USG6000 Nat Server之通过域名访问内部服务器.docxVIP

USG6000 Nat Server之通过域名访问内部服务器 USG6000 Nat Server之通过域名访问内部效劳器基于DDNS和接口IP的动态效劳器静态映射本例给出一个常见的企业NAT场景的配置过程，该企业外网接口采纳DHCP方式猎取IP地址，公网IP地址常常发生改变，通过用法基于接口的效劳器静态映射〔NAT Server〕功能和DDNS，实现外部用户通过域名正常访问内部效劳器。组网需求如图1所示，某公司内部网络通过NGFW与Internet进展连接，将内网用户划分到Trust区域，将Internet划分到Untrust区域；Web效劳器位于Trust区域的，域名为〔http://.doczj/doc/166db3566529647html 〕。NGFW外网接口通过DHCP方式猎取IP地址，NGFW作为DDNS Client和DDNS Server 协作，使得外部网络用户通过域名〔http://.doczj/doc/166db3566529647html 〕可以访问IP地址为/24的内网Web效劳器。图1 基于DDNS和接口IP的动态效劳器静态映射组网图1.配置接口IP地址和平安区域，完成网络根本参数配置。2.配置平安策略，允许外部网络用户访问内部效劳器。3.配置基于接口的效劳器静态映射4.开启域名解析，配置DNS Server。5.配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名〔http://.doczj/doc/166db3566529647html 〕可以访问内网效劳器。6.在NGFW上配置缺省路由，使内网效劳器对外供应的效劳流量可以正常转发至ISP的路由器。操作步骤1.配置各接口的IP地址，并将其参加平安区域。2. system-view3.[NGFW] interface GigabitEthernet 1/0/14.[NGFW-GigabitEthernet1/0/1] ip address 245.[NGFW-GigabitEthernet1/0/1] quit6.[NGFW] firewall zone trust7.[NGFW-zone-trust] add interface GigabitEthernet 1/0/18.[NGFW-zone-trust] quit9.[NGFW] firewall zone untrust10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2[NGFW-zone-untrust] quit11.配置平安策略，允许外部网络用户访问内部效劳器。12.[NGFW] security-policy13.[NGFW-policy-security] rule name policy114.[NGFW-policy-security-rule-policy1] destination-address 3215.[NGFW-policy-security-rule-policy1] action permit16.[NGFW-policy-security-rule-policy1] quit[NGFW-policy-security] quit17.配置基于接口的效劳器静态映射，将接口GigabitEthernet 1/0/2的公网IP地址映射为效劳器的私网地址，公网端口号为80，私网端口号为8080。18.[NGFW] nat server policy_web protocol tcp global interfaceGigabitEthernet 1/0/2 80 inside 808019.开启域名解析，配置DNS Server。20.[NGFW] dns resolve21.[NGFW] dns server 22.配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名〔http://.doczj/doc/166db3566529647html 〕可以访问IP地址为/24的内网效劳器。23.[NGFW] ddns policy abc24.[NGFW-ddns-policy-abc] ddns username a password Aaa12345625.[NGFW-ddns-policy-abc] ddns client http://.doczj/doc/166db3566529647html26.