某客户拓扑如下,客户内网有一台 WEB 服务器 172.16.1.100 的 80 端口提供服务, 并且已经申请了一个域名 www.test.com 指向 1.2.1.1。客户希望外网用户输入 http://www.test.com 能访问到内网 172.16.1.100 服务器。同时内网用户组也可以通过访问 http://www.test.com 也能访问到内网 172.16.1.100 服务器,此处需要使用服务器映射规则来实现。
第一步:在配置目标地址转换规则之前,首先要在『网络』→『接口/区域』定义好接口所属的【区域】。详细配置请参考 3.3.1.6 章节。此案例中将 ETH2 定义为[外网区],ETH1 定义为[内网区]。如图:
第二步:在【地址转换】—【IPv4 地址转换】页面点击新增,选择【服务器映射】弹出新增页面。勾选[启用],不勾选则规则不生效。在“基础信息”的[名称]中填写规则的名称,自定义好描述信息。如图:
第三步:设置原始数据包的匹配条件
[源区域]指明从哪个区域进入的数才进行目标地址转换,如发布内网服务器到公网时,允许来自公网的用户对该服务器的访问,同时也允许内网用户通过公网域名发起访问。所以本案例中设置区域为[外网区域]和[内网区域]。
[外网地址]指明公网用户访问哪个地址的时候,才进行目标地址转换。此处目的 IP 是数据包目的地址转换之前用户访问的地址,一般是设备自身接口的公网 IP。本案例中设置为“1.2.1.1”。
[协议&端口]设置进行目的地址转换的协议以及目的端口。本案例中协议类型需要选择 TCP,因为 HTTP 服务 80 端口属于 TCP 协议。目的端口指定为 80。
第四步:设置转换后数据包匹配条件
[内网地址]指明将目的地址转换为什么地址,以及是否进行目的端口的转换。本案例中真正提供 TCP 80 端口服务的内网服务器 IP 为 172.16.1.100,并且只转换目标 IP,不转换目的端口,页面设置如下:
第五步:设置双向地址转换,用来实现内网网段用户, 可以通过http://www.test.com 域名来访问 172.16.1.100 服务器,如下页面:
点击[双向地址转换设置]的高级设置按钮,完成内网用户的条件匹配设置,如下图:
[目的区域/接口]:内网数据最终从哪个区域发送出去,匹配到该规则。本例中内网用户访问的服务器在内网区域,数据最终需要从设备定义的内网区域转发出去,所以目的区域选择“内网区域”。
[源地址转换为]:即转换后的源地址,本案例中直接将源地址转换为 ETH1内网接口地址,也即出接口地址。
[源网络对象]:设置符合哪些条件的源 IP 组,才匹配该规则,本案例中涉及到外网和内网的用户,所以建议选择“全部”来进行该转换。
第六步:勾选上[应用控制策略自动放行上述条件流量]的选项,该功能会自动在应用控制层面放通匹配该规则的所有流量。最后点击保存,则完成配置。页面如下:
注意:
1.如果需要将 1.2.1.1 的 80 端口映像成内部服务器 172.16.1.100 的 8080 端口。则可以设置目的端口转换为[转换],并设置端口为 8080。页面如下:
2、如果需要修改已设置的目的地址转换规则,则点击规则名称即可到编辑页面。
3、如果需要删除规则,则勾选上需要修改的规则,点击删除来删除掉该 策略。或者点击根据提示进行删除操作。
4、如果需要禁用某条规则,可以点击把规则状态改为禁用。禁用后显示
。如果需要再次启用该规则,点击
建议使用Chrome浏览器访问!
