軌道交通|Transportation

通過配置源NAT策略和服務器靜態(tài)映射功能，實現(xiàn)私網用戶使用公網地址訪問內部服務器。

組網需求

某公司在網絡邊界處部署了NGFW作為安全網關。為了使私網Web服務器和FTP服務器能夠對外提供服務，需要在NGFW上配置服務器靜態(tài)映射功能。另外，和兩臺服務器同在一個安全區(qū)域，并且IP地址同在一個網段的PC也需要訪問這兩臺服務器。由于公司希望PC可以使用公網地址訪問內部服務器，因此還需要在NGFW上配置源NAT功能。

除了公網接口的IP地址外，公司還向ISP申請了兩個公網IP地址，其中1.1.1.10作為內網服務器對外提供服務的地址，1.1.1.11作為PC地址轉換后的公網地址。網絡環(huán)境如圖1所示，其中Router是ISP提供的接入網關。

圖1 靜態(tài)映射+源NAT策略組網圖 

數(shù)據(jù)規(guī)劃

配置思路

1.       配置接口IP地址和安全區(qū)域，完成網絡基本參數(shù)配置。

2.       配置安全策略，允許外部網絡用戶訪問內部服務器。

3.       配置服務器映射功能，創(chuàng)建兩條靜態(tài)映射，分別映射內網Web服務器和FTP服務器。

4.       配置源NAT策略使PC可以訪問服務器的公網地址。

5.       在NGFW上配置缺省路由，使內網服務器對外提供的服務流量可以正常轉發(fā)至ISP的路由器。

6.       在NGFW上配置黑洞路由，避免NGFW與Router之間產生路由環(huán)路。

7.       在Router上配置到服務器映射的公網地址的靜態(tài)路由。

操作步驟

1.       配置接口IP地址和安全區(qū)域，完成網絡基本參數(shù)配置。

a.        選擇“網絡 > 接口”。

b.       單擊GE1/0/1，按如下參數(shù)配置。

c.        單擊“確定”。

d.       參考上述步驟按如下參數(shù)配置GE1/0/2接口。

2.       配置安全策略，允許外部網絡用戶訪問內部服務器。

a.        選擇“策略 > 安全策略”。

b.       單擊“新建”，按如下參數(shù)配置。

c.        單擊“確定”。

d.       單擊“確定”。

3.       配置服務器映射功能，創(chuàng)建兩條靜態(tài)映射，分別映射內網Web服務器和FTP服務器。

a.        選擇“策略 > NAT策略 > 服務器映射”。

b.       單擊“新建”，按如下參數(shù)創(chuàng)建名稱為“policy_nat_web”的靜態(tài)映射策略，用于映射內網Web服務器。

c.        單擊“確定”。

d.       參考上述步驟，按如下參數(shù)創(chuàng)建名稱為“policy_nat_ftp”的靜態(tài)映射策略，用于映射內網FTP服務器。

4.       配置源NAT策略使PC可以訪問服務器的公網地址。

a.        配置NAT地址池。

                                           i.            選擇“策略 > NAT策略 > 源NAT > NAT地址池”。

                                         ii.            單擊“新建”，按如下參數(shù)配置。

  iii.            單擊“確定”。

b.       配置源NAT策略，實現(xiàn)PC訪問公網地址時自動進行源地址轉換。

                                           i.            選擇“策略 > NAT策略 > 源NAT策略”。

              ii.     單擊“新建”，按如下參數(shù)配置。

  iii.單擊“確定”。

5.       在NGFW上配置缺省路由，使內網服務器對外提供的服務流量可以正常轉發(fā)至ISP的路由器。

a.        選擇“網路 > 路由 > 靜態(tài)路由”。

b.       單擊“新建”，按如下參數(shù)配置。

c.        單擊“確定”。

6.       在NGFW上配置黑洞路由，避免NGFW與Router之間產生路由環(huán)路。

a.        在“靜態(tài)路由”頁面繼續(xù)單擊“新建”，按如下參數(shù)配置。

b.       單擊“應用”。參考上述步驟為1.1.1.11配置黑洞路由。

7.       配置NAT ALG，使服務器可以正常提供FTP服務。

a.        選擇“策略 > ASPF配置”。

b.       選中“FTP”，單擊“應用”。

說明：

缺省情況下，F(xiàn)TP協(xié)議已開啟NAT ALG功能。

8.       在Router上配置到服務器映射的公網地址（1.1.1.10）的靜態(tài)路由，下一跳為1.1.1.1，使得去服務器的流量能夠送往NGFW。

通常需要聯(lián)系ISP的網絡管理員來配置此靜態(tài)路由。

結果驗證

1.  配置完成后，外網用戶能夠正常訪問內網服務器提供的服務，表示服務器映射配置成功。

2.  配置完成后，PC能夠正常訪問內網服務器提供的服務，表示源NAT策略配置成功。

3.  如果想查看命中NAT策略的命中情況，可以選擇“策略 > NAT策略 > 源NAT”，在源NAT策略列表中查看NAT策略的命中次數(shù)。

4.  如果想查看服務器映射和源NAT過程中地址和端口的轉換信息，可以選擇“監(jiān)控 > 會話表”，通過搜索找到目的地址為1.1.1.10的表項，查看詳細的轉換信息。

上圖中藍框部分為經過轉換后的源地址和源端口，源地址為地址池中的地址；紅框部分為經過服務器映射后的目的地址和目的端口。

配置腳本

NGFW的配置腳本：

#

 sysname NGFW

#

 nat server policy_nat_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www no-reverse

 nat server policy_nat_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp no-reverse

#

interface GigabitEthernet1/0/1

 ip address 1.1.1.1 255.255.255.0

#

interface GigabitEthernet1/0/2

 ip address 10.2.0.1 255.255.255.0

#

interface NULL0

#

firewall zone untrust

 set priority 5

 add interface GigabitEthernet1/0/1

#

firewall zone dmz

 set priority 50

 add interface GigabitEthernet1/0/2

#

firewall interzone dmz untrust

 detect ftp

#

 nat address-group addressgroup1

 section 0 1.1.1.11 1.1.1.11

#

 ip route-static 0.0.0.0 0.0.0.0 1.1.1.254

 ip route-static 1.1.1.10 255.255.255.255 NULL0

 ip route-static 1.1.1.11 255.255.255.255 NULL0

#

security-policy

  rule name policy_sec_1

    source-zone untrust

    destination-zone dmz

    destination-address 10.2.0.0 24

    action permit

#

nat-policy

  rule name policy_nat_1

    source-zone dmz

    destination-zone dmz

    source-address 10.2.0.6 32

    action nat address-group addressgroup1

#

return

#以下配置為一次性操作，不保存在配置文件中

  nat-mode pat