USG6000 Nat Server 之通过域名访问内部服务器 基于 DDNS 和接口 IP 的动态服务器静态映射本例给出一个常见的企业 NAT 场景的配置过程，该企业外网接口采用 DHCP 方式获取 IP 地址，公网 IP 地址经常发生变化，通过使用基于接口的服务器静态映射（NAT Server）功能和 DDNS，实现外部用户通过域名正常访问内部服务器。组网需求如 图 1 所示，某公司内部网络通过 NGFW 与 Internet 进行连接，将内网用户划分到 Trust 区域，将 Internet 划分到 Untrust 区域；Web 服务器位于 Trust 区域的，域名为（example.com）。NGFW 外网接口通过 DHCP 方式获取 IP 地址，NGFW 作为 DDNS Client 和 DDNS Server 配合，使得外部网络用户通过域名（example.com）能够访问 IP 地址为10.1.1.3/24 的内网 Web 服务器。图 1 基于 DDNS 和接口 IP 的动态服务器静态映射组网图 数据规划项目 数据 说明接口号：GigabitEthernet 1/0/1IP 地址：10.1.1.1/24安全区域：Trust-接口号：GigabitEthernet 1/0/2IP 地址：通过 DHCP 方式获取安全区域：Untrust-服务器静态映射 名称：policy_web公网地址：借用GigabitEthernet 1/0/2 接口地址私网地址：10.1.1.3-项目 数据 说明公网端口：80私网端口：8080DDNS 用户名：a密码：Aaa123456客户端域名：example.comDDNS 服务提供商域名：dyndns.orgDNS Server 地址：3.3.3.3/24配置 NGFW 前应向 DDNS 服务提供商申请 DDNS 服务，并从DDNS 服务提供商处获得如下信息：用户名、密码、客户端域名、DDNS 服务提供商域名以及DNS Server 地址。Web 服务器 地址：10.1.1.3/24 -缺省路由 目的地址：0.0.0.0下一跳：1.1.1.254使内网服务器对外提供的服务流量可以正常转发至 ISP 的路由器。配置思路1. 配置接口 IP 地址和安全区域，完成网络基本参数配置。 2. 配置安全策略，允许外部网络用户访问内部服务器。 3. 配置基于接口的服务器静态映射 4. 开启域名解析，配置 DNS Server。 5. 配置 DDNS 策略，并将其应用在 GigabitEthernet 1/0/2 接口上，使得外部用户通过域名（example.com）能够访问内网服务器。 6. 在 NGFW 上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至 ISP 的路由器。 操作步骤1. 配置各接口的 IP 地址，并将其加入安全区域。 2. system-view3. NGFW interface GigabitEthernet 1/0/14. NGFW-GigabitEthernet1/0/1 ip address 10.1.1.1 245. NGFW-GigabitEthernet1/0/1 quit6. NGFW firewall zone trust7. NGFW-zone-trust add interface GigabitEthernet 1/0/18. NGFW-zone-trust quit9. NGFW firewall zone untrust10.NGFW-zone-untrust add interface GigabitEthernet 1/0/2NGFW-zone-untrust quit11. 配置安全策略，允许外部网络用户访问内部服务器。 12.NGFW security-policy13.NGFW-policy-security rule name policy114.NGFW-policy-security-rule-policy1 destination-address 10.1.1.3 3215.NGFW-policy-security-rule-policy1 action permit16.NGFW-policy-security-rule-policy1 quitNGFW-policy-security quit17. 配置基于接口的服务器静态映射，将接口 GigabitEthernet 1/0/2 的公网 IP 地址映射为服务器的私网地址 10.1.1.3，公网端口号为 80，私网端口号为 8080。 18.NGFW nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 80 inside 10.1.1.3 808019. 开启域名解析，配置 DNS Server。 20.NGFW dns resolve21.NGFW dns server 3.3.3.322. 配置 DDNS 策略，并将其应用在 GigabitEthernet 1/0/2 接口上，使得外部用户通过域名（example.com）能够访问 IP 地址为 10.1.1.3/24 的内网服务器。 23.NGFW ddns policy abc24.NGFW-ddns-policy-abc ddns username a password Aaa12345625.NGFW-ddns-policy-abc ddns client example.com26.NGFW-ddns-policy-abc ddns server dyndns.org27.NGFW-ddns-policy-abc quit28.NGFW ddns client enable29.NGFW interface GigabitEthernet 1/0/230.NGFW-GigabitEthernet 1/0/2 ddns apply policy abc NGFW-GigabitEthernet 1/0/2 quit31. 配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至 ISP的路由器。 NGFW ip route-static 0.0.0.0 0.0.0.0 1.1.1.254结果验证配置完成后，外网用户能够采用域名的方式正常访问内网 Web 服务器提供的服务，表示 DDNS 和服务器静态映射配置成功。 配置脚本NGFW 的配置脚本：#sysname NGFW#nat server policy_web protocol tcp global interface GigabitEthernet 1/0/2 www inside 10.1.1.3 8080# dns resolve dns server unnumbered interface GigabitEthernet1/0/4 dns server 3.3.3.3 # ddns client enable #interface GigabitEthernet1/0/1ip address 10.1.1.1 255.255.255.0 #interface GigabitEthernet1/0/2ddns apply policy abc dhcp client enable #firewall zone trustset priority 85add interface GigabitEthernet1/0/1#firewall zone untrustset priority 5add interface GigabitEthernet1/0/2# ip route-static 0.0.0.0 0.0.0.0 1.1.1.254 # ddns policy abc ddns username a password %$%$n-_ISnCh1oH4lgy8S)#wn%$%$ddns client example.com ddns server dyndns.org # security-policyrule name policy1 destination-address 10.1.1.3 32 action permit # return 本帖最后由 鲜鲜大师 2015-03-26 12:01:32 编辑 标签 ：USG6000,DDNS,域名访问,内部服务器