一个深信服AF双向地址转换原理分析与配置案例
这里讲了一个很多防火墙发布涉及的回流的老问题:
使用防火墙发布了内网服务器供外部访问,外网可以正常通过防火墙外网接口ip访问,但是内网无法通过外网接口来访问。
一、应用场景
某公司客户内网有一台服务器192.168.50.50的80端口要映射到222.222.222.100的80端口,要求内网的用户192.168.50.40也可以通过222.222.222.100:80进行访问,af的lan口地址是192.168.50.1。
二、原理分析
1.如果我们只做目的地址转换(服务器映射),终端通过公网地址访问内网服务器的流程:
第一步:内网终端发包的【源地址是192.168.50.40 目的222.222.222.100】
第二步:数据包经过af只做了目的地址转换,经过af之后的数据包【源192.168.50.40 目的192.168.50.50】
第三步:服务器收到客户端请求回包【源192.168.50.50 目的192.168.50.40】
第四步:客户端收到服务器回包【源192.168.50.50 目的192.168.50.40】,客户端收到的响应包与请求包的源目ip不对应,于是丢弃该数据包。
综上所述,如果只配置目的地址转换,所以内网主机要通过公网出口地址访问内网服务器是无法访问的。
2.配置双向地址转换后,终端通过公网地址访问内网服务器的流程:
第一步:内网终端发包的【源地址是192.168.50.40 目的222.222.222.100】
第二步:数据包经过af同时做了源地址和目的地址转换,经过af之后的数据包【源192.168.50.1 目的192.168.50.50】
第三步:服务器收到af转发过来的客户端请求回包【源192.168.50.1 目的192.168.50.50】
第四步:af收到服务器回包【源192.168.50.50 目的192.168.50.1】,af转发再给客户端数据包【源222.222.222.100 目的192.168.50.40】
第五步:客户端收到af转发过来的回包【源222.222.222.100 目的192.168.50.40】,请求包与响应包源目地址一致,客户端正常处理该数据包
三、配置指导
第一步:先配置一条目的地址转换,实现公网主机通过公网地址访问到内网服务器
第二步:再添加一条双向地址转换,实现内网主机通过公网地址访问内网服务器
最终效果:公网主机访问时会直接匹配目的地址转换策略【外网访问】,内网主机访问时会匹配双向地址转换策略【内网访问】
四、总结
如果只配置目的地址转换,内网主机通过af公网地址访问内网服务器,客户端发出的请求包和收到的回包源目的地址不一致,所以无法正常访问
realme真我X50 Pro前置摄像头配置公布 采用105°超广角镜头支持UIS Max超级视频防抖
千兆宽带到底有多快?中国千兆光纤覆盖有多少
华米Q1季度实现营收约10.86亿元,总出货量达760万部
物联网存在巨大可能性, 罗伯特·卡恩将于中国合作建立全球协调的物联网系统
苏州国芯已成功开发43款高性能嵌入式CPU系列
一个深信服AF双向地址转换原理分析与配置案例
不断增加,特斯拉电动皮卡预订量超50万辆
获取单片机运行时间
中国智慧灯杆行业现状、市场竞争格局及产业链分析
5G智慧安防来临会造就哪些领域
ADI面向中国市场推出高性能、低成本的CMOS运算放大器
性能同档体验领先 MediaTek天玑1000超越骁龙865
浅谈智能网联有哪些核心技术?
测试测量技术如何保证O-RAN网络的成功部署
XMOS宣布在中国大陆和台湾与威健签署新的地区分销协议
中国电信ATG网络建设步入实质性阶段,2021年实现全国网络覆盖
《关于推进智能网联汽车产业发展的通知》印发
韩国5G有哪些驱动力,中国5G进一步加速的“引擎”在哪
iPhone成为三星与台积电的转折 3nm成为三星赶超最大希望
我国智能锁市场占有率与发达国家相差较大主要有以下原因
使用防火墙发布了内网服务器供外部访问,外网可以正常通过防火墙外网接口ip访问,但是内网无法通过外网接口来访问。
一、应用场景
某公司客户内网有一台服务器192.168.50.50的80端口要映射到222.222.222.100的80端口,要求内网的用户192.168.50.40也可以通过222.222.222.100:80进行访问,af的lan口地址是192.168.50.1。
二、原理分析
1.如果我们只做目的地址转换(服务器映射),终端通过公网地址访问内网服务器的流程:
第一步:内网终端发包的【源地址是192.168.50.40 目的222.222.222.100】
第二步:数据包经过af只做了目的地址转换,经过af之后的数据包【源192.168.50.40 目的192.168.50.50】
第三步:服务器收到客户端请求回包【源192.168.50.50 目的192.168.50.40】
第四步:客户端收到服务器回包【源192.168.50.50 目的192.168.50.40】,客户端收到的响应包与请求包的源目ip不对应,于是丢弃该数据包。
综上所述,如果只配置目的地址转换,所以内网主机要通过公网出口地址访问内网服务器是无法访问的。
2.配置双向地址转换后,终端通过公网地址访问内网服务器的流程:
第一步:内网终端发包的【源地址是192.168.50.40 目的222.222.222.100】
第二步:数据包经过af同时做了源地址和目的地址转换,经过af之后的数据包【源192.168.50.1 目的192.168.50.50】
第三步:服务器收到af转发过来的客户端请求回包【源192.168.50.1 目的192.168.50.50】
第四步:af收到服务器回包【源192.168.50.50 目的192.168.50.1】,af转发再给客户端数据包【源222.222.222.100 目的192.168.50.40】
第五步:客户端收到af转发过来的回包【源222.222.222.100 目的192.168.50.40】,请求包与响应包源目地址一致,客户端正常处理该数据包
三、配置指导
第一步:先配置一条目的地址转换,实现公网主机通过公网地址访问到内网服务器
第二步:再添加一条双向地址转换,实现内网主机通过公网地址访问内网服务器
最终效果:公网主机访问时会直接匹配目的地址转换策略【外网访问】,内网主机访问时会匹配双向地址转换策略【内网访问】
四、总结
如果只配置目的地址转换,内网主机通过af公网地址访问内网服务器,客户端发出的请求包和收到的回包源目的地址不一致,所以无法正常访问
realme真我X50 Pro前置摄像头配置公布 采用105°超广角镜头支持UIS Max超级视频防抖
千兆宽带到底有多快?中国千兆光纤覆盖有多少
华米Q1季度实现营收约10.86亿元,总出货量达760万部
物联网存在巨大可能性, 罗伯特·卡恩将于中国合作建立全球协调的物联网系统
苏州国芯已成功开发43款高性能嵌入式CPU系列
一个深信服AF双向地址转换原理分析与配置案例
不断增加,特斯拉电动皮卡预订量超50万辆
获取单片机运行时间
中国智慧灯杆行业现状、市场竞争格局及产业链分析
5G智慧安防来临会造就哪些领域
ADI面向中国市场推出高性能、低成本的CMOS运算放大器
性能同档体验领先 MediaTek天玑1000超越骁龙865
浅谈智能网联有哪些核心技术?
测试测量技术如何保证O-RAN网络的成功部署
XMOS宣布在中国大陆和台湾与威健签署新的地区分销协议
中国电信ATG网络建设步入实质性阶段,2021年实现全国网络覆盖
《关于推进智能网联汽车产业发展的通知》印发
韩国5G有哪些驱动力,中国5G进一步加速的“引擎”在哪
iPhone成为三星与台积电的转折 3nm成为三星赶超最大希望
我国智能锁市场占有率与发达国家相差较大主要有以下原因