H3C F100-A-SI防火墙端口映射

内网用户通过 NAT 地址访问内网服务器配置举例
1. 组网需求
•
某公司内部网络中有一台 FTP 服务器，地址为 192.168.1.4/24。
•
该公司拥有两个外网 IP 地址：202.38.1.1 和 202.38.1.2。
需要实现如下功能：
•
外网主机可以通过 202.38.1.2 访问内网中的 FTP 服务器。
•
内网主机也可以通过 202.38.1.2 访问内网中的 FTP 服务器。
2. 组网图
图3-9 内网用户通过 NAT 地址访问内网服务器配置组网图
3. 配置思路
该需求为典型的 C-S 模式的 NAT hairpin 应用，具体配置思路如下。
•
为使外网主机可以通过外网地址访问内网 FTP 服务器，需要在外网侧接口配置 NAT 内部服务
器。
•
为使内网主机通过外网地址访问内网 FTP 服务器，需要在内网侧接口开启 NAT hairpin 功能。
其中，目的 IP 地址转换通过匹配外网侧接口上的内部服务器配置来完成，源地址转换通过匹
配内部服务器配置所在接口上的出方向动态地址转换或出方向静态地址转换来完成，本例中
采用出方向动态地址转换配置。
配置步骤
(1) 配置接口 IP 地址
# 根据组网图中规划的信息，配置各接口的 IP 地址，具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 10.110.10.1 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的 IP 地址，具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置安全策略
# 配置名称为 trust-trust 的安全策略，保证 Trust 安全域内的 Host 可以访问 Trust 安全域内的
Server，具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-trust
[Device-security-policy-ip-1-trust-trust] source-zone trust
[Device-security-policy-ip-1-trust-trust] destination-zone trust
[Device-security-policy-ip-1-trust-trust] source-ip-host 202.38.1.1
[Device-security-policy-ip-1-trust-trust] destination-ip-host 192.168.1.4
[Device-security-policy-ip-1-trust-trust] action pass
[Device-security-policy-ip-1-trust-trust] quit
# 配置名称为 untrust-trust 的安全策略，保证 Untrust 安全域内的 Host 可以访问 Trust 安全域
内的 Server，具体配置步骤如下。
[Device-security-policy-ip] rule name untrust-trust
[Device-security-policy-ip-2-untrust-trust] source-zone untrust
[Device-security-policy-ip-2-untrust-trust] destination-zone trust
[Device-security-policy-ip-2-untrust-trust] destination-ip-host 192.168.1.4
[Device-security-policy-ip-2-untrust-trust] action pass
[Device-security-policy-ip-2-untrust-trust] quit
[Device-security-policy-ip] quit
(4) 配置 NAT 功能
# 配置 ACL 2000，允许对内部网络中 192.168.1.0/24 网段的报文进行地址转换。Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口 GigabitEthernet1/0/2 上配置 NAT 内部服务器，允许外网主机使用地址 202.38.1.2
访问内网 FTP服务器，同时使得内网主机访问内网 FTP 服务器的报文可以进行目的地址转换。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside
192.168.1.4 ftp
# 在接口 GigabitEthernet1/0/2 上配置 Easy IP 方式的出方向动态地址转换，使得内网主机访
问内网 FTP 服务器的报文可以使用接口 GigabitEthernet1/0/2 的 IP 地址进行源地址转换。
[Device-GigabitEthernet1/0/2] nat outbound 2000
[Device-GigabitEthernet1/0/2] quit
# 在接口 GigabitEthernet1/0/1 上开启 NAT hairpin 功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat hairpin enable
[Device-GigabitEthernet1/0/1] quit