更新时间:2023-05-05
[代理上网]即内网地址向外访问时,发起访问的内网IP地址转换成指定的IP地址。
典型场景
用于设置代理局域网上网的规则,SDW-R硬件网关不仅通过[代理上网]的NAT代理上网功能,还可通过与过滤规则进行配合对内网的上网服务进行控制,在页面中的SNAT设置中可以看到有[名称]、[源接口]、[源IP]、[目的接口]、[目的IP]、[源IP转换为]、[启用状态]、[操作]等配置信息,如下图所示。
设备缺省设置中不包含SNAT规则设置,需要云端易部署自动添加或者手动添加,点击<新增>,页面如下所示。
各配置项说明:
[规则名称]:用于自定义规则名称。
[启用状态]:选择启用或者禁用该规则。
[原始数据包/源接口/源IP]:源接口用于设置数据包的源接口地址,表示从该接口过来的数据包会继续往下匹配,可以选择LAN、DMZ、VPN、WAN四种;源IP支持配置所有IP、指定IP、指定网段三种配置方式。
[目的接口]:目的接口用于设置数据包的出接口,可选择LAN、DMZ、VPN、WAN四种。
[目的接口线路]:目的接口线路用于设置数据的出接口所选择的线路,表示数据从出接口中的那一条线路出去,可选择ALL或者出口线路中一条。
[目的IP]:目的IP表示原始数据包的目的IP要在设置的范围内,才继续往下匹配。
[转换后数据包/将源IP转换为]:用于设置符合指定条件的数据包转换源地址为“目的接口IP”或者“指定IP”。选择目的接口IP,则会将数据包源地址转换为“目的接口”选择的接口IP地址。选择“指定地址”则需要手动设置一个IP地址。
配置完成,点击<确定>,即可完成SNAT规则的配置。
常用代理上网设置示例一
某客户出口是一台SDW-R设备,WAN口为ADSL拨号,LAN口地址IP地址为192.168.0.1,内网PC都是192.168.0.0/24网段,网关指向192.168.0.1。部署SDW-R设备后,需要保证内网PC可以访问公网。
操作步骤
配置设备接口IP地址,IP地址配置请参考“网络接口设置”章节,此处不赘述。
配置代理上网,源接口选择LAN,子网网段填写LAN口网段,出接口为上公网的WAN口,目的IP地址为所有IP地址,将源地址转换为WAN口IP,界面如下图。
常用代理上网设置示例二
某客户总与分支用SANGFOR VPN对接,连上了VPN隧道,总部与分支使用SDW-R 设备,分支内网网段为192.168.0.0/24。客户希望分支的用户全部通过总部上网,而不通过分支的网络上网。
操作步骤
在分支端的SDW-R设备配置隧道间路由,并且勾选“总部代理分支上网”,详情请参考“隧道间路由设置”章节。1
在总部端的SDW-R设备配置代理上网规则,源接口选择VPN接口(因为是从VPN对端过来的数据),源地址填写192.168.0.0/24,目的接口选择WAN,界面如下图。
:
关于源接口选择VPN的高级应用场景及案例请参考下面“案例学习”。
案例学习
总部SANGFOR 设备采用网关模式部署,分支(172.16.10.0/24)需要通过VPN接入总部后上网,拓扑图如下图。
操作步骤
在VPN正常连接的情况下,分支SANGFOR设备需要添加隧道间路由(详见“隧道间路由配置 ”小节)。
总部SANGFOR设备需添加[源接口]为VPN的代理规则并添加分支的内网网段为源IP,页面如下图。
防火墙规则是会自动放通,无需手动去放通。点击[防火墙/过滤规则设置/高级设置],可以看到数据包不在过滤规则列表中时,默认执行允许动作,页面如下图。