交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
如下图所示:
1、内网的web服务器80端口(即http服务)需要映射到外网口,让外网的用户也能访问到此服务器。
2、同时内网用户也可以用公网地址访问服务器。
3、现用户申请了两条外网线,一条电信,一条网通,由于NGFW目前不支持源进源出,故还无法实现电信用户通过设备的电信地址访问,网通用户通过设备的网通地址访问。(后期具体支持情况请联系在线客服或4008111000热线进行确认)。故目前可以将服务器做策略路由,指定服务器固定从电信出口访问外网,避免网通用户访问服务器来回路径不一致,实现电信用户和网通用户都使用电信地址访问到此服务器。
二、网络拓扑
三、配置要点
1、配置接口地址
2、配置路由
a、配置电信线路由
b、配置网通线路由
c、配置策略路由(指定服务器访问外网固定从电信线出去,保证外网网通线路用户访问来回路径一致)
3、配置地址资源
本地网段:192.168.3.0/24
外网口IP地址wanip:192.168.33.229
服务器IP地址server:192.168.3.1
内网口IP地址lanip:192.168.3.254
4、配置NAT规则
a、配置NAT地址池
服务器地址serverpool: 192.168.3.1
内网口:192.168.3.254 (也可以不建NAT地址池,选择将地址转换为出接口地址)
b、配置源NAT转换
配置内网用户访问外网将源地址转换为外网口IP地址,服务为any
配置内网用户访问服务器将源地址转换为内网口IP地址,服务为http
c、配置目的NAT转换
配置外网用户访问电信IP的目的地址转换为服务器的IP地址。服务由serport转换为http(80端口)。
配置内网用户访问电信IP的目的地址转换为服务器的IP地址。服务由serport转换为http(80端口)。 (由于入接口不同,故外网访问和内网访问得分别建目的NAT转换)
5、配置安全策略
a、配置内网访问外网安全策略
b、配置外网访问服务器安全策略
c、配置内网访问服务器安全策略
6、保存配置
四、操作步骤
1、配置接口IP
进入菜单--网络管理--接口--编辑
配置网通接口地址:
配置电信接口地址:
配置内网口IP地址:
2、配置路由
进入菜单--网络管理--基本配置--缺省网关--新建:
a、配置电信网关192.168.33.1:
b、配置网通网关192.168.34.1
c、配置策略路由(指定服务器访问外网固定从电信线出去)
3、配置地址资源
进入菜单--资源管理--地址资源--地址节点--新建
本地网段:192.168.3.0/24
服务器IP地址server:192.168.3.1
电信IP:
网通IP:
4、配置NAT规则
a、配置NAT地址池
配置电信地址池natpool:
配置网通地址池natpool:
配置服务器地址池:serverpool
配置内网口地址池:lanip
b、配置源NAT转换
进入菜单--网络管理--NAT--NAT规则--新建
配置内网用户通过电信接口上网将源地址转换为外网口IP地址,服务为any
配置内网用户通过网通接口上网将源地址转换为外网口IP地址,服务为any
配置内网用户访问服务器将源地址转换为内网口IP地址,服务为http
全局查看:
c、配置目的NAT转换
配置外网用户访问电信接口IP的目的地址转换为服务器的IP地址。
配置内网用户访问电信接口IP的目的地址转换为服务器的IP地址。
5、配置安全策略
a、配置内网访问外网安全策略
放通内网通过电信接口上网策略:
放通内网通过网通接口上网策略:
b、配置外网访问服务器安全策略
c、配置内网访问服务器安全策略
配置完策略后务必勾选“启用”此策略,才会生效
6、保存配置
五、验证效果
内网用户和外网用户分别在浏览器里输入http://192.168.33.229