您的位置:360文档中心› USG6000 Nat Server之通过域名访问内部服务器

USG6000 Nat Server之通过域名访问内部服务器

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

USG6000 Nat Server之通过域名访问内部服务器

基于DDNS和接口IP的动态服务器静态映射

本例给出一个常见的企业NAT场景的配置过程,该企业外网接口采用DHCP方式获取IP地址,公网IP地址经常发生变化,通过使用基于接口的服务器静态映射(NAT Server)功能和DDNS,实现外部用户通过域名正常访问内部服务器。

组网需求

如图1所示,某公司内部网络通过NGFW与Internet进行连接,将内网用户划分到Trust区域,将Internet划分到Untrust区域;Web服务器位于Trust区域的,域名为()。

NGFW外网接口通过DHCP方式获取IP地址,NGFW作为DDNS Client和DDNS Server 配合,使得外部网络用户通过域名()能够访问IP地址为

10.1.1.3/24的内网Web服务器。

图1 基于DDNS和接口IP的动态服务器静态映射组网图

1.配置接口IP地址和安全区域,完成网络基本参数配置。

2.配置安全策略,允许外部网络用户访问内部服务器。

3.配置基于接口的服务器静态映射

4.开启域名解析,配置DNS Server。

5.配置DDNS策略,并将其应用在GigabitEthernet 1/0/2接口上,使得外

部用户通过域名()能够访问内网服务器。

6.在NGFW上配置缺省路由,使内网服务器对外提供的服务流量可以正常转

发至ISP的路由器。

操作步骤

1.配置各接口的IP地址,并将其加入安全区域。

2. system-view

3.[NGFW] interface GigabitEthernet 1/0/1

4.[NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 24

5.[NGFW-GigabitEthernet1/0/1] quit

6.[NGFW] firewall zone trust

7.[NGFW-zone-trust] add interface GigabitEthernet 1/0/1

8.[NGFW-zone-trust] quit

9.[NGFW] firewall zone untrust

10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2

[NGFW-zone-untrust] quit

11.配置安全策略,允许外部网络用户访问内部服务器。

12.[NGFW] security-policy

13.[NGFW-policy-security] rule name policy1

14.[NGFW-policy-security-rule-policy1] destination-address 10.1.1.3

32

15.[NGFW-policy-security-rule-policy1] action permit

16.[NGFW-policy-security-rule-policy1] quit

[NGFW-policy-security] quit

17.配置基于接口的服务器静态映射,将接口GigabitEthernet 1/0/2的公网

IP地址映射为服务器的私网地址10.1.1.3,公网端口号为80,私网端口号为8080。

18.[NGFW] nat server policy_web protocol tcp global interface

GigabitEthernet 1/0/2 80 inside 10.1.1.3 8080

19.开启域名解析,配置DNS Server。

20.[NGFW] dns resolve

21.[NGFW] dns server 3.3.3.3

22.配置DDNS策略,并将其应用在GigabitEthernet 1/0/2接口上,使得外

部用户通过域名()能够访问IP地址为10.1.1.3/24的内网服务器。

23.[NGFW] ddns policy abc

24.[NGFW-ddns-policy-abc] ddns username a password Aaa123456

25.[NGFW-ddns-policy-abc] ddns client

26.[NGFW-ddns-policy-abc] ddns server

27.[NGFW-ddns-policy-abc] quit

28.[NGFW] ddns client enable

29.[NGFW] interface GigabitEthernet 1/0/2

30.[NGFW-GigabitEthernet 1/0/2] ddns apply policy abc

[NGFW-GigabitEthernet 1/0/2] quit

31.配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP

的路由器。

[NGFW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

结果验证

配置完成后,外网用户能够采用域名的方式正常访问内网Web服务器提供的服务,表示DDNS和服务器静态映射配置成功。

配置脚本

NGFW的配置脚本:

#

sysname NGFW

#

nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 www inside 10.1.1.3 8080

#

dns

resolve

相关文档
最新文档