企业配置NAT出口产生环路怎么办?用户访问服务器的响应速度非常慢,如何解决?
拓扑:
R1路由表:
FW1路由表:
PC2访问2.2.2.0网段在防火墙出口处抓包显示:
当NAT地址池地址与出接口地址不在同一网段时,必须配置黑洞路由。当公网用户主动访问NAT地址池中的地址时,FW收到此报文后,无法匹配到会话表,根据缺省路由转发给路由器,路由器收到报文后,查找路由表再转发给FW。此报文就会在FW和路由器之间循环转发,造成路由环路。因此需要配置黑洞路由。
当NAT地址池地址与出接口地址在同一网段时,建议配置黑洞路由。在这种情况下,不会产生路由环路。但当公网用户发起大量访问时,FW将发送大量的ARP请求报文,也会消耗系统资源。因此需要配置黑洞路由,避免FW发送ARP报文请求报文,节省FW的系统资源。
可以使用ip route-static ip-address NULL 0命令手工进行配置,也可以使用route enable命令配置UNR路由。该UNR路由的作用与黑洞路由的作用相同,可以防止路由环路,同时也可以引入到OSPF等动态路由协议中发布出去。
当NAT地址池地址与出接口地址一致时,FW收到公网用户的报文后,发现是访问自身的报文,这时候取决于公网接口所属安全区域和Local安全区域之间的安全策略,安全策略允许通过,就处理;安全策略不允许通过,就丢弃。不会产生路由环路,也不需配置黑洞路由。
使能FW自动生产UNR路由功能:
企业网络在出口FW上配置了NAT-SERVER,处于ISP1的外网用户访问企业服务器后,服务器响应报文根据路由表发往了ISP2导致用户访问服务器的响应速度非常慢,如何解决?
配置源进源出功能,配置该命令后,当FW转发响应报文时,直接使用入接口作为响应报文的出接口,而不是通过查找路由表来确定出接口。
如在NAT Server多出口场景下,设备根据路由表查找服务器响应报文的出接口,可能出现请求报文从ISP1进入,服务器响应报文从ISP2返回的情况。这种来回路径不一致的情况可能引起访问速度慢或业务中断等问题,此时可以在ISP1的入接口上启用源进源出功能。