USG6000 Nat Server之通過域名訪問內(nèi)部服務(wù)器基于DDNS 和接口IP 的動態(tài)服務(wù)器靜態(tài)映射本例給出一個常見的企業(yè)NAT 場景的配置過程，該企業(yè)外網(wǎng)接口采用DHCP 方式獲取IP 地址，

USG6000 Nat Server之通過域名訪問內(nèi)部服務(wù)器

基于DDNS 和接口IP 的動態(tài)服務(wù)器靜態(tài)映射

本例給出一個常見的企業(yè)NAT 場景的配置過程，該企業(yè)外網(wǎng)接口采用DHCP 方式獲取IP 地址，公網(wǎng)IP 地址經(jīng)常發(fā)生變化，通過使用基于接口的服務(wù)器靜態(tài)映射（NAT Server）功能和DDNS ，實(shí)現(xiàn)外部用戶通過域名正常訪問內(nèi)部服務(wù)器。 組網(wǎng)需求

如圖1所示，某公司內(nèi)部網(wǎng)絡(luò)通過NGFW 與Internet 進(jìn)行連接，將內(nèi)網(wǎng)用戶劃分到Trust 區(qū)域，將Internet 劃分到Untrust 區(qū)域；Web 服務(wù)器位于Trust 區(qū)域的，域名為（example.com ）。

NGFW 外網(wǎng)接口通過DHCP 方式獲取IP 地址，NGFW 作為DDNS Client 和DDNS Server 配合，使得外部網(wǎng)絡(luò)用戶通過域名（example.com ）能夠訪問IP 地址為10.1.1.3/24的內(nèi)網(wǎng)Web 服務(wù)器。

圖1 基于DDNS 和接口IP 的動態(tài)服務(wù)器靜態(tài)映射組網(wǎng)圖

1. 配置接口IP 地址和安全區(qū)域，完成網(wǎng)絡(luò)基本參數(shù)配置。 2. 配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器。 3. 配置基于接口的服務(wù)器靜態(tài)映射 4. 開啟域名解析，配置DNS Server。

5. 配置DDNS 策略，并將其應(yīng)用在GigabitEthernet 1/0/2接口上，使得外部用戶通過域名（example.com ）能夠訪問內(nèi)網(wǎng)服務(wù)器。

6. 在NGFW 上配置缺省路由，使內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP 的路由器。

操作步驟

1. 配置各接口的IP 地址，并將其加入安全區(qū)域。 2. system-view

3. [NGFW] interface GigabitEthernet 1/0/1

4. [NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 24 5. [NGFW-GigabitEthernet1/0/1] quit 6. [NGFW] firewall zone trust

7. [NGFW-zone-trust] add interface GigabitEthernet 1/0/1 8. [NGFW-zone-trust] quit

9. [NGFW] firewall zone untrust

10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2

[NGFW-zone-untrust] quit

11. 配置安全策略，允許外部網(wǎng)絡(luò)用戶訪問內(nèi)部服務(wù)器。 12.[NGFW] security-policy

13.[NGFW-policy-security] rule name policy1 14.[NGFW-policy-security-rule-policy1] destination-address 10.1.1.3 32

15.[NGFW-policy-security-rule-policy1] action permit

16.[NGFW-policy-security-rule-policy1] quit

[NGFW-policy-security] quit

17. 配置基于接口的服務(wù)器靜態(tài)映射，將接口GigabitEthernet 1/0/2的公網(wǎng)IP 地址映射為服務(wù)器的私網(wǎng)地址10.1.1.3，公網(wǎng)端口號為80，私網(wǎng)端口號為8080。

18.[NGFW] nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 80 inside 10.1.1.3 8080

19. 開啟域名解析，配置DNS Server。

20.[NGFW] dns resolve

21.[NGFW] dns server 3.3.3.3

22. 配置DDNS 策略，并將其應(yīng)用在GigabitEthernet 1/0/2接口上，使得外部用戶通過域名（example.com ）能夠訪問IP 地址為10.1.1.3/24的內(nèi)網(wǎng)服務(wù)器。

23.[NGFW] ddns policy abc

24.[NGFW-ddns-policy-abc] ddns username a password Aaa123456

25.[NGFW-ddns-policy-abc] ddns client example.com

26.[NGFW-ddns-policy-abc] ddns server dyndns.org

27.[NGFW-ddns-policy-abc] quit

28.[NGFW] ddns client enable

29.[NGFW] interface GigabitEthernet 1/0/2

30.[NGFW-GigabitEthernet 1/0/2] ddns apply policy abc

[NGFW-GigabitEthernet 1/0/2] quit

31. 配置缺省路由，使內(nèi)網(wǎng)服務(wù)器對外提供的服務(wù)流量可以正常轉(zhuǎn)發(fā)至ISP 的路由器。

[NGFW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

結(jié)果驗(yàn)證

配置完成后，外網(wǎng)用戶能夠采用域名的方式正常訪問內(nèi)網(wǎng)Web 服務(wù)器提供的服務(wù)，表示DDNS 和服務(wù)器靜態(tài)映射配置成功。

配置腳本

NGFW 的配置腳本：

#

sysname NGFW

#

nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 www inside 10.1.1.3 8080

#

dns

resolve

dns server unnumbered interface

GigabitEthernet1/0/4

dns server 3.3.3.3

#

ddns client enable

#

interface GigabitEthernet1/0/1

ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/2

ddns apply policy abc

dhcp client enable

#

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/2

#

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

#

ddns policy

abc ddns username a password $$n-{_IS]'nCh1oH4lgy8S)#wn$$ ddns client

example.com ddns server dyndns.org

#

security-policy

rule name

policy1

destination-address 10.1.1.3

32

action permit

#

return

[ 本帖最后由 鮮鮮大師 2015-03-26 12:01:32 編輯 ]

標(biāo)簽 ：USG6000, DDNS , 域名訪問, 內(nèi)部服務(wù)器