USG6000 Nat Server之通過(guò)域名訪問(wèn)內(nèi)部服務(wù)器基于DDNS 和接口IP 的動(dòng)態(tài)服務(wù)器靜態(tài)映射本例給出一個(gè)常見的企業(yè)NAT 場(chǎng)景的配置過(guò)程，該企業(yè)外網(wǎng)接口采用DHCP 方式獲取IP 地址，

USG6000 Nat Server之通過(guò)域名訪問(wèn)內(nèi)部服務(wù)器

基于DDNS 和接口IP 的動(dòng)態(tài)服務(wù)器靜態(tài)映射

本例給出一個(gè)常見的企業(yè)NAT 場(chǎng)景的配置過(guò)程，該企業(yè)外網(wǎng)接口采用DHCP 方式獲取IP 地址，公網(wǎng)IP 地址經(jīng)常發(fā)生變化，通過(guò)使用基于接口的服務(wù)器靜態(tài)映射（NAT Server）功能和DDNS ，實(shí)現(xiàn)外部用戶通過(guò)域名正常訪問(wèn)內(nèi)部服務(wù)器。 組網(wǎng)需求

如圖1所示，某公司內(nèi)部網(wǎng)絡(luò)通過(guò)NGFW 與Internet 進(jìn)行連接，將內(nèi)網(wǎng)用戶劃分到Trust 區(qū)域，將Internet 劃分到Untrust 區(qū)域；Web 服務(wù)器位于Trust 區(qū)域的，域名為（example.com ）。

NGFW 外網(wǎng)接口通過(guò)DHCP 方式獲取IP 地址，NGFW 作為DDNS Client 和DDNS Server 配合，使得外部網(wǎng)絡(luò)用戶通過(guò)域名（example.com ）能夠訪問(wèn)IP 地址為10.1.1.3/24的內(nèi)網(wǎng)Web 服務(wù)器。

圖1 基于DDNS 和接口IP 的動(dòng)態(tài)服務(wù)器靜態(tài)映射組網(wǎng)圖

1. 配置接口IP 地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。 2. 配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問(wèn)內(nèi)部服務(wù)器。 3. 配置基于接口的服務(wù)器靜態(tài)映射 4. 開啟域名解析，配置DNS Server。

5. 配置DDNS 策略，并將其應(yīng)用在GigabitEthernet 1/0/2接口上，使得外部用戶通過(guò)域名（example.com ）能夠訪問(wèn)內(nèi)網(wǎng)服務(wù)器。

6. 在NGFW 上配置缺省路由，使內(nèi)網(wǎng)服務(wù)器對(duì)外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP 的路由器。

操作步驟

1. 配置各接口的IP 地址，并將其加入安全區(qū)域。 2. system-view

3. [NGFW] interface GigabitEthernet 1/0/1

4. [NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 24 5. [NGFW-GigabitEthernet1/0/1] quit 6. [NGFW] firewall zone trust

7. [NGFW-zone-trust] add interface GigabitEthernet 1/0/1 8. [NGFW-zone-trust] quit

9. [NGFW] firewall zone untrust

10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2

[NGFW-zone-untrust] quit

11. 配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問(wèn)內(nèi)部服務(wù)器。 12.[NGFW] security-policy

13.[NGFW-policy-security] rule name policy1 14.[NGFW-policy-security-rule-policy1] destination-address 10.1.1.3 32

15.[NGFW-policy-security-rule-policy1] action permit

16.[NGFW-policy-security-rule-policy1] quit

[NGFW-policy-security] quit

17. 配置基于接口的服務(wù)器靜態(tài)映射，將接口GigabitEthernet 1/0/2的公網(wǎng)IP 地址映射為服務(wù)器的私網(wǎng)地址10.1.1.3，公網(wǎng)端口號(hào)為80，私網(wǎng)端口號(hào)為8080。

18.[NGFW] nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 80 inside 10.1.1.3 8080

19. 開啟域名解析，配置DNS Server。

20.[NGFW] dns resolve

21.[NGFW] dns server 3.3.3.3

22. 配置DDNS 策略，并將其應(yīng)用在GigabitEthernet 1/0/2接口上，使得外部用戶通過(guò)域名（example.com ）能夠訪問(wèn)IP 地址為10.1.1.3/24的內(nèi)網(wǎng)服務(wù)器。

23.[NGFW] ddns policy abc

24.[NGFW-ddns-policy-abc] ddns username a password Aaa123456

25.[NGFW-ddns-policy-abc] ddns client example.com

26.[NGFW-ddns-policy-abc] ddns server dyndns.org

27.[NGFW-ddns-policy-abc] quit

28.[NGFW] ddns client enable

29.[NGFW] interface GigabitEthernet 1/0/2

30.[NGFW-GigabitEthernet 1/0/2] ddns apply policy abc

[NGFW-GigabitEthernet 1/0/2] quit

31. 配置缺省路由，使內(nèi)網(wǎng)服務(wù)器對(duì)外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP 的路由器。

[NGFW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

結(jié)果驗(yàn)證

配置完成后，外網(wǎng)用戶能夠采用域名的方式正常訪問(wèn)內(nèi)網(wǎng)Web 服務(wù)器提供的服務(wù)，表示DDNS 和服務(wù)器靜態(tài)映射配置成功。

配置腳本

NGFW 的配置腳本：

#

sysname NGFW

#

nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 www inside 10.1.1.3 8080

#

dns

resolve

dns server unnumbered interface

GigabitEthernet1/0/4

dns server 3.3.3.3

#

ddns client enable

#

interface GigabitEthernet1/0/1

ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/2

ddns apply policy abc

dhcp client enable

#

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/2

#

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

#

ddns policy

abc ddns username a password $$n-{_IS]'nCh1oH4lgy8S)#wn$$ ddns client

example.com ddns server dyndns.org

#

security-policy

rule name

policy1

destination-address 10.1.1.3

32

action permit

#

return

[ 本帖最后由 鮮鮮大師 2015-03-26 12:01:32 編輯 ]

標(biāo)簽 ：USG6000, DDNS , 域名訪問(wèn), 內(nèi)部服務(wù)器