分类: 网络与安全
2015-06-30 09:35:35
实际案例中也不少碰到此类问题,客户内网有台服务器映射在互联网上,外网用户访问Global-IP没问题,但是内网用户想要访问Global-IP就会不通,典型的就是用户将内网服务器做了公网DNS A记录,无论内外网均通过域名访问。
JUNIPER系列设备包括Netscreen/ISG/SSG没有这类问题,直接通过普通的DIP即可实现,后续产品SRX防火墙也需通过双向NAT来解决,下面通过CISCO ASA来解决这个CASE,JUNIPER SRX解决原理类似。
假想拓扑如下:
ASA内网网段192.168.1.0/24,内网WEB服务器192.168.1.250,对应的外网Global-IP 200.1.1.1
8.3IOS版本以前实现方法:
static (inside,inside) tcp 200.1.1.1 8080 192.168.1.250 80 --注释:内网访问200.1.1.1将转换成192.168.1.250,这里实现了基于目的的转换,接下来再转换源地址
acc-list 100 permit ip 192.168.1.0 255.255.255.0 host 200.1.1.1
nat (inside) 10 acc-list 100
global (inside) 10 interface--注释:将源地址转换成inside的接口地址
same-security-traffic permit intra-interface--注释:允许接口同时转发数据
8.3IOS版本以上实现方法:
same-security-traffic permit intra-interface--注释:允许接口同时转发数据
object network inside-lan
subnet 192.168.1.0 255.255.255.0 --注释:定义内网网段,名字为inside-lan
object network inside-srv
host 192.168.1.250--注释:定义内网WEB服务器,名字为inside-srv
object network global-ip
host 200.1.1.1--注释:定义外网公网IP,名字为global-ip
nat (inside,inside) source dynamic inside-lan interface destination static global-ip inside-srv--注释:源地址192.168.1.0转换成inside接口地址,目的地址200.1.1.1转换成192.168.1.250
这里就举例一对一映射,端口转换要定义object比较麻烦,可自己测试
KINGJUNIPER
本文出自 “KINGJUNIPER” 博客,请务必保留此出处http://kingjuniper.blog.51cto.com/10445011/1665036