记一次老牌防火墙产商SSG系列多Wan口环境下NAT/Zone的排错心得 推荐 原创 架构师Allen 2018-07-21 10:52:43 博主文章分类:网络基础/进阶实践篇 ©著作权 文章标签 SSG 混合云 组网 排错 文章分类 运维 ©著作权归作者所有:来自51CTO博客作者架构师Allen的原创作品,如需转载,请与作者联系,否则将追究法律责任 昨晚跟着朋友一起troubleshooting一个关于混合云组网的事情,还蛮有代表性的,也非常容易被大家忽略的一个问题。这也是近年来很多80/90/00非常容易被忽略的一个细节,SSG系列都耳熟能详的设备了,但就是这样的老牌产商,我们通过实践来学习里面的原理是非常值得的,今天就是这么一个NAT/POLICY/interface mode引发的5个小时的加班故事。 传统的防火墙组网一般都是类似这样的:【标准的三层结构做法:服务器集群、内网核心交换、公网边界】 参考的图还是非常标准的,怎么评价呢,现在仍然是主流企业选择的一种IT-infrastructure的结构,成熟且经得起推敲。 不过也有企业因为内网交换需求不大,选在内网网关复用在防火墙的结构(去除内网核心交换): 搞过几年RS和Security的同行都懂,若有企业的流量并不大,并且流量多以南北走向为主,同时网内流量交互不大前提,核心交换机完全可以省略。就如以上图所示一样。 只不过咱们国内的商业准则过去特色,所以很多地方都会选择购买交换机,因为确实这是一笔不菲的“预算”,但懂行的人大有人在。 > 只不过近年来,师傅带徒弟。国内的师傅越来越中国特色,所以到如今的网工,多少有些心神浮躁,不注意修炼内功,一味的追求高逼格满配置。缺忽略技术本身价值所在 了解我的朋友,都比较清楚云计算这几年的“势头”,那当然,今天的记录也并不是昨晚和朋友一起排了个小错有感而发。这忙碌了五天,不写点文档和分享总觉得自己好像在浪费时光【所以坚持是难能可贵的】 这一点真的得多学学教主-秦柯,真的是偶像。 我一直工作在传统企业到云计算、或者在云计算起步的圈子里。因为本身有传统组网的维护和建设经验,加上搞了几年防火墙,多少对传统企业的路子有个七七八八的认知,所以在工作中传统企业如何过渡到云计算,我也算是没有被颠覆,而是做了自己最擅长的事情。 划重点,敲黑板了 今天也是一样,客户有阿里云的服务器,最近申请了一条DC到alicloud的专线,想实现alicloud到DC内网的通信,然后把服务一点一点的迁移上云,数据库保存在本地。前端web服务部署在云端。 补充下,后面我会找个时间给大家分享下,整整2017年,我带着混合云组网方案横扫各大产商和客户的最核心的“concept”。 好了,到了描述昨天困住我同事近五个小时的问题了。 拓扑示意图如下: PS: 我最反感搞技术的讨论问题,不画图不mark相关参数的。^_^ 问题描述: 1、公有云服务器(172.16.0.50)能Ping通DC侧的物理服务器(10.99.200.100) 2、但反向从物理服务器到达公有云服务器不通 问题分析 1、首先解决路由问题,防火墙我troubleshooting时候大不了policy all permit any。【补充下:防火墙的处理机制,我简单梳理了一个助于大家理解的SSG系列,其他防火墙:类似山石、深信服、PA、网康、checkpoint】,除了国外有些区别,国内基本一致。 如下图: 注意我标红的地方,这也就是我解决问题最核心基础————防火墙对packet的处理机制 其实我朋友搞了那么久也是这个原因之一,关于对对NAT和防火墙机制的理解 另外一个原因是对防火墙特有定义的Zone的理解有问题 还有一个主要原因是对SSG系列防火墙接口下面的两个模式的理解不足,截图如下: 圈红的地方很常见,但很容易出问题 再回来看下流量和我标注的地方 1)注意看接口,我们把面向专线侧也define 为 untrust了。 2)所以当路由可达时,防火墙会check policy放行情况 3)且此时与服务直连的(trust)接口为NAT模式,另外两个untrust口是路由模式 4)似乎一切都是正常的,但就是不通 问题分析: 打开policy的日志,review时候,确认DC的服务器(10.99.200.100)去访问阿里云服务器(172.16.0.50)时候,发现服务的地址被翻译成trust的接口地址了 1、类似cisco的PAT的概念。 2、当我把trust的接口的模式修改为route模式后,DC的服务器(10.99.200.100)可以访问阿里云服务器了,但此时无法出去访问公网了 3、反之测试后,能出公网但无法访问云端服务器,好像有点两全不能齐美的概念。 > 4、根本原因在于我标注的Zone的问题上 不要慌,我用最通俗的语言解释下这个过程~~~ 我们的策略中放行的Trust-Untrust的流量,在SSG(screen os)中,配置SNAT(现在产商普遍的叫法),只需要在接口模式配置得当(内网NAT&外网Route),配置Policy时候,访问Trust-Untrust流量就相当于做了SNAT的动作。所以不需要额外 ————网上有部分的说法说是要额外在policy-advance中勾选这个地方,截图如下: PS:这个可能是内网口和外网口都用了route模式,所以我认为这不是解决,而是错误的配置逻辑背后“填坑”的一种设置方式,所以我个人不推荐。【接口模式设计好即可,哪有这么多坑~】 所以流量从DC服务器(10.99.200.100)发起时候,SSG防火墙分别依序check/match了1)路由2)NAT)Policy,到policy这里时候它认为是对外的流量,故它默认帮你匹配到PAT的过程,所以导致无法Ping。我上面截的图是数据从外到内,这里的流程是从内到外。希望读者能正反向理解下,我找个文献介绍这一流程的,如下截图: 所以解决很简单,把跟阿里云链接那边防火墙端口的Zone定义修改为Trust,与内网主机所在接口Zone一致,问题解决~~ 当SSG检测到你的流量是在一个ZONE的时候,在ZONE(安全域)内的流量,防火墙会认为你属于网内的可信流量,同时防火墙直连阿里云的专线的接口模式为route模式。所以这也就说通了【之前关于接口模式忽略后,导致很多问题的粗心大意】 正如开篇我说的,还有很多传统的IT工程师再金融、证券、银行等公司做技术。SSG也在逐渐被替代,但不可忽略的是,技术的迭代更新也好,国产技术的崛起也好。我们做技术的别忽略白皮书,别忽略细节,如果你现在还只是专注配置,很可能过不了多久“你就会发现自己什么都不会~!!” 一个热爱生活的网工努力成长的故事 ——————Allen在路上 QQ:549675970 Wechat: Johnny_JunJun QZONE: http://user.qzone.qq.com/549675970 E-mail: 549675970@qq.com allen_junjun@hotmail.com 人生格言:越努力、越幸运 赞 收藏 评论 分享 举报 上一篇:一位架构师用服务打动客户的故事之四 下一篇:亚马逊考试AWS Certified Solutions -Professional 认证分享 提问和评论都可以,用心的回复会被更多人看到 评论 发布评论 全部评论 () 最热 最新 相关文章 无线配置命令 无线配置命令 无线 网络 Nginx安全配置 nginx版本号隐藏 nginx 版本号 安全 Nginx 常用配置汇总 Nginx 是开源、高性能、高可靠的 Web 和反向代理服务器,而且支持热部署,同时也提供了 IMAP/POP3/SMTP 服务,可以不间断运行,提供热更新功能。占用内存少、并发能力强,最重要的是,Nginx 是免费的并可以商业化,配置使用都比较简单。Nginx 特点高并发、高性能模块化架构使得它的扩展性非常好异步非阻塞的事件驱动模型这点和 Node.js 相似无需重启可不间断 Nginx nginx 缓存 juniper SSG 导出导入配置 原文链接:https://blog.51cto.com/huangwenpeng/829417导入导出配置是我们设备经常用到的地方,这篇文章是针对刚购买juniperssg系列的新用户制作的,希望大家别忘记时常备份一下配置,首先我们进入配置页面.第一步:展开Configuration>Update>configFile>选择savetoFile第二步:下载配置文件到本地第三步:返回 juniper 网关 DMZ SNAT和DNAT配置 一、SNAT可以解决如果只有一个公有地址而使全公司可以访问Internet,SNAT只能用在nat表的POSTROUTING链。配置SNAT环境如下:在内部地址和Internet配置网站在网关服务器添加两块网卡eth0:192.168.10.254和eth1:172.16.1.254,并开启路由功能。在网关服务器上配置SNAT策略到internet测试机上查看日志,发现访问者不是192.168.1 iptables 配置 企业JUNIPER-SSG配置 Juni 杂谈 项目 分析 实战 配置 SNAT 和NAT • 安全网络地址转换简介• 创建SANT pool• 实施SNAT• 实施NAT• 管理SNAT 和N 地址映射 选项卡 显式 Juniper SSG antivirus 基本配置 [图文] 说SSG的防病毒的配置前还是先说一下,这个东东(SSG)的防病毒功能是如何实现的呢! 防病毒有三大部分组成。 1. 病毒模板数据库. 2. 病毒扫描引擎(Juniper-Kaspers 职场 Juniper antivirus 休闲 SSG5 MIP 配置方法 1. 在IE中输入防火墙的管理地址:http://192.168.0.1,用户名密码netscreen登录2. 首先在POLICY的POLICIES中,将UNTRUST到TRUST方向的策略删除。如图: 3. 进入NETWORK--INTERFACES--LIST下,点击ethernet0/0接口后面的Edit,如图: 4. 在弹出窗口中点击MIP。 SSG5 MIP 配置方法 Juniper SSG5-Serial 配置 接口说明:ethernet0/0外网接口ethernet0/1DMZ接口ethernet0/6内网接口截图信息NetworkInterfacesList juniper dmz 网关 SNAT和DNAT的配置 SNAT和DNAT的配置 SNAT DNAT 配置 iptables P配置DNAT SNAT iptables配置DNAT SNAT DNAT SNAT iptables Juniper ssg 550m HA 配置 这里以ethernet0/3 为HA接口CLI命令行配置SSG-550M-1(M)set nsrp cluster id 1set nsrp rto-mirror syncset nsrp rto-mirror routeset nsrp vsd-group id 0 priority 50(配置vsd-group id 0 优先级)set nsrp vsd-group master-always Juniper ssg 550m HA Juniper SSG 防火墙MIP配置 MIP 是“一对一”的双向地址翻译(转换)过程。通常的情况是:有若干个公网IP地址,又存在若干的对外提供网络服务的服务器(服务器使用私有IP地址), 为了实现互联网用户访问这些服务器,可在Internet出口的防火墙上建立公网IP地址与服务器私有IP地址之间的一对一映射(MIP),并通过策略实 现对服务器所提供服务进行访问控制。 我们用10.17.100. 职场 休闲 Juniper SSG 防火墙 MIP SNAT SNATSNAT策略的典型应用环境●局域网主机共享单个公网IP地址接入InternetSNAT策略的原理●源地址转换,SourceNetworkAddressTranslation●修改数据包的源地址前提条件●局域网各主机正确设置IP地址子网掩码●局域网各主机正确设置默认网关地址●Linux网关支持IP路由转发实现方法●编写SNAT转换规则root@localhostiptablestnatAPO ip地址 源地址 应用环境 Juniper SSG 550M HA配置文档 主防火墙配置unset interface e4 ip 将e4的ip地址删除set interface e4 zone ha &n 职场 休闲 Juniper SSG 550M HA Juniper SSG 550M NSRP配置文档 主防火墙unset interface e4 ip 将e4的ip地址删除set interface e4 zone ha &nbs 职场 休闲 Juniper SSG 550M NSR juniper ssg ospf Juniper SSG与OSPF的整合在网络设备和技术领域,华为一直是一家引领创新的公司。它不仅在网络设备制造方面卓有成效,更在网络解决方案方面展现出高超的技术能力。本文将探讨Juniper SSG和OSPF的整合,展示华为在这个领域的突出表现。Juniper SSG是一种安全服务网关,其主要作用是保护企业网络的安全。这种设备可以自动监视网络连接,并通过防火墙、入侵检测和虚拟专用网等功能来 OSPF 数据传输 网络设备 iptables snat 网速慢 iptables snat配置 iptables之SNAT与DNAT一、SNAT策略概述1.1 SNAT应用环境1.2 SNAT原理1.3 SNAT转换的前提条件二、SNAT策略的应用2.1临时打开2.2 永久打开2.3SNAT转换1:固定的公网IP地址1.4SNAT转换2:非固定的公网IP地址(共享动态IP地址)三、SNAT案例:实验准备四、DNAT策略与应用2.1DNAT应用环境2.2DNAT原理2.3 DNAT转换前提条 iptables snat 网速慢 网络 服务器 linux IP iptables配置路由 iptables snat配置 SNAT策略及应用SNAT策略概述SNAT策略的典型应用环境局域网主机共享单个公网IP地址接入internetSNAT策略的原理源地址转换 ,Source Network Address Translation修改数据包的源ip地址SNAT策略的应用前提条件局域网各主机正确设置IP地址/子网掩码局域网各主机正确设置默认网关地址推荐实现步骤1.开启网关主机的路由转发功能添加使用SNAT策略的防火墙规 iptables配置路由 服务器 网络 运维 linux