《华为HCIE安全认证》学习笔记 | 目的NAT及服务器负载均衡技术
Posted COCOgsta
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了《华为HCIE安全认证》学习笔记 | 目的NAT及服务器负载均衡技术相关的知识,希望对你有一定的参考价值。
学习视频来源:《乾颐堂HCIP-HCIE-security安全 2019年录制》
- 针对内部到外部目的地址转换
- 放行的地址是NAT转换以后的地址,原因是先执行目的NAT,再执行安全策略
- 针对外部到内部的目的地址转换
- server1后面可以跟zone
- 会产生正向和反向server-map
- NAT-Server产生Server-map与ASPF产生的Server-map意义不一样,NAT-Server产生的Server-map只能做映射的关系,必要要放行安全策略,而ASPF产生的Server-map可以绕过安全策略产生一个临时的通道
- 三十二字真言
- 一正一反,来去自如
- 解决问题:外能能访问内网,内网服务能访问外网
- 可以不需要再配置源NAT,只要匹配Server-map反向的映射关系,注意要放行安全策略
- 去反存正,自断其路
- IPSec VPN + 源NAT + NAT-Server
- easy-ip引发IPSec ACL不能匹配,解决:NAT豁免(NAT旁路)
- 反向server-map不能增加reverse
- 一分为二,源进源出
- 结合多出口选路 + NAT-Server
- 出接口不在同一Zone,可以配置转换为同一内网地址
- 出接口在相同Zone,不可以配置转换为同一内网地址,需要加no-reverse
- 针对多出口配置NAT-Server,并且有来回路径不一致的场景,所以需要源进源出(华为防火墙内部机制)
- 虚实变换,合二为一(USG2000/5000会发生)
- 根据双机热备 + NAT-Server
- 现在USG6000以上自动绑定VRRP组
- 一正一反,来去自如
- NAT-Server需要配置路由黑洞吗?
- 配置1
- nat server qyt global 2.2.2.2 inside 10.1.1.1 -- 粗矿的NAT-Server
- 不需要配置黑洞路由
- 配置2
- nat server qyt protocol tcp global 2.2.2.2 www inside 10.1.1.1 www -- 精细的NAT-Server
- 公网地址和出接口不在同一个段,会产生环路,一定要配置黑洞路由
- 公网地址和出接口在同一段,多产生一个arp-request,建议配置黑洞路由
- 配置1
- 算法:轮询算法、最小连接、会话保持(HASH算法)
- 三种算法都可以做加权
- 实现同一个IP地址,转换到不同服务器,利用vServer的算法(三种算法)选择不同的服务器
- 只要创建SLB,就生成server-map,不需要流量触发
- 要想删除server-map,只能删除SLB
以上是关于《华为HCIE安全认证》学习笔记 | 目的NAT及服务器负载均衡技术的主要内容,如果未能解决你的问题,请参考以下文章