故障描述
無(wú)
故障分析
無(wú)
處理過(guò)程
華為USG 系列防火墻V300R001 版本,3層接口下可以配置nat enable ,加上web配置界面配置端口ip位置有個(gè)啟用nat 選項(xiàng)框,客戶很容易勾選。造成一些異常現(xiàn)象
接口下的nat enable 優(yōu)先 nat-policy interzone,造成問(wèn)題
- Ipsec 配置后 ,區(qū)域間配置的 感興趣數(shù)據(jù)流量 動(dòng)作no-nat 不匹配,先匹配接口下nat enable 造成 ipsec 單通,對(duì)方可以訪問(wèn)設(shè)備內(nèi)網(wǎng),內(nèi)網(wǎng)用戶不能主動(dòng)訪問(wèn)對(duì)方(匹配nat enable)
- Nat enable 只會(huì)轉(zhuǎn)換為接口ip, 不適用于地址池包含多個(gè)ip 的場(chǎng)景
=============實(shí)際業(yè)務(wù)中,建議大家不使用Nat Enable命令。而使用Nat-Policy。
建議/總結(jié)
類似問(wèn)題在Juniper SSG系列防火墻中也需注意,建議不要設(shè)置端口為Nat,而應(yīng)該通過(guò)策略來(lái)設(shè)置Nat-Src