一個深信服AF雙向地址轉換原理分析與配置案例

這里講了一個很多防火墻發布涉及的回流的老問題：

使用防火墻發布了內網服務器供外部訪問，外網可以正常通過防火墻外網接口IP訪問，但是內網無法通過外網接口來訪問。

一、應用場景

某公司客戶內網有一臺服務器192.168.50.50的80端口要映射到222.222.222.100的80端口，要求內網的用戶192.168.50.40也可以通過222.222.222.100:80進行訪問，AF的LAN口地址是192.168.50.1。

二、原理分析

1.如果我們只做目的地址轉換（服務器映射），終端通過公網地址訪問內網服務器的流程：

第一步：內網終端發包的【源地址是192.168.50.40 目的222.222.222.100】

第二步：數據包經過AF只做了目的地址轉換，經過AF之后的數據包【源192.168.50.40 目的192.168.50.50】

第三步：服務器收到客戶端請求回包【源192.168.50.50 目的192.168.50.40】

第四步：客戶端收到服務器回包【源192.168.50.50 目的192.168.50.40】，客戶端收到的響應包與請求包的源目IP不對應，于是丟棄該數據包。

綜上所述，如果只配置目的地址轉換，所以內網主機要通過公網出口地址訪問內網服務器是無法訪問的。

2.配置雙向地址轉換后，終端通過公網地址訪問內網服務器的流程：

第一步：內網終端發包的【源地址是192.168.50.40 目的222.222.222.100】

第二步：數據包經過AF同時做了源地址和目的地址轉換，經過AF之后的數據包【源192.168.50.1 目的192.168.50.50】

第三步：服務器收到AF轉發過來的客戶端請求回包【源192.168.50.1 目的192.168.50.50】

第四步：AF收到服務器回包【源192.168.50.50 目的192.168.50.1】，AF轉發再給客戶端數據包【源222.222.222.100 目的192.168.50.40】

第五步：客戶端收到AF轉發過來的回包【源222.222.222.100 目的192.168.50.40】，請求包與響應包源目地址一致，客戶端正常處理該數據包

三、配置指導

第一步:先配置一條目的地址轉換，實現公網主機通過公網地址訪問到內網服務器

第二步：再添加一條雙向地址轉換，實現內網主機通過公網地址訪問內網服務器

最終效果：公網主機訪問時會直接匹配目的地址轉換策略【外網訪問】，內網主機訪問時會匹配雙向地址轉換策略【內網訪問】

四、總結

如果只配置目的地址轉換，內網主機通過AF公網地址訪問內網服務器，客戶端發出的請求包和收到的回包源目的地址不一致，所以無法正常訪問

審核編輯：劉清