雙鏈路+多層端口映射疑難雜癥!華為路由器+華為防火墻配置解析
有客戶部署了電信+移動雙鏈路接入網絡,本是為了提升網絡訪問穩定性與冗余性,可當華為 AR6140E-S 路由器雙鏈路接入,下聯 USG6000E-S12 防火墻,內網多臺服務器 N 個端口需要映射,且要求電信、移動公網 IP 均能訪問內網服務時,卻陷入了端口映射失效、跨運營商訪問不通的技術困境。
![]()
眼看著群里折騰了三天了,最終還是付費讓筆者來解決。通過梳理網絡架構、精準配置設備參數,順利實現雙鏈路下的端口映射與跨運營商訪問,現將完整解決方案與技術配置分享如下。
先交待一下網絡架構:電信光貓→AR6140E-S GE2 口,移動光貓→AR6140E-S GE3 口,;AR6140E-S 內網口直連 USG6000E-S12的GigabitEthernet0/0/8口,USG6000E-S12 內網口連接交換機,內網服務器均接入交換機,內部私網網段為192.168.2.0/24 。
電信和移動都是固定IP的城域網專線,基礎的配置已經作完了,現在內部的服務器和電腦都能正常上網,只是端口映射全部失效,筆者收了錢,也只是負責把端口映射的問題解決掉。
一、華為 AR6140E-S 路由器的配置錯誤
因為正值下班時間,筆者決定晚上加班干活,所以只是臨時登錄設備看了一眼,發現端口是做了幾十個,但是沒有一個會生效的,因為內部IP全部填寫了服務器的IP,而在現有架構下,路由器和服務器之間還隔著防火墻,這種基礎性錯誤也是沒誰了,虧他們搞了幾天。
二、USG6000E-S12 防火墻的配置錯誤
既然路由器錯得離譜,那就再看一眼防火墻的配置吧。
很好,一個端口映射都沒做,一條安全策略都沒寫,那外網怎么可能訪問內部服務器嘛,看來我晚上的工作量不小嘍。
三、撥亂反正,調整路由器和防火墻的配置,實現電信、移動分別端口映射
第一步,在華為AR6140E-S上,把所有的端口映射改一遍,IP地址全部改為華為防火墻上的WAN IP,也就是與華為AR6140E-S的Lan IP在同一網段的IP地址。這一步要注意:1、千萬不能直接寫服務器的IP;2、所有端口映射要做兩遍,電信一遍,移動一遍,客戶要求如此,在外網電信和移動IP都能訪問內部服務器。
本以為這一步很簡單很快,實則不然,華為的路由器,Web頁面配置還是一如既往地拉胯,幾乎每改一個就要“等待”響應。
改了兩三個失去了耐心,就開了兩個瀏覽器,來回切換操作,這還不夠,干脆再開一個窗口,同步調試華為防火墻。
第二步,在華為USG6000E-S12防火墻上,配置服務器映射
![]()
值得稱道的是,華為的防火墻,Web頁面配置還是一如既往的絲滑,不會有任何的卡頓,哈哈。
第三步,配置相應的安全策略
如果是防火墻直接連接了運營商線路,我肯定是每個端口映射單獨匹配一條安全策略,但是上面還有臺路由器,我就簡單點了,那了個Servers的對象,把需要映射端口的服務器都包含了進去,然后用一條安全策略解決,就是允許untrust訪問Servers,省了許多事。
![]()
先拿其中一臺服務器上的oa系統測試了一下,電信和移動的IP,都能訪問OA系統了,表示配置正確無誤,就先通知客戶了,免得他們著急,畢竟接下來只是時間問題了。
![]()
第四步,內網用戶以域名訪問映射端口的應用
這其實已經算是額外的工作了,但是無所謂了,額外贈送一下,也未嘗不可。
如果華為防火墻直連運營商鏈路,這一步需要做一個特殊的NAT,實現內部用戶也能以外部IP來訪問內部服務器,因為域名始終會被解析為IP地址的,所以做個特殊的NAT就能解決問題的,方法如下圖所示:
![]()
這個特殊的NAT,意思是把內網192.168.1.0/24訪問服務器的數據流,轉到WAN口去了,也就實現了在內網能通過公網的IP地址和端口訪問登錄內部服務器。
但是,這個方法,顯然不適用于本案例,因為防火墻并沒有直連運營商鏈路,所以我要用不同的方法。
由于內網沒有DNS服務器,交換機也是傻瓜交換機,那就只能在華為防火墻上動腦筋了。
我心里知道要做什么配置,但是這玩意兒,Web頁面在哪配置,我還真沒弄過,幸好,華為防火墻可以在Web頁面,開個Cli窗口,輸入兩個命令行了:
1、綁定域名和IP地址:
ip host oa.xxx.com 192.168.2.x
2、開啟DNS代理
dns proxy enable
完事后,讓客戶改一下每臺電腦的DNS服務器,改為華為防火墻的Lan IP就好了,如果有DHCP服務那就方便了,但是客戶網絡環境沒有配置DHCP,那就這樣吧,打完收工。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.