USG6000 Nat Server之通过域名访问内部服务器

USG6000 Nat Server之通过域名访问内部服务器基于DDNS 和接口IP 的动态服务器静态映射本例给出一个常见的企业NAT 场景的配置过程，该企业外网接口采用DHCP 方式获取IP 地址，

USG6000 Nat Server之通过域名访问内部服务器

基于DDNS 和接口IP 的动态服务器静态映射

本例给出一个常见的企业NAT 场景的配置过程，该企业外网接口采用DHCP 方式获取IP 地址，公网IP 地址经常发生变化，通过使用基于接口的服务器静态映射（NAT Server）功能和DDNS ，实现外部用户通过域名正常访问内部服务器。 组网需求

如图1所示，某公司内部网络通过NGFW 与Internet 进行连接，将内网用户划分到Trust 区域，将Internet 划分到Untrust 区域；Web 服务器位于Trust 区域的，域名为（example.com ）。

NGFW 外网接口通过DHCP 方式获取IP 地址，NGFW 作为DDNS Client 和DDNS Server 配合，使得外部网络用户通过域名（example.com ）能够访问IP 地址为10.1.1.3/24的内网Web 服务器。

图1 基于DDNS 和接口IP 的动态服务器静态映射组网图

1. 配置接口IP 地址和安全区域，完成网络基本参数配置。 2. 配置安全策略，允许外部网络用户访问内部服务器。 3. 配置基于接口的服务器静态映射 4. 开启域名解析，配置DNS Server。

5. 配置DDNS 策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（example.com ）能够访问内网服务器。

6. 在NGFW 上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP 的路由器。

操作步骤

1. 配置各接口的IP 地址，并将其加入安全区域。 2. system-view

3. [NGFW] interface GigabitEthernet 1/0/1

4. [NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 24 5. [NGFW-GigabitEthernet1/0/1] quit 6. [NGFW] firewall zone trust

7. [NGFW-zone-trust] add interface GigabitEthernet 1/0/1 8. [NGFW-zone-trust] quit

9. [NGFW] firewall zone untrust

10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2

[NGFW-zone-untrust] quit

11. 配置安全策略，允许外部网络用户访问内部服务器。 12.[NGFW] security-policy

13.[NGFW-policy-security] rule name policy1 14.[NGFW-policy-security-rule-policy1] destination-address 10.1.1.3 32

15.[NGFW-policy-security-rule-policy1] action permit

16.[NGFW-policy-security-rule-policy1] quit

[NGFW-policy-security] quit

17. 配置基于接口的服务器静态映射，将接口GigabitEthernet 1/0/2的公网IP 地址映射为服务器的私网地址10.1.1.3，公网端口号为80，私网端口号为8080。

18.[NGFW] nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 80 inside 10.1.1.3 8080

19. 开启域名解析，配置DNS Server。

20.[NGFW] dns resolve

21.[NGFW] dns server 3.3.3.3

22. 配置DDNS 策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（example.com ）能够访问IP 地址为10.1.1.3/24的内网服务器。

23.[NGFW] ddns policy abc

24.[NGFW-ddns-policy-abc] ddns username a password Aaa123456

25.[NGFW-ddns-policy-abc] ddns client example.com

26.[NGFW-ddns-policy-abc] ddns server dyndns.org

27.[NGFW-ddns-policy-abc] quit

28.[NGFW] ddns client enable

29.[NGFW] interface GigabitEthernet 1/0/2

30.[NGFW-GigabitEthernet 1/0/2] ddns apply policy abc

[NGFW-GigabitEthernet 1/0/2] quit

31. 配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP 的路由器。

[NGFW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

结果验证

配置完成后，外网用户能够采用域名的方式正常访问内网Web 服务器提供的服务，表示DDNS 和服务器静态映射配置成功。

配置脚本

NGFW 的配置脚本：

#

sysname NGFW

#

nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 www inside 10.1.1.3 8080

#

dns

resolve

dns server unnumbered interface

GigabitEthernet1/0/4

dns server 3.3.3.3

#

ddns client enable

#

interface GigabitEthernet1/0/1

ip address 10.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/2

ddns apply policy abc

dhcp client enable

#

firewall zone trust

set priority 85

add interface GigabitEthernet1/0/1

#

firewall zone untrust

set priority 5

add interface GigabitEthernet1/0/2

#

ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

#

ddns policy

abc ddns username a password $$n-{_IS]'nCh1oH4lgy8S)#wn$$ ddns client

example.com ddns server dyndns.org

#

security-policy

rule name

policy1

destination-address 10.1.1.3

32

action permit

#

return

[ 本帖最后由 鲜鲜大师 2015-03-26 12:01:32 编辑 ]

标签 ：USG6000, DDNS , 域名访问, 内部服务器