• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

有一需求,NAT转换的问题,请多指教

2022-11-30提问
  • 0关注
  • 0收藏,529浏览
heaven 零段
粉丝:0人 关注:0人

问题描述:

F1030防火墙上有公网地址,内部网有若干主机。

现有一需求。公网上主机需通过windows远程连接公网地址的3389端口,防火墙需将访问请求转换到内部主机组的某台主机上端口仍然是3389。单独一台配置没问题。但现在需要是不定时也许有并发的可能将许多外网访问的3389端口映射到不同ip的内部主机的3389端口上。主机分配可以是随机的。

这种需求使用什么配置可以实现?

组网及组网描述:


2 个回答
粉丝:148人 关注:8人

加多个映射,用多个外网端口号就行


多条映射我也想过。不过有两种情况没办法实现。第一。如果内部主机数量很多几十台这样一条一条设置太麻烦,不方便维护,再有都windows远程都是用的3389端口不能变,一个公网地址的一个端口只能映射一条吧?如果改端口了就要改访问者和被访问者的端口,不太实际。这种需求还有办法呢实现吗?

heaven 发表时间:2022-11-30
回复heaven:

一条一条加,没别的方式,几十个也不多,正常的。一个端口对应一个端口。或者就做SSL vpn

zhiliao_sEUyB 发表时间:2022-11-30
回复heaven:

改端口只需要把访问的端口记下来就行,

zhiliao_sEUyB 发表时间:2022-11-30

好的。明白了,谢谢。增加映射条目能做,但修改访问者的端口估计不现实。sslvpn我有,不过数量只有15个,在一个严重的问题关于sslvpn的不知道啥问题。在win7和最老版的win10下我生成的sslvpn客户端连接可靠性很高。但自从升级了操作系统后iNode客户端就会出现连接连上了,但内网不通的情况,每次都要禁用网卡几次重新连接若干次才能成功。这种状态给小白用户没法用。这种情况是啥原因呢?

heaven 发表时间:2022-11-30
回复heaven:

重新制作最新版本的inodde客户端试试

zhiliao_sEUyB 发表时间:2022-11-30

最近版的也试过,连通概率还不如老版的了。这事困扰了好久好久。

heaven 发表时间:2022-11-30
回复heaven:

win11么?

zhiliao_sEUyB 发表时间:2022-11-30

不是。从win10的19044.1889版就发现有问题了。原来的win10最老版没问题。但升级了以后就发现问题了。连不通,拨号成功内网ip不通。重新拨号、禁用网卡、退出客户端重新打开或使用无线网卡拨号、或由无线网卡转回有线网卡拨号,经过这些变换后大概60%能通。我也tracert看过。发现他不走sslvpn的路由。走的本机默认路由。

heaven 发表时间:2022-11-30
回复heaven:

,现在还是老终端没问题,1899后的终端有问题么

zhiliao_sEUyB 发表时间:2022-11-30
回复heaven:

是的话联系400要一下最新的inode,如果都有问题还是配置有点问题

zhiliao_sEUyB 发表时间:2022-11-30

我分析还是微软系统更新了,华三客户端更新没跟上,肯定是操作系统软件上有问题。不是配置问题。配置已经运行了5年多都没改过了,2020年以前的客户端一拨就通,自从win要更新2001H那版以后就出现我上面说的问题。而且重装若干版的都不行。后来更新了2101H、2102H有所改观,能偶尔连通了用我上面说的方法。在这个过程中防火墙的配置和iNode都没变过。跟微软说,没地方说,跟华三说,故障不清没法找到对症的部门。再说我的电话技术服务已经到期了电话已经接不到工程师面前。所以求助无门。

heaven 发表时间:2022-11-30
回复heaven:

400那面有官网没有的版本,想办法跟400要一个

zhiliao_sEUyB 发表时间:2022-11-30
粉丝:14人 关注:0人

3.5.4  配置负载分担内部服务器

(1)      进入系统视图。

system-view

(2)      创建内部服务器组,并进入服务器组视图。

nat server-group group-id

(3)      添加内部服务器组成员。

inside ip inside-ip port port-number [ weight weight-value ]

一个内部服务器组内可以添加多个组成员。

(4)      退回系统视图。

quit

(5)      进入接口视图。

interface interface-type interface-number

(6)      配置负载分担内部服务器。

nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ]

一个接口下可以配置多个负载分担内部服务器。

谢谢,我试试看

heaven 发表时间:2022-12-01

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明