双向NAT+出口链路负载下的最佳实践

       一、背景：宁夏某上市公司客户出口用AF替换华三出口防火墙，割接过程中出现内网通过公网地址/公网域名访问内网服务器业务不可达，后续通过添加单独的策略路由才解决问题。

      二、问题分析现象：替换后内网网段通过服务器映射的公网IP访问内网服务器时无法访问。

      三、原因：路由不可达。NAT在调整为单独的双向NAT后转换无问题，但是回包不可达，服务器的回包被转发至WAN口。

      四、解决办法：针对内网通过公网IP访问内网服务器的流量单独添加请求和回包路由，以保障服务器的回包可正确送达至内网设备。

逻辑如下：

1.双向NAT配置：172.16.69.3→218.28.1.1 转换成 2**.2*.1.1→172.16.66.11。（公网地址已脱敏）

2.访问逻辑为：先DNAT成：172.16.69.3→172.16.66.11，再SNAT成：218.28.1*.1**→172.16.66.11

3.由于AF的双向NAT逻辑是先进行dnat再进行snat，且dnat在路由前，snat在路由后。

所以请求方向路由配置是dnat转换后，请求方向需要用转换前的源ip(内网地址段）和转换后的目的ip（真实服务器地址）进行匹配。而回包需要通过转换成请求包的转换前源目ip反置查路由，因此需要配置源为公网IP地址（服务器映射地址）目的地址为内网网端的回包路由（DNAT前的请求源目反转）。

4.下一跳地址均为内网接口，因为此场景下流量到AF后就开始查NAT逻辑，流量不会真正牵引至WAN口（源进源出不管用的原因）。

结论和解决方案：双向NAT+出口链路负载场景下，AF必须针对内网通过公网地址访问内网服务器场景（双向NAT）添加额外的策略路由，否则回包会被从出口链路负载转发至WAN口导致内网访问异常。