双链路接入的华为防火墙,配置NAT Server,即端口映射

2022-05-18 15:59:43 浏览数 (1)

在头条写文章满一年了,发现一个规律,头条貌似不喜欢打码的图片,所以今天尝试一下不打码的图片,大家不要想歪了,之前写文章给图片打码,是为了保护客户的隐私和网络安全,比如说客户的IP地址,肯定必须打码,对吧?

好了,废话按下不表,先来看一下今天的不打码拓扑图:

如图所示,客户的内网网段是10.2.0.0/24,华为USG6330防火墙作为网关部署在网络边界处,并且接入了两条链路,都是固定IP的,一条50M,另一条100M,遗憾的是,两条都是电信线路,不知道当初是怎么考虑的,按常理来说,应该接入不同运营商的网络啊,免得一条光缆挖断,整个公司崩溃。

客户要求:无论是在内网还是在外网,都通过网址:ftp.mydomain.com来访问FTP服务器(内网IP:10.2.0.8)

华为防火墙的配置:

1、新建安全区域,虽然默认的Untrust区域其实也能满足客户的要求,但还是以客户的要求为目标吧,所以需要新建两个Untrust区域,分别对应两条IPS线路。

2、配置两个外网接口,这里不是真实的IP地址,所以不用打码了

3、配置内网接口的参数

4、配置安全策略,允许外网访问内网的FTP服务器,注意,内网同属trust区域,不必配置安全策略,默认允许访问。

5、为FTP服务器配置端口映射,即华为防火墙上的服务器映射功能。由于是两条链路,需要配置两条服务器映射的NAT策略,注意,FTP服务器默认21端口,为了安全起见,还是改个端口比较好。

域控服务器上的配置:

经过以上配置,在内网可以使用10.2.0.8这个IP地址来访问FTP服务器,在外网可以用1.1.1.1和2.2.2.2这两个IP来访问FTP服务器,要记住三个IP地址,实在不方便,而且笔记本电脑在内外网使用需要切换IP,更不方便,所以需要利用DNS来解决这个问题。

内网的话,只要在域控服务器上配置DNS,添加一条A记录即可,如下图所示:

也许有人会问:如果内网没有域控怎么办?答案是可以单独建立一个DNS服务器,然后再新建这条A记录就可以了。

域名注册商的DNS解析:

经过上面的配置,内网可以通过ftp.mydomain.com来访问FTP服务器了,而在外网,原理也是一样的,只不过,那条A记录,需要去域名注册商的管理后台做,两条固定IP的链路,就要做两条DNS解析(以阿里云为例),如下图所示:

遗憾的是,智能解析不支持摘除故障IP和自动切换的功效,如果需要实现故障自动转移的效果,只能开启全局流量管理功能,这个功能还不便宜呢,一年1000多块钱啊。

0 人点赞