故障描述
无
故障分析
无
处理过程
华为USG 系列防火墙V300R001 版本,3层接口下可以配置nat enable ,加上web配置界面配置端口ip位置有个启用nat 选项框,客户很容易勾选。造成一些异常现象
接口下的nat enable 优先 nat-policy interzone,造成问题
- Ipsec 配置后 ,区域间配置的 感兴趣数据流量 动作no-nat 不匹配,先匹配接口下nat enable 造成 ipsec 单通,对方可以访问设备内网,内网用户不能主动访问对方(匹配nat enable)
- Nat enable 只会转换为接口ip, 不适用于地址池包含多个ip 的场景
=============实际业务中,建议大家不使用Nat Enable命令。而使用Nat-Policy。
建议/总结
类似问题在Juniper SSG系列防火墙中也需注意,建议不要设置端口为Nat,而应该通过策略来设置Nat-Src