1、起初虛擬化平臺中使用USG6330上聯ISP線路，只接入了一根線路；下聯S5700三層交換機（三臺做的堆疊）。在三層交換機上啟了幾個VLAN作為業務網端，並配置vlan地址，放置業務服務器（並未放置在DMZ）；USG6330和S5700這間通過互通地址通訊，USG端10.10.12.253，S5700端10.10.12.254,所有vlan下跳地址指向10.10.12.254。所有VLAN劃為trust區域，ISP為untrust區域（為後面區分，這裏定義為untrustA），通過trust到untrustA的源nat區域轉換，所有VLAN就可以訪問外網。這種情況下所有VLAN間可以正常通信；服務器通過映射也能正常對外提供服務；非同一VLAN內的機器，從內網通過公網地址去訪問內網服務器可以正常訪問，但同一VLAN內的機器從內網通過公網地址互訪不成功，業務初期，沒有同一VLAN機器通過公網地址訪問的需求，所以並未關註同一vlan、不同vlan之間通過公網IP訪問的問題，事實上這是不行的。

2、隨著平臺擴容，在USG6330上聯接口增加了一條ISP線路，劃分了一個單獨的untrust區域（這裏定義為untrustB）,下聯再增加了S5700三層交換機（三臺堆疊），並針對業務劃分了相應的VLAN，同樣劃分一個互通網段作為USG6330和S5700通訊，USG端10.100.2.253，S5700端10.100.2.254。此時擴容後的VLAN間通信、到外網的訪問和擴容前的配置、狀況一樣。擴容前和擴容後的兩個環境是獨立的，只是共用了防火墻，但是在防火墻下聯口以下是獨自運行的，使用的是策略路由進行流量控制。

3、在擴容前的平臺內有一臺郵件服務器（MAILA），後來在擴容後的平臺內創建了一臺郵件服務器(MAILB)，測試發現兩個服務器之間不能進行郵件通信。內網不能訪問這是正常的，原因在於在邏輯上他們本來就處於獨立平臺中，但在MAILA上通過公網IP不能訪問MAILB，MAILB也不能通過公網IP訪問MAILA,同時在MAILA所在的VLAN內訪問MAILA不成功，MAILB存在同樣的狀況。

以上問題可以歸結為：

1、同一vlan內的機器不能通過公網IP互訪；

2、USG6330以下不同VLAN之間通過公網IP不能互訪。

同一vlan內的機器互訪可以通過源NAT的方式來解決，也就是關於端口回流的問題，導致發送的請求在二次握手時出現錯誤，訪問就會失敗。被根據華為的配置事例配置即可，但配置事例中需要ISP端配置一條路由來配合，這就比較麻煩，可以用USG6330上用策略路由來做轉發限制，同時配置源NAT，解決的是兩個問題：源NAT解決把請求引至防火墻上；把同一個vlan內的請求用策略路由做限制是使流量不用出防火墻，解決回環路由問題。

擴容後的平臺內有兩條ISP線路，根據策略路由優先原則，當通過公網IP發起請求時，默認會發把求發往公網，下一跳即為USG6330上公網IP段的網關，因為回環路由原因，ISP端路由器會把這個請求直接丟棄，導致請求失敗。不同vlan間的機器互相訪問可直接通過策略路由限制轉發來解決，使請求從源內網發起，在防火墻上查找對應NAT，在策略路由限制轉發條件下使用靜態路由，到達目的內網，完成請求。

解決以上問題耗時較長，解決的方式不是從最簡單原理進行分析然後處理，而是一步一步試出來的，頗費周折。所以對於網絡原理的學習非常重要，這樣可以錄活運用；對於所有的策略和配置應該做好規劃便於維護。

本文出自 “VM的博客” 博客，請務必保留此出處http://6101151.blog.51cto.com/6091151/1980210

華為USG6330運維記錄-端口回流、策略路由