0

我的帖子

个人中心

设置

  发新话题
最近比较多人问内网如何通过公网IP、域名访问内部服务器,这里涉及数据回流问题,可以通过域内NAT来实现

配图环境如下:


配置思路
  • 配置接口IP地址和安全区域,完成网络基本参数配置。
  • 配置安全策略。
  • 配置NAT Server功能,创建两条静态映射,分别映射内网Web服务器和FTP服务器。
  • 配置源NAT策略使PC D可以访问服务器的公网地址。
  • 在FW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
  • 在FW上配置黑洞路由,避免FW与Router之间产生路由环路。
  • 在Router上配置到服务器映射的公网地址的静态路由。

操作步骤
1.配置接口IP地址和安全区域,完成网络基本参数配置。

# 配置接口GigabitEthernet 1/0/1的IP地址。
<FW> system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] quit

# 配置接口GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/2] quit

# 将接口GigabitEthernet 1/0/1加入Untrust区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit

# 将接口GigabitEthernet 1/0/2加入DMZ区域。
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit


2.配置安全策略。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] quit


3.配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit


4.配置源NAT策略。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit


5.配置NAT Server功能。
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www
[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp


6.开启FTP协议的NAT ALG功能。
[FW] firewall zone dmz
[FW-zone-dmz] detect ftp
[FW-zone-dmz] quit
[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp
[FW-interzone-dmz-untrust] quit


7.配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254


8.配置黑洞路由,避免FW与Router之间产生路由环路。
[FW] ip route-static 1.1.1.10 32 NULL 0


9.在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往FW。

通常需要联系ISP的网络管理员来配置此静态路由。




本帖最后由 vsop5207 于 2016-12-8 09:06 编辑
楼主好,看您发的贴还挺多,您是版主吗?



引用:
原帖由 shujing0210 于 2016-12-20 09:16 发表
楼主好,看您发的贴还挺多,您是版主吗?
是的,不是版主你也可以天天发帖子的啊



引用:
原帖由 vsop5207 于 2016-12-20 09:46 发表

是的,不是版主你也可以天天发帖子的啊
我是小白,看您知道的好多,有些问题想要咨询您一下,方便加QQ吗?谢谢 896901436



引用:
原帖由 shujing0210 于 2016-12-20 13:16 发表

我是小白,看您知道的好多,有些问题想要咨询您一下,方便加QQ吗?谢谢 896901436
有问题直接发帖,我们不直接加Q 回答问题的,有疑问论坛为主



引用:
原帖由 shujing0210 于 2016-12-20 13:16 发表

我是小白,看您知道的好多,有些问题想要咨询您一下,方便加QQ吗?谢谢 896901436
52348648
这里就有你要找的讨论环境
版主的交流肯定以论坛为主,都线下交流就不合格了
版主这个文章主要就是双向NAT  理解了数据的转发流程 就不难理解
这个功能跟H3C的 DNS-MAP+ALG 基本实现相似的需求



为什么要配置黑洞路由?



引用:
原帖由 erfdcv 于 2016-12-29 19:17 发表
为什么要配置黑洞路由?
防止路由环路



引用:
原帖由 xiaolinxu82 于 2017-1-11 11:30 发表

防止路由环路
我知道是防止路由环路,但是造成路由环路的原因是什么?为什么其他品牌没有要求配置这个



引用:
原帖由 erfdcv 于 2017-1-11 12:38 发表

我知道是防止路由环路,但是造成路由环路的原因是什么?为什么其他品牌没有要求配置这个
从你的回答你不知道
你分析一下数据转发的过程 就知道了
华三 思科 也有这样的配置要求
华三会自动生成



引用:
原帖由 xiaolinxu82 于 2017-1-23 11:42 发表

从你的回答你不知道
你分析一下数据转发的过程 就知道了
华三 思科 也有这样的配置要求
华三会自动生成
思科中的ASA系列怎么配置防止环路?



测试测试



http://www.zjdata.net 中教数据库 http://www.wanfangqikan.com 论文发表                
http://www.zgzsjysjk.com 免费论文发表



[zan] [zan] [zan]



引用:
原帖由 咖啡 于 2017-2-28 13:47 发表
测试测试
你那啥测,哈哈哈





我爱你,如果肾够好的话,我希望是一万年!


谢谢楼主提供这么好的教材!



楼主你好,看了你很多帖子,收货颇丰,但我的问题是,我们两个独立的局域网,A要访问B,B不能访问A,AB间装了一台防火墙,需要在B这边路由设置一个IP给防火墙,请问怎么设置?B这边路由是TL WVR308。当时他们工程师来装了防火墙后到下班时间就走了,没帮我们设置路由,而且他们不负责我们单位的网络管理,坑。楼主看到了快点回复好么。谢谢了,我就是比小白还白的大白



没看到TOPO图啊



好好学习一下啊!



‹‹ 上一贴:8月华为认证开班计划   |   下一贴:华为数通培训资料大全 ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com