雙鏈路+多層端口映射疑難雜癥！華為路由器+華為防火墻配置解析

雙鏈路+多層端口映射疑難雜癥！華為路由器+華為防火墻配置解析

有客戶部署了電信+移動雙鏈路接入網絡，本是為了提升網絡訪問穩定性與冗余性，可當華為 AR6140E-S 路由器雙鏈路接入，下聯 USG6000E-S12 防火墻，內網多臺服務器 N 個端口需要映射，且要求電信、移動公網 IP 均能訪問內網服務時，卻陷入了端口映射失效、跨運營商訪問不通的技術困境。

眼看著群里折騰了三天了，最終還是付費讓筆者來解決。通過梳理網絡架構、精準配置設備參數，順利實現雙鏈路下的端口映射與跨運營商訪問，現將完整解決方案與技術配置分享如下。

先交待一下網絡架構：電信光貓→AR6140E-S GE2 口，移動光貓→AR6140E-S GE3 口，；AR6140E-S 內網口直連 USG6000E-S12的GigabitEthernet0/0/8口，USG6000E-S12 內網口連接交換機，內網服務器均接入交換機，內部私網網段為192.168.2.0/24 。

電信和移動都是固定IP的城域網專線，基礎的配置已經作完了，現在內部的服務器和電腦都能正常上網，只是端口映射全部失效，筆者收了錢，也只是負責把端口映射的問題解決掉。

一、華為 AR6140E-S 路由器的配置錯誤
因為正值下班時間，筆者決定晚上加班干活，所以只是臨時登錄設備看了一眼，發現端口是做了幾十個，但是沒有一個會生效的，因為內部IP全部填寫了服務器的IP，而在現有架構下，路由器和服務器之間還隔著防火墻，這種基礎性錯誤也是沒誰了，虧他們搞了幾天。

二、USG6000E-S12 防火墻的配置錯誤
既然路由器錯得離譜，那就再看一眼防火墻的配置吧。
很好，一個端口映射都沒做，一條安全策略都沒寫，那外網怎么可能訪問內部服務器嘛，看來我晚上的工作量不小嘍。

三、撥亂反正，調整路由器和防火墻的配置，實現電信、移動分別端口映射

第一步，在華為AR6140E-S上，把所有的端口映射改一遍，IP地址全部改為華為防火墻上的WAN IP，也就是與華為AR6140E-S的Lan IP在同一網段的IP地址。這一步要注意：1、千萬不能直接寫服務器的IP；2、所有端口映射要做兩遍，電信一遍，移動一遍，客戶要求如此，在外網電信和移動IP都能訪問內部服務器。

本以為這一步很簡單很快，實則不然，華為的路由器，Web頁面配置還是一如既往地拉胯，幾乎每改一個就要“等待”響應。

改了兩三個失去了耐心，就開了兩個瀏覽器，來回切換操作，這還不夠，干脆再開一個窗口，同步調試華為防火墻。

第二步，在華為USG6000E-S12防火墻上，配置服務器映射

值得稱道的是，華為的防火墻，Web頁面配置還是一如既往的絲滑，不會有任何的卡頓，哈哈。

第三步，配置相應的安全策略
如果是防火墻直接連接了運營商線路，我肯定是每個端口映射單獨匹配一條安全策略，但是上面還有臺路由器，我就簡單點了，那了個Servers的對象，把需要映射端口的服務器都包含了進去，然后用一條安全策略解決，就是允許untrust訪問Servers，省了許多事。

先拿其中一臺服務器上的oa系統測試了一下，電信和移動的IP，都能訪問OA系統了，表示配置正確無誤，就先通知客戶了，免得他們著急，畢竟接下來只是時間問題了。

第四步，內網用戶以域名訪問映射端口的應用
這其實已經算是額外的工作了，但是無所謂了，額外贈送一下，也未嘗不可。
如果華為防火墻直連運營商鏈路，這一步需要做一個特殊的NAT，實現內部用戶也能以外部IP來訪問內部服務器，因為域名始終會被解析為IP地址的，所以做個特殊的NAT就能解決問題的，方法如下圖所示：

這個特殊的NAT，意思是把內網192.168.1.0/24訪問服務器的數據流，轉到WAN口去了，也就實現了在內網能通過公網的IP地址和端口訪問登錄內部服務器。

但是，這個方法，顯然不適用于本案例，因為防火墻并沒有直連運營商鏈路，所以我要用不同的方法。

由于內網沒有DNS服務器，交換機也是傻瓜交換機，那就只能在華為防火墻上動腦筋了。

我心里知道要做什么配置，但是這玩意兒，Web頁面在哪配置，我還真沒弄過，幸好，華為防火墻可以在Web頁面，開個Cli窗口，輸入兩個命令行了：
1、綁定域名和IP地址：
ip host oa.xxx.com 192.168.2.x
2、開啟DNS代理
dns proxy enable

完事后，讓客戶改一下每臺電腦的DNS服務器，改為華為防火墻的Lan IP就好了，如果有DHCP服務那就方便了，但是客戶網絡環境沒有配置DHCP，那就這樣吧，打完收工。