域内NAT:
如果服务器和普通用户部署在同一安全区域,配置域内NAT可以实现该区域的普通用户通过公网IP地址访问服务器。
组网需求
图1所示网络环境,Web Server同时对校内和校外提供Web服务。Web服务器和校内用户均部署在USG的Trust区域,二者通过交换机与USG相连。为了保障服务器安全,不对用户公布服务器的真实IP地址和端口,无论是校内用户还是校外用户均只能通过公网IP地址和端口访问Web Server。
图1配置域内 NAT 组网图
1. 为实现校内用户和校外用户均通过公网IP地址和80端口访问Web Server的需求,首先需要配置虚拟服务器。
虚拟服务器配置的菜单路径为:“防火墙 > NAT > 目的NAT > 虚拟服务器”。
2. 为实现校内用户通过公网IP地址和80端口访问Web Server的需求,除配置虚拟服务器外还需要保证校内用户访问Web Server和Web Server应答的报文均经过USG,这需要通过将PC访问服务器的流量的源地址转换为公网地址来实现。这样服务器会认为访问流量来自外网,回应报文就发给设备,由设备进行转发,而不会由交换机直接转发。
域内NAT配置的菜单路径为:“防火墙 > NAT > 源NAT”
结果验证
校内用户(以10.1.1.5为例)可以通过公网IP地址200.10.10.2访问Web Server。选择“防火墙 > 监控 > 会话表”。
参考命令:display firewall session table source inside 10.1.1.5
