《usg6000 nat server之通过域名访问内部服务器》由会员分享,可在线阅读,更多相关《usg6000 nat server之通过域名访问内部服务器(5页珍藏版)》请在金锄头文库上搜索。
1、USG6000 Nat Server 之通过域名访问内部服务器 基于 DDNS 和接口 IP 的动态服务器静态映射本例给出一个常见的企业 NAT 场景的配置过程,该企业外网接口采用 DHCP 方式获取 IP 地址,公网 IP 地址经常发生变化,通过使用基于接口的服务器静态映射(NAT Server)功能和 DDNS,实现外部用户通过域名正常访问内部服务器。组网需求如 图 1 所示,某公司内部网络通过 NGFW 与 Internet 进行连接,将内网用户划分到 Trust 区域,将 Internet 划分到 Untrust 区域;Web 服务器位于 Trust 区域的,域名为()。NGFW 外网
2、接口通过 DHCP 方式获取 IP 地址,NGFW 作为 DDNS Client 和 DDNS Server 配合,使得外部网络用户通过域名()能够访问 IP 地址为10.1.1.3/24 的内网 Web 服务器。图 1 基于 DDNS 和接口 IP 的动态服务器静态映射组网图 数据规划项目 数据 说明接口号:GigabitEthernet 1/0/1IP 地址:10.1.1.1/24安全区域:Trust-接口号:GigabitEthernet 1/0/2IP 地址:通过 DHCP 方式获取安全区域:Untrust-服务器静态映射 名称:policy_web公网地址:借用GigabitEthe
3、rnet 1/0/2 接口地址私网地址:10.1.1.3-项目 数据 说明公网端口:80私网端口:8080DDNS 用户名:a密码:Aaa123456客户端域名:DDNS 服务提供商域名:dyndns.orgDNS Server 地址:3.3.3.3/24配置 NGFW 前应向 DDNS 服务提供商申请 DDNS 服务,并从DDNS 服务提供商处获得如下信息:用户名、密码、客户端域名、DDNS 服务提供商域名以及DNS Server 地址。Web 服务器 地址:10.1.1.3/24 -缺省路由 目的地址:0.0.0.0下一跳:1.1.1.254使内网服务器对外提供的服务流量可以正常转发至 I
4、SP 的路由器。配置思路1. 配置接口 IP 地址和安全区域,完成网络基本参数配置。 2. 配置安全策略,允许外部网络用户访问内部服务器。 3. 配置基于接口的服务器静态映射 4. 开启域名解析,配置 DNS Server。 5. 配置 DDNS 策略,并将其应用在 GigabitEthernet 1/0/2 接口上,使得外部用户通过域名()能够访问内网服务器。 6. 在 NGFW 上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至 ISP 的路由器。 操作步骤1. 配置各接口的 IP 地址,并将其加入安全区域。 2. system-view3. NGFW interface Gig
5、abitEthernet 1/0/14. NGFW-GigabitEthernet1/0/1 ip address 10.1.1.1 245. NGFW-GigabitEthernet1/0/1 quit6. NGFW firewall zone trust7. NGFW-zone-trust add interface GigabitEthernet 1/0/18. NGFW-zone-trust quit9. NGFW firewall zone untrust10.NGFW-zone-untrust add interface GigabitEthernet 1/0/2NGFW-zone
6、-untrust quit11. 配置安全策略,允许外部网络用户访问内部服务器。 12.NGFW security-policy13.NGFW-policy-security rule name policy114.NGFW-policy-security-rule-policy1 destination-address 10.1.1.3 3215.NGFW-policy-security-rule-policy1 action permit16.NGFW-policy-security-rule-policy1 quitNGFW-policy-security quit17. 配置基于接口的
7、服务器静态映射,将接口 GigabitEthernet 1/0/2 的公网 IP 地址映射为服务器的私网地址 10.1.1.3,公网端口号为 80,私网端口号为 8080。 18.NGFW nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 80 inside 10.1.1.3 808019. 开启域名解析,配置 DNS Server。 20.NGFW dns resolve21.NGFW dns server 3.3.3.322. 配置 DDNS 策略,并将其应用在 GigabitEthernet
8、 1/0/2 接口上,使得外部用户通过域名()能够访问 IP 地址为 10.1.1.3/24 的内网服务器。 23.NGFW ddns policy abc24.NGFW-ddns-policy-abc ddns username a password Aaa12345625.NGFW-ddns-policy-abc ddns client 26.NGFW-ddns-policy-abc ddns server dyndns.org27.NGFW-ddns-policy-abc quit28.NGFW ddns client enable29.NGFW interface GigabitEth
9、ernet 1/0/230.NGFW-GigabitEthernet 1/0/2 ddns apply policy abc NGFW-GigabitEthernet 1/0/2 quit31. 配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至 ISP的路由器。 NGFW ip route-static 0.0.0.0 0.0.0.0 1.1.1.254结果验证配置完成后,外网用户能够采用域名的方式正常访问内网 Web 服务器提供的服务,表示 DDNS 和服务器静态映射配置成功。 配置脚本NGFW 的配置脚本:#sysname NGFW#nat server policy_web p
10、rotocol tcp global interface GigabitEthernet 1/0/2 www inside 10.1.1.3 8080# dns resolve dns server unnumbered interface GigabitEthernet1/0/4 dns server 3.3.3.3 # ddns client enable #interface GigabitEthernet1/0/1ip address 10.1.1.1 255.255.255.0 #interface GigabitEthernet1/0/2ddns apply policy abc
11、dhcp client enable #firewall zone trustset priority 85add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2# ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 # ddns policy abc ddns username a password %$%$n-_ISnCh1oH4lgy8S)#wn%$%$ddns client ddns server dyndns.org # security-policyrule name policy1 destination-address 10.1.1.3 32 action permit # return 本帖最后由 鲜鲜大师 2015-03-26 12:01:32 编辑 标签 :USG6000,DDNS,域名访问,内部服务器
