• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

解决方案场景下,内网通过浮动IP访问内网(包括终端用浮动ip访问终端本身)

2022-04-24 发表
  • 0关注
  • 3收藏 1397浏览
聂骋 九段
粉丝:17人 关注:1人

组网及说明



内PC_2,外网用路由器模拟internet,防火墙内网口VPN1,外网口VPN2,并且外网口配置了nat server。

外网配置的NAT 如下

nat server global 2.2.2.1 vpn-instance 2 inside 1.1.1.1 vpn-instance 1 reversible

nat server global 2.2.2.2 vpn-instance 2 inside 1.1.1.2 vpn-instance 1 reversible


告警信息

不涉及


问题描述

内网通过浮动IP访问内网甚至访问自己,发现内网不配置任何东西就能完成,访问自己出现异常。


过程分析

在内网通过弹性IP访问内网过程中,有2点必须满足,第一是能匹配入接口的nat server,能做目的地址转换。第二是由于内网之间可能二层互通,因此必须做源地址转换,保证流量来回过防火墙。

正常情况下为了满足这两点,是在内网口配置NAT server加NAT outbound实现,但是现场内网口没有任何NAT配置也实现了。原因如下。

首先是进入设备后,在内网VPN下检查global地址的路由。正常情况下global地址会下发黑洞路由,这样能保证其他接口收到global地址的报文正常丢弃,比如内网口上来的流量会被黑洞丢弃,进入不了外网口进行地址转换。

但是现场内外网VPN不一样,外网口的nat server下发的黑洞路由只存在外网VPN,因此内网报文不会匹配黑洞,也就能正常转发到外网口。

流量到外网口后,首先匹配NAT serverreversible参数,进行了源地址转换。

Slot 1:

Initiator:

  Source      IP/port: .1.1.1.1/2269

  Destination IP/port: 2.2.2.2/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: 71n4bah91d9utprhrbhk1u3mr8/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth3.202

  Source security zone: TXDWXDID4HNWRYNZC2UKILKPXM

Responder:

  Source      IP/port: 2.2.2.1/2269

  Destination IP/port: 2.2.2.2/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: external_vpn_1700/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth3.1700

  Source security zone: EXTERNAL

State: ICMP_REPLY

Application: ICMP

Rule ID: 26

Rule name: SDN_VBBYTMUT5D3EP7T4PTJZACSC7I_71n4bah91d9utprhrbhk1u3mr8

Start time: 2022-04-21 15:50:27  TTL: 29s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

转换完成后,设备认为流量实际是从外网口收到,因此还会检查目的地址的nat server。进行了目的地址转换。

Slot 1:

Initiator:

  Source      IP/port: 2.2.2.1/2269

  Destination IP/port: 2.2.2.2/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: external_vpn_1700/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth3.1700

  Source security zone: EXTERNAL

Responder:

  Source      IP/port: 1.1.1.2/2269

  Destination IP/port: 2.2.2.1/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: 71n4bah91d9utprhrbhk1u3mr8/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth3.202

  Source security zone: TXDWXDID4HNWRYNZC2UKILKPXM

State: ICMP_REPLY

Application: ICMP

Rule ID: 26

Rule name: SDN_VBBYTMUT5D3EP7T4PTJZACSC7I_71n4bah91d9utprhrbhk1u3mr8

Start time: 2022-04-21 15:50:27  TTL: 29s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

综上,内网口不做任何配置,但是源目的改变在外网实现了,现场能实现有两个很重要的点。

1.      内外网VPN隔离,避免了黑洞路由的问题。

2.      Nat server配置了reversible参数,实现了nat outbound的功能。

因此现场访问其他设备没有问题。

 

 

现场自己访问自己的浮动ip异常原因如下。

报文到外网口后,依旧先进行源地址转换,转换后源目IP变成一样这种报文会被设备默认开启的单包攻击丢弃。因此后续关闭单包攻击后,都恢复正常。

Slot 1:

Initiator:

  Source      IP/port: 1.1.1.1/2435

  Destination IP/port: 2.2.2.1/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: 71n4bah91d9utprhrbhk1u3mr8/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth3.202

  Source security zone: TXDWXDID4HNWRYNZC2UKILKPXM

Responder:

  Source      IP/port: 2.2.2.1/2435

  Destination IP/port: 2.2.2.1

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: external_vpn_1700/-/-

  Protocol: ICMP(1)

  Inbound interface: Reth3.1700

  Source security zone: EXTERNAL

State: ICMP_REQUEST

Application: ICMP

Rule ID: 26

Rule name: SDN_VBBYTMUT5D3EP7T4PTJZACSC7I_71n4bah91d9utprhrbhk1u3mr8

Start time: 2022-04-21 16:01:16  TTL: 59s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

 

 

undo attack-defense malformed-packet defend enable 

 

单包攻击关闭后,主要是不再检测上述中的异常报文,对正常业务没有任何影响。


解决方法

1.      内外网VPN隔离,避免了黑洞路由的问题。

2.      Nat server配置了reversible参数,实现了nat outbound的功能。

满足上述两点,可以实现内网用浮动访问内网,并且不需要内网口做配置。

这种情况下如果内网需要用浮动IP访问自己。需要关闭单包攻击。

undo attack-defense malformed-packet defend enable 


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2022-04-24对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作