双向地址转换_双向地址转换配置案例

双向地址转换由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“双向地址转换配置案例”。

双向地址转换(2009-09-09 17:30:03)转载▼

标签：网

络

杂谈 分类：技术帖

双向地址转换

基本需求

企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下。

图 1 双向地址转换示意图

如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。正常情况下，管理主机与服务器之间的通信可以不经过防火墙，而经过其他路由达成。但是当管理主机使用公网地址（或域名）访问服务器时，数据包的源IP为管理主机地址，目的地址为服务器公网地址。如果防火墙仅作目的NAT，则服务器收到数据包的源IP为管理主机地址，目的地址为自身地址。当其回应管理主机时，发出的数据包会不经过防火墙，而经过其他路由达成。此情况会导致会话无法建立。因此需要设置双向地址转换规则。

配置要点

 定义区域资源。

 定义主机地址资源。

 定义地址转换规则。

WEBUI配置步骤

1）定义区域资源：E0、E1。

1）选择菜单 资源管理 > 区域，点击“添加”，分别设置接口Eth0对应的区域为E0，区域权限为“禁止”；

接口Eth1对应的区域为E1，设置区域的访问权限为“允许”。

2）定义主机地址资源：WEB_Server、MAP_IP和MAP_USERIP

选择 资源管理 > 地址，并选择“主机”页签，点击“添加”添加主机地址资源。

定义WEB_server主机资源，如下图。

定义MAP_IP 和MAP_USERIP可以参考上图。设置完成后界面如下图。

3）定义地址转换规则

定义地址转换策略过程如下：

选择 防火墙 > 地址转换，并点击“添加”添加地址转换规则。如下图所示，选择“双向转换”选项设定双向地址转换策略。

a）选择“源”页签，添加NAT规则的源，打开“高级”属性，在“选择源AREA”中选择E0。

b）选择“目的”页签添加NAT规则的目的，在“NAT规则.目的”的“选择目的”中选择MAP_IP。注意此处目的VLAN和目的AREA均不选。

c）选择“服务”页签限定数据报文采用的协议和端口号，选择HTTP（TCP:80）。

d）在“源地址转换为”中选择“MAP_USERIP”，在 “目的地址转换为”中选择

WEB_Server[主机]。

设置完成后，点击“确定”按钮，完成NAT规则设置。

CLI配置步骤

1）设置区域E0。

#define area add name E0 attribute eth0 acce off

#define area add name E1 attribute eth0 acce on

2）定义主机对象：WEB_server、MAP_IP和MAP_USERIP

定义WEB_Server主机地址资源：

#define host add name WEB_server ipaddr 172.16.1.2

定义MAP_IP主机地址资源：

#define host add name MAP_IP ipaddr 202.99.27.201

定义MAP_USERIP主机地址资源：

#define host add name MAP_USERIP ipaddr 172.16.1.1

3）设置地址转换规则

#nat policy add srcarea E0 orig_dst MAP_IP orig_service http trans_src MAP_USERIP trans_dst WEB_server

注意事项

定义双向NAT规则时，可以将源IP转换为任意一个虚拟IP地址，本例中将源地址转换为了防火墙eth0口的IP。