双向地址转换由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“双向地址转换配置案例”。
双向地址转换(2009-09-09 17:30:03)转载▼
标签:网
络
杂谈 分类:技术帖
双向地址转换
基本需求
企业WEB服务器(IP:172.16.1.2)通过防火墙MAP为202.99.27.201对内网用户提供WEB服务,网络示意图如下。
图 1 双向地址转换示意图
如上图所示,管理主机和WEB服务器同样处于网段172.16.1.0/24。正常情况下,管理主机与服务器之间的通信可以不经过防火墙,而经过其他路由达成。但是当管理主机使用公网地址(或域名)访问服务器时,数据包的源IP为管理主机地址,目的地址为服务器公网地址。如果防火墙仅作目的NAT,则服务器收到数据包的源IP为管理主机地址,目的地址为自身地址。当其回应管理主机时,发出的数据包会不经过防火墙,而经过其他路由达成。此情况会导致会话无法建立。因此需要设置双向地址转换规则。
配置要点
定义区域资源。
定义主机地址资源。
定义地址转换规则。
WEBUI配置步骤
1)定义区域资源:E0、E1。
1)选择菜单 资源管理 > 区域,点击“添加”,分别设置接口Eth0对应的区域为E0,区域权限为“禁止”;
接口Eth1对应的区域为E1,设置区域的访问权限为“允许”。
2)定义主机地址资源:WEB_Server、MAP_IP和MAP_USERIP
选择 资源管理 > 地址,并选择“主机”页签,点击“添加”添加主机地址资源。
定义WEB_server主机资源,如下图。
定义MAP_IP 和MAP_USERIP可以参考上图。设置完成后界面如下图。
3)定义地址转换规则
定义地址转换策略过程如下:
选择 防火墙 > 地址转换,并点击“添加”添加地址转换规则。如下图所示,选择“双向转换”选项设定双向地址转换策略。
a)选择“源”页签,添加NAT规则的源,打开“高级”属性,在“选择源AREA”中选择E0。
b)选择“目的”页签添加NAT规则的目的,在“NAT规则.目的”的“选择目的”中选择MAP_IP。注意此处目的VLAN和目的AREA均不选。
c)选择“服务”页签限定数据报文采用的协议和端口号,选择HTTP(TCP:80)。
d)在“源地址转换为”中选择“MAP_USERIP”,在 “目的地址转换为”中选择
WEB_Server[主机]。
设置完成后,点击“确定”按钮,完成NAT规则设置。
CLI配置步骤
1)设置区域E0。
#define area add name E0 attribute eth0 acce off
#define area add name E1 attribute eth0 acce on
2)定义主机对象:WEB_server、MAP_IP和MAP_USERIP
定义WEB_Server主机地址资源:
#define host add name WEB_server ipaddr 172.16.1.2
定义MAP_IP主机地址资源:
#define host add name MAP_IP ipaddr 202.99.27.201
定义MAP_USERIP主机地址资源:
#define host add name MAP_USERIP ipaddr 172.16.1.1
3)设置地址转换规则
#nat policy add srcarea E0 orig_dst MAP_IP orig_service http trans_src MAP_USERIP trans_dst WEB_server
注意事项
定义双向NAT规则时,可以将源IP转换为任意一个虚拟IP地址,本例中将源地址转换为了防火墙eth0口的IP。
