NAT工具和业务探测工具客户案例——XX科技公司替换华为防火墙

项目概况：

出口替换华为防火墙，累计华为防火墙DNAT有37条，3条源地址转换，在变更后客户业务人员对业务测试比较慢，直接用工具进行业务探测，对比变更前后业务是否正常。

工具使用：

1、NAT工具使用：

（1）手动翻译华为DNAT/SNAT策略配置后，在我司防火墙【地址转换】策略中把配置导出。然后在NAT工具中

（2）会得到一个：“dnat_output.txt” 【公网出口IP+端口】文件

2、业务探测工具使用：

（1）使用业务探测工具进行探测；业务探测可对业务网站、公共网站、ping目标、端口目标进行探测

（2）探测后结果：验证37条DNTA中有33条正常，4条不正常，再跟客户沟通进行排查。

项目实施情况

在未使用该工具前，针对客户的NAT等业务配置，需逐项确认映射方式，梳理数据流后再逐一测试业务连通性，流程繁琐且耗时。使用该工具后，可实现客户NAT相关服务的一键输出与批量探测，快速识别异常业务，显著提升了问题定位与处理的效率，也帮助客户业务验证人员时效。

客户侧真实反馈：工具好用，效率高，业务探测和手动测试效果一致。

切换途中的问题：注意有配置静态ARP绑定

拓扑背景：下面是客户的网络拓扑，防火墙为出口路由模式部署，中间为网桥模式部署的AC，下联到核心交换机，核心交换机旁挂的了一台WAF【物理旁挂，逻辑串联，充当代理的角色，防火墙访问DNAT会指向WAF的接口，WAF再进行代理访问真实业务】。

问题：当时切换后，AF下联口地址3.254，SW上联为3.1，WAF旁挂地址为3.252。中间无需做路由，同段的应该可以直接访问的，切换后AF访问不到WAF的2.252，SW核心可以到WAF。
原因：山石防火墙的的聚合接口和VLAN子接口的MAC地址是一样的，且在WAF和AF做了针对对方的静态ARP。

WAF上面ARP截图。

华为防火墙的ARP配置截图。

通过防火墙抓ARP的包发现：防火墙发出去的包arp包和WAF返回的ARP不一致。

需要注意我司的防火墙：聚合口可以填写MAC地址。但是VLAN子接口无法web界面填写。

解决：我司防火墙的vlan子接口无法填写MAC地址，只能在聚合接口上面配置MAC地址。如果对端绑定了ARP，需要在我司防火墙增加静态ARP和对端设备修改我司接口的ARP。