故障描述
無
故障分析
無
處理過程
華為USG 系列防火墻V300R001 版本,3層接口下可以配置nat enable ,加上web配置界面配置端口ip位置有個啟用nat 選項框,客戶很容易勾選。造成一些異常現象
接口下的nat enable 優先 nat-policy interzone,造成問題
- Ipsec 配置后 ,區域間配置的 感興趣數據流量 動作no-nat 不匹配,先匹配接口下nat enable 造成 ipsec 單通,對方可以訪問設備內網,內網用戶不能主動訪問對方(匹配nat enable)
- Nat enable 只會轉換為接口ip, 不適用于地址池包含多個ip 的場景
=============實際業務中,建議大家不使用Nat Enable命令。而使用Nat-Policy。
建議/總結
類似問題在Juniper SSG系列防火墻中也需注意,建議不要設置端口為Nat,而應該通過策略來設置Nat-Src