GfmOo,L1000-AK325
问题描述:
负载设备做接口端口映射,安全策略明细怎么放通;
公网 10.10.10.1 8080
私网 1.1.1.1 8080
外部访问公网ip+端口方式访问
组网及组网描述:
您好,参考配置
2.18.4 外网用户通过外网地址访问内网服务器配置举例
1. 组网需求
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有
· 外部的主机可以访问内部的服务器。
· 选用
2. 组网图
图2-4 外网用户通过外网地址访问内网服务器配置组网图
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 进入接口GigabitEthernet1/0/2。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
# 配置内部FTP服务器,允许外网主机使用地址
[Device-GigabitEthernet1/0/2] NAT server protocol tcp global
# 配置内部Web服务器1,允许外网主机使用地址
[Device-GigabitEthernet1/0/2] nat server protocol tcp global
# 配置内部Web服务器2,允许外网主机使用地址
[Device-GigabitEthernet1/0/2] nat server protocol tcp global
# 配置内部SMTP服务器,允许外网主机使用地址
[Device-GigabitEthernet1/0/2] nat server protocol tcp global
# 指定2号单板为提供NAT服务的业务板。
[Device-GigabitEthernet1/0/2] nat service slot 2
[Device-GigabitEthernet1/0/2] quit
4. 验证配置
# 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT internal server information:
Totally 4 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port:
Local IP/port : 10.110.10.3/
Rule name : ServerRule_1
NAT counting : 0
Service card : Slot 2
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port:
Local IP/port : 10.110.10.4/25
Rule name : ServerRule_4
NAT counting : 0
Service card : Slot 2
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port:
Local IP/port : 10.110.10.1/80
Rule name : ServerRule_2
NAT counting : 0
Service card : Slot 2
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port:
Local IP/port : 10.110.10.2/80
Rule name : ServerRule_3
NAT counting : 0
Service card : Slot 2
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NO-PAT IP usage : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SIP : Enabled
SQLNET : Enabled
TFTP : Enabled
XDMCP : Enabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。
[Device] display nat session verbose
Slot 0:
Total sessions found: 0
Slot 2:
Initiator:
Source IP/port:
Destination IP/port:
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Responder:
Source IP/port: 10.110.10.3/
Destination IP/port:
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
State: TCP_ESTABLISHED
Application: FTP
Rule ID: -/-/-
Rule name:
Start time:
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
8小时前回答暂无
映射的安全策略:转换后的地址到映射的业务地址
8小时前回答暂无
安全策略的目的地址就是内外地址
安全策略源地址,你要看你的负载有没有做源地址转换,如果做了源地址转换,就是负载的内外接口地址,如果没有做源地址转换,那就是any,所有公网地址
5小时前回答暂无
你正在,L1000-AK325