)現(xiàn)雙鏈路下的端口映射與跨運(yùn)營商訪問,現(xiàn)將完整解決方案與技術(shù)配置分享如下。
先交待一下網(wǎng)絡(luò)架構(gòu):電信光貓→AR6140E-S GE2 口,移動光貓→AR6140E-S GE3 口,;AR6140E-S 內(nèi)網(wǎng)口直連 USG6000E-S12的GigabitEthernet0/0/8口,USG6000E-S12 內(nèi)網(wǎng)口連接交換機(jī),內(nèi)網(wǎng)服務(wù)器均接入交換機(jī),內(nèi)部私網(wǎng)網(wǎng)段為192.168.2.0/24 。
電信和移動都是固定IP的城域網(wǎng)專線,基礎(chǔ)的配置已經(jīng)作完了,現(xiàn)在內(nèi)部的服務(wù)器和電腦都能正常上網(wǎng),只是端口映射全部失效,筆者收了錢,也只是負(fù)責(zé)把端口映射的問題解決掉。
一、華為 AR6140E-S 路由器的配置錯(cuò)誤
因?yàn)檎迪掳鄷r(shí)間,筆者決定晚上加班干活,所以只是臨時(shí)登錄設(shè)備看了一眼,發(fā)現(xiàn)端口是做了幾十個(gè),但是沒有一個(gè)會生效的,因?yàn)閮?nèi)部IP全部填寫了服務(wù)器的IP,而在現(xiàn)有架構(gòu)下,路由器和服務(wù)器之間還隔著防火墻,這種基礎(chǔ)性錯(cuò)誤也是沒誰了,虧他們搞了幾天。
二、USG6000E-S12 防火墻的配置錯(cuò)誤
既然路由器錯(cuò)得離譜,那就再看一眼防火墻的配置吧。
很好,一個(gè)端口映射都沒做,一條安全策略都沒寫,那外網(wǎng)怎么可能訪問內(nèi)部服務(wù)器嘛,看來我晚上的工作量不小嘍。
三、撥亂反正,調(diào)整路由器和防火墻的配置,實(shí)現(xiàn)電信、移動分別端口映射
第一步,在華為AR6140E-S上,把所有的端口映射改一遍,IP地址全部改為華為防火墻上的WAN IP,也就是與華為AR6140E-S的Lan IP在同一網(wǎng)段的IP地址。這一步要注意:1、千萬不能直接寫服務(wù)器的IP;2、所有端口映射要做兩遍,電信一遍,移動一遍,客戶要求如此,在外網(wǎng)電信和移動IP都能訪問內(nèi)部服務(wù)器。
本以為這一步很簡單很快,實(shí)則不然,華為的路由器,Web頁面配置還是一如既往地拉胯,幾乎每改一個(gè)就要“等待”響應(yīng)。
改了兩三個(gè)失去了耐心,就開了兩個(gè)瀏覽器,來回切換操作,這還不夠,干脆再開一個(gè)窗口,同步調(diào)試華為防火墻。
第二步,在華為USG6000E-S12防火墻上,配置服務(wù)器映射
![]()
值得稱道的是,華為的防火墻,Web頁面配置還是一如既往的絲滑,不會有任何的卡頓,哈哈。
第三步,配置相應(yīng)的安全策略
如果是防火墻直接連接了運(yùn)營商線路,我肯定是每個(gè)端口映射單獨(dú)匹配一條安全策略,但是上面還有臺路由器,我就簡單點(diǎn)了,那了個(gè)Servers的對象,把需要映射端口的服務(wù)器都包含了進(jìn)去,然后用一條安全策略解決,就是允許untrust訪問Servers,省了許多事。
![]()
先拿其中一臺服務(wù)器上的oa系統(tǒng)測試了一下,電信和移動的IP,都能訪問OA系統(tǒng)了,表示配置正確無誤,就先通知客戶了,免得他們著急,畢竟接下來只是時(shí)間問題了。
![]()
第四步,內(nèi)網(wǎng)用戶以域名訪問映射端口的應(yīng)用
這其實(shí)已經(jīng)算是額外的工作了,但是無所謂了,額外贈送一下,也未嘗不可。
如果華為防火墻直連運(yùn)營商鏈路,這一步需要做一個(gè)特殊的NAT,實(shí)現(xiàn)內(nèi)部用戶也能以外部IP來訪問內(nèi)部服務(wù)器,因?yàn)橛蛎冀K會被解析為IP地址的,所以做個(gè)特殊的NAT就能解決問題的,方法如下圖所示:
![]()
這個(gè)特殊的NAT,意思是把內(nèi)網(wǎng)192.168.1.0/24訪問服務(wù)器的數(shù)據(jù)流,轉(zhuǎn)到WAN口去了,也就實(shí)現(xiàn)了在內(nèi)網(wǎng)能通過公網(wǎng)的IP地址和端口訪問登錄內(nèi)部服務(wù)器。
但是,這個(gè)方法,顯然不適用于本案例,因?yàn)榉阑饓Σ]有直連運(yùn)營商鏈路,所以我要用不同的方法。
由于內(nèi)網(wǎng)沒有DNS服務(wù)器,交換機(jī)也是傻瓜交換機(jī),那就只能在華為防火墻上動腦筋了。
我心里知道要做什么配置,但是這玩意兒,Web頁面在哪配置,我還真沒弄過,幸好,華為防火墻可以在Web頁面,開個(gè)Cli窗口,輸入兩個(gè)命令行了:
1、綁定域名和IP地址:
ip host oa.xxx.com 192.168.2.x
2、開啟DNS代理
dns proxy enable
完事后,讓客戶改一下每臺電腦的DNS服務(wù)器,改為華為防火墻的Lan IP就好了,如果有DHCP服務(wù)那就方便了,但是客戶網(wǎng)絡(luò)環(huán)境沒有配置DHCP,那就這樣吧,打完收工。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.