USGNatServer之通过域名访问内部服务器.docVIP

USG6000 Nat Server之通过域名访问内部服务器 本例给出一个常见的企业NAT场景的配置过程，该企业外网接口采用DHCP方式获取IP地址，公网IP地址经常发生变化，通过使用基于接口的服务器静态映射（NAT Server）功能和DDNS，实现外部用户通过域名正常访问内部服务器。 组网需求 如图1所示，某公司内部网络通过NGFW与Internet进行连接，将内网用户划分到Trust区域，将Internet划分到Untrust区域；Web服务器位于Trust区域的，域名为（）。 NGFW外网接口通过DHCP方式获取IP地址，NGFW作为DDNS Client和DDNS Server配合，使得外部网络用户通过域名（）能够访问IP地址为/24的内网Web服务器。 图1 基于DDNS和接口IP的动态服务器静态映射组网图  数据规划 项目 数据 说明 接口号：GigabitEthernet 1/0/1 IP地址：/24 安全区域：Trust - 接口号：GigabitEthernet 1/0/2 IP地址：通过DHCP方式获取 安全区域：Untrust - 服务器静态映射 名称：policy_web 公网地址：借用GigabitEthernet 1/0/2接口地址 私网地址： 公网端口：80 私网端口：8080 - DDNS 用户名：a 密码：Aaa123456 客户端域名： DDNS服务提供商域名： DNS Server地址：/24 配置NGFW前应向DDNS服务提供商申请DDNS服务，并从DDNS服务提供商处获得如下信息：用户名、密码、客户端域名、DDNS服务提供商域名以及DNS Server地址。 Web服务器 地址：/24 - 缺省路由 目的地址： 下一跳：54 使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。 配置思路 配置接口IP地址和安全区域，完成网络基本参数配置。 配置安全策略，允许外部网络用户访问内部服务器。 配置基于接口的服务器静态映射 开启域名解析，配置DNS Server。 配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（）能够访问内网服务器。 在NGFW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。 操作步骤 配置各接口的IP地址，并将其加入安全区域。 2.? NGFW system-view 3.? [NGFW] interface GigabitEthernet 1/0/1 4.? [NGFW-GigabitEthernet1/0/1] ip address 24 5.? [NGFW-GigabitEthernet1/0/1] quit 6.? [NGFW] firewall zone trust 7.? [NGFW-zone-trust] add interface GigabitEthernet 1/0/1 8.? [NGFW-zone-trust] quit 9.? [NGFW] firewall zone untrust 10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2 [NGFW-zone-untrust] quit 配置安全策略，允许外部网络用户访问内部服务器。 12.[NGFW] security-policy 13.[NGFW-policy-security] rule name policy1 14.[NGFW-policy-security-rule-policy1] destination-address 32 15.[NGFW-policy-security-rule-policy1] action permit 16.[NGFW-policy-security-rule-policy1] quit [NGFW-policy-security] quit 配置基于接口的服务器静态映射，将接口GigabitEthernet 1/0/2的公网IP地址映射为服务器的私网地址，公网端口号为80，私网端口号为8080。 18.[NGFW] nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 80 inside 8080 开启域名解析，配置DNS Server。 20.[NGFW] dns resolve 21.[NGFW] dns server 配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（）能够访问IP地址为/24的内网服务器。