内PC_2,外网用路由器模拟internet,防火墙内网口VPN1,外网口VPN2,并且外网口配置了nat server。
外网配置的NAT 如下
nat server global 2.2.2.1 vpn-instance 2 inside 1.1.1.1 vpn-instance 1 reversible
nat server global 2.2.2.2 vpn-instance 2 inside 1.1.1.2 vpn-instance 1 reversible
不涉及
内网通过浮动IP访问内网甚至访问自己,发现内网不配置任何东西就能完成,访问自己出现异常。
在内网通过弹性IP访问内网过程中,有2点必须满足,第一是能匹配入接口的nat server,能做目的地址转换。第二是由于内网之间可能二层互通,因此必须做源地址转换,保证流量来回过防火墙。
正常情况下为了满足这两点,是在内网口配置NAT server加NAT outbound实现,但是现场内网口没有任何NAT配置也实现了。原因如下。
首先是进入设备后,在内网VPN下检查global地址的路由。正常情况下global地址会下发黑洞路由,这样能保证其他接口收到global地址的报文正常丢弃,比如内网口上来的流量会被黑洞丢弃,进入不了外网口进行地址转换。
但是现场内外网VPN不一样,外网口的nat server下发的黑洞路由只存在外网VPN下,因此内网报文不会匹配黑洞,也就能正常转发到外网口。
流量到外网口后,首先匹配NAT server的reversible参数,进行了源地址转换。
Slot 1:
Initiator:
Source IP/port: .1.1.1.1/2269
Destination IP/port: 2.2.2.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: 71n4bah91d9utprhrbhk1u3mr8/-/-
Protocol: ICMP(1)
Inbound interface: Reth3.202
Source security zone: TXDWXDID4HNWRYNZC2UKILKPXM
Responder:
Source IP/port: 2.2.2.1/2269
Destination IP/port: 2.2.2.2/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: external_vpn_1700/-/-
Protocol: ICMP(1)
Inbound interface: Reth3.1700
Source security zone: EXTERNAL
State: ICMP_REPLY
Application: ICMP
Rule ID: 26
Rule name: SDN_VBBYTMUT5D3EP7T4PTJZACSC7I_71n4bah91d9utprhrbhk1u3mr8
Start time: 2022-04-21 15:50:27 TTL: 29s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
转换完成后,设备认为流量实际是从外网口收到,因此还会检查目的地址的nat server。进行了目的地址转换。
Slot 1:
Initiator:
Source IP/port: 2.2.2.1/2269
Destination IP/port: 2.2.2.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: external_vpn_1700/-/-
Protocol: ICMP(1)
Inbound interface: Reth3.1700
Source security zone: EXTERNAL
Responder:
Source IP/port: 1.1.1.2/2269
Destination IP/port: 2.2.2.1/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: 71n4bah91d9utprhrbhk1u3mr8/-/-
Protocol: ICMP(1)
Inbound interface: Reth3.202
Source security zone: TXDWXDID4HNWRYNZC2UKILKPXM
State: ICMP_REPLY
Application: ICMP
Rule ID: 26
Rule name: SDN_VBBYTMUT5D3EP7T4PTJZACSC7I_71n4bah91d9utprhrbhk1u3mr8
Start time: 2022-04-21 15:50:27 TTL: 29s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
综上,内网口不做任何配置,但是源目的改变在外网实现了,现场能实现有两个很重要的点。
1. 内外网VPN隔离,避免了黑洞路由的问题。
2. Nat server配置了reversible参数,实现了nat outbound的功能。
因此现场访问其他设备没有问题。
现场自己访问自己的浮动ip异常原因如下。
报文到外网口后,依旧先进行源地址转换,转换后源目IP变成一样。这种报文会被设备默认开启的单包攻击丢弃。因此后续关闭单包攻击后,都恢复正常。
Slot 1:
Initiator:
Source IP/port: 1.1.1.1/2435
Destination IP/port: 2.2.2.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: 71n4bah91d9utprhrbhk1u3mr8/-/-
Protocol: ICMP(1)
Inbound interface: Reth3.202
Source security zone: TXDWXDID4HNWRYNZC2UKILKPXM
Responder:
Source IP/port: 2.2.2.1/2435
Destination IP/port: 2.2.2.1
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: external_vpn_1700/-/-
Protocol: ICMP(1)
Inbound interface: Reth3.1700
Source security zone: EXTERNAL
State: ICMP_REQUEST
Application: ICMP
Rule ID: 26
Rule name: SDN_VBBYTMUT5D3EP7T4PTJZACSC7I_71n4bah91d9utprhrbhk1u3mr8
Start time: 2022-04-21 16:01:16 TTL: 59s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
undo attack-defense malformed-packet defend enable
单包攻击关闭后,主要是不再检测上述中的异常报文,对正常业务没有任何影响。
1. 内外网VPN隔离,避免了黑洞路由的问题。
2. Nat server配置了reversible参数,实现了nat outbound的功能。
满足上述两点,可以实现内网用浮动访问内网,并且不需要内网口做配置。
这种情况下如果内网需要用浮动IP访问自己。需要关闭单包攻击。
undo attack-defense malformed-packet defend enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作