一個(gè)深信服AF雙向地址轉(zhuǎn)換原理分析與配置案例

這里講了一個(gè)很多防火墻發(fā)布涉及的回流的老問題：

使用防火墻發(fā)布了內(nèi)網(wǎng)服務(wù)器供外部訪問，外網(wǎng)可以正常通過防火墻外網(wǎng)接口IP訪問，但是內(nèi)網(wǎng)無法通過外網(wǎng)接口來訪問。

一、應(yīng)用場(chǎng)景

某公司客戶內(nèi)網(wǎng)有一臺(tái)服務(wù)器192.168.50.50的80端口要映射到222.222.222.100的80端口，要求內(nèi)網(wǎng)的用戶192.168.50.40也可以通過222.222.222.100:80進(jìn)行訪問，AF的LAN口地址是192.168.50.1。

二、原理分析

1.如果我們只做目的地址轉(zhuǎn)換（服務(wù)器映射），終端通過公網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器的流程：

第一步：內(nèi)網(wǎng)終端發(fā)包的【源地址是192.168.50.40 目的222.222.222.100】

第二步：數(shù)據(jù)包經(jīng)過AF只做了目的地址轉(zhuǎn)換，經(jīng)過AF之后的數(shù)據(jù)包【源192.168.50.40 目的192.168.50.50】

第三步：服務(wù)器收到客戶端請(qǐng)求回包【源192.168.50.50 目的192.168.50.40】

第四步：客戶端收到服務(wù)器回包【源192.168.50.50 目的192.168.50.40】，客戶端收到的響應(yīng)包與請(qǐng)求包的源目IP不對(duì)應(yīng)，于是丟棄該數(shù)據(jù)包。

綜上所述，如果只配置目的地址轉(zhuǎn)換，所以內(nèi)網(wǎng)主機(jī)要通過公網(wǎng)出口地址訪問內(nèi)網(wǎng)服務(wù)器是無法訪問的。

2.配置雙向地址轉(zhuǎn)換后，終端通過公網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器的流程：

第一步：內(nèi)網(wǎng)終端發(fā)包的【源地址是192.168.50.40 目的222.222.222.100】

第二步：數(shù)據(jù)包經(jīng)過AF同時(shí)做了源地址和目的地址轉(zhuǎn)換，經(jīng)過AF之后的數(shù)據(jù)包【源192.168.50.1 目的192.168.50.50】

第三步：服務(wù)器收到AF轉(zhuǎn)發(fā)過來的客戶端請(qǐng)求回包【源192.168.50.1 目的192.168.50.50】

第四步：AF收到服務(wù)器回包【源192.168.50.50 目的192.168.50.1】，AF轉(zhuǎn)發(fā)再給客戶端數(shù)據(jù)包【源222.222.222.100 目的192.168.50.40】

第五步：客戶端收到AF轉(zhuǎn)發(fā)過來的回包【源222.222.222.100 目的192.168.50.40】，請(qǐng)求包與響應(yīng)包源目地址一致，客戶端正常處理該數(shù)據(jù)包

三、配置指導(dǎo)

第一步:先配置一條目的地址轉(zhuǎn)換，實(shí)現(xiàn)公網(wǎng)主機(jī)通過公網(wǎng)地址訪問到內(nèi)網(wǎng)服務(wù)器

第二步：再添加一條雙向地址轉(zhuǎn)換，實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)通過公網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器

最終效果：公網(wǎng)主機(jī)訪問時(shí)會(huì)直接匹配目的地址轉(zhuǎn)換策略【外網(wǎng)訪問】，內(nèi)網(wǎng)主機(jī)訪問時(shí)會(huì)匹配雙向地址轉(zhuǎn)換策略【內(nèi)網(wǎng)訪問】

四、總結(jié)

如果只配置目的地址轉(zhuǎn)換，內(nèi)網(wǎng)主機(jī)通過AF公網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器，客戶端發(fā)出的請(qǐng)求包和收到的回包源目的地址不一致，所以無法正常訪問

審核編輯：劉清