华为ENSP排障相关

Posted 2020-12-04

老爹公司因业务扩大，需要对网络进行升级改造，工程师规划的部分拓扑图如下：

公司希望实现以下功能：

1. 生产部（PC1）和品质部（PC2）可以访问DMZ区域的Web服务器（ping）

2. 生产部（PC1）和品质部（PC2）可以访问互联网上的服务器Serv3（ping）

3. 互联网客户端PC3可以通过地址202.96.1.50访问公司的DMZ区域的Web服务器

工程师沃利大爷根据项目实施文档完成所有设备的配置后，发现如下问题：

问题一：沃利大爷发现，内网客户端PC1和PC2不能和DMZ服务器通信，他通过tracert命令发现数据包到第五跳192.168.80.2之后就丢包。

原因分析：PC1和PC2不能与DMZ区域的服务器进行访问，是因为R4上引入路由时出现了问题，通过“display current-configuration（dis cu）”命令我们发现，rip中并没有引入bgp路由。防火墙上通过“display ip routing-table（dis ip rou）”命令，发现没有内网区域的各个路由段。

以上足以证明“PC1和PC2不能与DMZ区域的服务器进行访问是因为R4上引入路由时出现了问题”是正确的。

解决方案：在R4的rip路由中引入bgp路由，使得内网两台客户端能够访问DMZ区域的服务器

[R4]rip 1      #进入rip模式

[R4-rip-1]import-route bgp permit-ibgp     #将rip引入bgp，使用允许内部边界网关协议（IBGP）路由

 

我们发现，在rip路由中引入了bgp路由之后，FW上学到了内网区域的网段，且两客户端已经可以和DMZ区域的服务器进行通讯，此问题得以解决。

问题二：沃利大爷发现内网客户端PC1和PC2不能上网（即内网客户端PC1和PC2不能访问互联网服务器Serv3），他又通过tracert命令发现数据包仍然到第五跳192.168.80.2之后就丢包。

原因分析：

1. 通过Wireshark抓R5的G0/0/0口发现其ICMP只有请求报文，但没有回应报文，同时源地址也没有做地址转换。

3. 在防火墙上发现NAT地址转换的配置出现问题，这也是导致源地址不进行地址转换的原因.

nat-policy

 rule name natpolicy   #给安全策略命名为“natpolicy”

  source-zone trust     #源区域为trust

  destination-address 202.96.1.0 24 #目标区域为“202.96.1.0/24”网段，由于此导致源地址不能进行转换

  action nat easy-ip    #使用的转换方式是easy-ip

解决方案：

1.      在R5上宣告一条默认路由即可。

[R5]ip route-static 0.0.0.0 0.0.0.0 202.96.1.10

2.      调整NAT地址转换的目标区域

nat-policy

 rule name natpolicy   #给安全策略命名为“natpolicy”

  source-zone trust     #源区域为trust

  destination-zone untrust        #目标区域原为一个网段，现在已经变成了untrust区域

  action nat easy-ip    #使用的转换方式是easy-ip

 

宣告完默认路由之后，我们发现PC1和PC2均可上网（即内网客户端PC1和PC2可以访问互联网服务器Serv3），而且进行了地址转换

问题三：沃利大爷发现互联网（PC3）不能访问公司内部DMZ区域的服务器

原因分析：

1. 尝试启动服务器

2. 再次尝试连接，发现仍然有之前的错误，由此判断是FW的安全策略出现了问题。从防火墙的配置上我们可以看出，防火墙FW上配置了NAT的静态映射（NAT Server），但没有配置安全策略，导致其不能访问内网DMZ区域的服务器

解决方案：对FW的untrust区域至dmz区域进行安全策略的配置（由于该行为属于从低到高，因此要配置安全策略）

[FW]security-policy

[FW-policy-security]rule name untrust_dmz           #给安全策略命名为“untrust_dmz”

[FW-policy-security-rule-untrust_dmz]source-zone untrust        #源区域为untrust

[FW-policy-security-rule-untrust_dmz]destination-zone dmz      #目标区域为dmz

[FW-policy-security-rule-untrust_dmz]service http               #允许通过的服务类型为htpp

[FW-policy-security-rule-untrust_dmz]action permit            #动作为允许

[FW-policy-security-rule-untrust_dmz]q

[FW-policy-security]q

 

此时我们通过“display current-configuration（dis cu）”命令可以得知FW上的安全策略已生效，且PC3也已经可以访问公司内部的DMZ服务器同时进行了地址转换

至此，沃利大爷发现的所有问题全部解决，公司提出的要求也全部满足。