Topologie de réseau physique
Description du défaut
Une fois le serveur NAT configuré sur le pare-feu FW2, PC1 ne peut pas envoyer une requête ping à l'adresse de réseau privé de PC3 en envoyant une requête ping à l'adresse de réseau public du serveur nat.
Fichiers de configuration
l FW1
#
acl number 3000
rule 5 permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
#
ipsec proposal p1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer b
undo version 2
pre-shared-key %^%#Z$pF2wqe9V.VP5V>P,qLJ:R^)="-W28~N9!LWE!3%^%#
ike-proposal 1
remote-address 192.168.101.1
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal p1
sa trigger-mode auto
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 5.5.5.0 255.255.255.0 2.2.2.2
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
rule name local_to_untrust
source-zone local
destination-zone untrust
destination-address 10.1.2.0 0.0.0.255
action deny
#
nat-policy
rule name no_nat
egress-interface GigabitEthernet1/0/0
source-address 10.1.1.0 mask 255.255.255.0
action no-nat
rule name nat_policy
destination-zone untrust
source-address 10.1.1.0 mask 255.255.255.0
destination-address 10.1.2.0 mask 255.255.255.0
action nat easy-ip
l FW2
nat server dc1_dc2 0 global 5.5.5.1 inside 1.1.1.1 no-reverse
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
rule name test
source-zone trust
destination-address 1.1.1.0 mask 255.255.255.0
#
nat-policy
rule name nat_pol
destination-zone trust
source-address 1.1.0.0 mask 255.255.0.0
destination-address 1.1.0.0 mask 255.255.0.0
action nat easy-ip
l FW3
#
acl number 3000
rule 5 permit ip source 10.1.2.0 0.0.0.255 destination 10.1.1.0 0.0.0.255
#
ipsec proposal p1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-256
#
ike proposal 1
encryption-algorithm aes-256
dh group2
authentication-algorithm sha2-256
authentication-method pre-share
integrity-algorithm hmac-sha2-256
prf hmac-sha2-256
#
ike peer b
undo version 2
pre-shared-key %^%#OZ2Q@cbWlRZ8XTJKqc8,q^dT6kP^82qBDz)Cbx_H%^%#
ike-proposal 1
remote-address 192.168.8.1
#
ipsec policy map1 10 isakmp
security acl 3000
ike-peer b
proposal p1
sa trigger-mode auto
#
ip route-static 0.0.0.0 0.0.0.0 10.220.6.1
ip route-static 10.1.1.0 255.255.255.0 192.168.101.254
ip route-static 192.168.8.0 255.255.255.0 192.168.101.254
#
security-policy
default action permit
rule name trust_to_local
source-zone trust
destination-zone local
action permit
rule name local_to_trust
source-zone local
destination-zone trust
action permit
#
Étape 1 Vérifiez les détails de la table de session sur le FW2.
[R5U22-USG6600] display firewall session table verbose protocol icmp
2018-01-03 20:22.900
Current Total Sessions : 1
icmp VPN: public --> public ID: a58f5fad3a168fc8765a69bc3
Zone: local --> trust TTL: 00:00:20 Left: 00:00:19
Recv Interface: GigabitEthernet1/0/0
Interface: GigabitEthernet0/0/0 NextHop: 10.220.6.1 MAC:04f9-38a9-c53b
<--packets: 0 bytes: 0 ==> packets: 84 bytes: 7,056
1.1.1.1:44012[10.220.7.68:2048] --> 5.5.5.1:2048[1.1.1.1:2048] PolicyName: ---
Dans la table de session, nous pouvons obtenir les informations ci-dessous:
l L’interface indound est GigabitEthernet 1/0/0 et l’interface totale est GigabitEthernet 0/0/0.
l La traduction du serveur nat est correcte, mais la conversion de la source est fausse.
Étape 2 Vérifiez les informations sur la base d'informations de transfert (FIB).
[R5U22-USG6600] display fib 1.1.1.1
Route Entry Count: 1
Destination/Mask Nexthop Flag TimeStamp Interface TunnelID
0.0.0.0/0 10.220.6.1 GSU t[406] GE0/0/0 0x0
Vérifiez la table fib et l'interface de sortie est GE0 / 0/0, mais dans la topologie, l'interface de sortie doit être GE1 / 0/7.
Solution: Ajoutez la route statique et configurez le GE1 / 0/7 comme interface de sortie.
[R5U22-USG6600] ip route-static 1.1.1.1 32 GigabitEthernet 1/0/7
Après avoir ajouté la route statique, vérifiez la table de session et vérifiez que l'interface d'entrée et l'interface de sortie sont toutes correctes. Et le pare-feu envoie déjà les paquets inversés.
Étape 3 Effectuez le test de ping sur FW1.
[R5U9-USG6600] ping -a 1.1.1.1 -c 1000 5.5.5.1
PING 5.5.5.1 : 56 data bytes, press CTRL_C to break
Request time out
Request time out
Request time out
Request time out
Request time out
--- 5.5.5.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
Le test de ping échoue toujours.
Étape 4 Vérifiez la table fib sur FW2 et l'interface sortante vers 1.1.1.1 est GE1 / 0/7. Dans la topologie, l'interface sortante inverse est 1/0/0.
[R5U22-USG6600] display fib 1.1.1.1
Route Entry Count: 1
Destination/Mask Nexthop Flag TimeStamp Interface TunnelID
1.1.1.1/32 3.3.3.1 GHSU t[277467] GE1/0/7 0x0
Pour ce problème, nous pouvons utiliser la fonction redirect-reverse pour permettre le transfert des paquets et des paquets de réponse sur la même interface.
Solution: ajoutez la fonction de redirection inverse et le test du ping est correct.
#
interface GigabitEthernet1/0/0
undo shutdown
ip address 2.2.2.2 255.255.255.255.0
service-manage ping permit
redirect-reverse next-hop 2.2.2.1
Étape 5 Effectuez le test de ping de PC3 à PC1. Sur le FW3, nous pouvons voir que le tableau de session de ping est correct. Mais PC1 ne reçoit pas de paquets ping de PC3.
Vérifiez la table de session sur le FW2 et vérifiez que l'interface sortante est 1/0/7.
[R5U22-USG6600] display firewall session table verbose protocol icmp
Current Total Sessions : 1
icmp VPN: public --> public ID: a58f5fad3a168fc8765a69bc3
Zone: local --> trust TTL: 00:00:20 Left: 00:00:19
Recv Interface: GigabitEthernet1/0/7
Interface: GigabitEthernet1/0/7 NextHop: 3.3.3.1 MAC:04f9-38a9-c53b
<--packets: 0 bytes: 0 ==> packets: 84 bytes: 7,056
1.1.1.1:43990[3.3.3.2:2055] --> 5.5.5.1:2048[1.1.1.1:2048] PolicyName: ---
Vérifiez la route statique que nous avons ajoutée et découvrez que l'interface sortante pour 1.1.1.1 est GE1 / 0/7.
Pour ce scénario, nous pouvons utiliser PBR pour indiquer l'interface sortante pour chaque flux.
Solution: ajoutez le PBR et modifiez la stratégie NAT source.
Remarque : lorsque nous ajoutons le PBR, nous devons indiquer l'adresse IP source, l'adresse de destination, la zone source, la zone de destination, l'interface de sortie ou le saut suivant. La source et la destination sont la même adresse IP et la zone source est la même zone.
#
policy-based-route
rule name dc1_to_dc2
source-zone trust
destination-address 1.1.0.0 mask 255.255.0.0
action pbr next-hop 3.3.3.1
rule name dc2-to_dc1
source-zone trust
source-zone dmz
destination-address 1.1.1.0 mask 255.255.0.0
action pbr next-hop 2.2.2.1
#
Cause première
DC1 et DC2 sont le même réseau, nous devons utiliser la fonction qui consiste à transférer les paquets et les paquets de réponse sur la même interface, ainsi qu’une autre fonction de PBR. Ces deux fonctions peuvent corriger l'interface de sortie du paquet et l'interface de sortie du paquet inverse.