故障描述
無
故障分(fēn)析
無
處理(lǐ)過程
華為(wèi)USG 系列防火(huǒ)♦"牆V300R001 版本,3層接口下(xià)可(kě)以配置nat ena€≥ble ,加上(shàng)web配置界面配置端口ip位置有(yǒu)個(™☆δgè)啓用(yòng)nat 選項框,客戶很(h§£βěn)容易勾選。造成一(yī)些(xiē)異常現(xiàn)象
接口下(xià)的(de)nat enable 優先 δ ±$ nat-policy interzone,造成問(wèn)題
- Ipsec 配置後 ,區(qū)域間(jiān)配置的(φγ→♣de) 感興趣數(shù)據流量 動作(zuò)no-nat 不(bù★★)匹配,先匹配接口下(xià)nat enable&n™®ε↕bsp; 造成 ipsec 單通(tōng),₹↑"對(duì)方可(kě)以訪問(wèn)設備內(nèi)網,內(nè§↔i)網用(yòng)戶不(bù)能(néng)主動訪問(wèn)對(du≠← φì)方(匹配nat enable)
- Nat enable 隻會(huì)轉換→ε為(wèi)接口ip, 不(bù)适用(≈♥♦×yòng)于地(dì)址池包含多(duō)♣≈個(gè)ip 的(de)場(chǎng)景
=============實際業(yè)務中,建議(yì)大(dà)家(•←✔>jiā)不(bù)使用(yòng)Nat Enable命令。而使用♥÷α'(yòng)Nat-Policy。
建議(yì)/總結
類似問(wèn)題在Juniper SSG系列↔"≤防火(huǒ)牆中也(yě)需注意,建議(yì≈&)不(bù)要(yào)設置端口為(wèi)Nat,而應該通(tφ₽↑ōng)過策略來(lái)設置Nat-Src