- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
11-域名访问配置举例
本章节下载: 11-域名访问配置举例 (892.64 KB)
目 录
本文档介绍了H3C SecPath G9000-X-G系列多级安全互联交换平台(以下简称为平台)域名访问的配置举例。
平台通道可以配置域名,以达到让内网用户访问特定外网资源的目的。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档中所配置举例中,Host A到平台前置口路由可达,平台后置口到DNS、域名应用服务器路由可达。
本文假设您已了解平台特性。
如图1所示,Host A为允许访问server的终端。server是对内开放的服务器。部署平台后,配置应用通道,使得Host A可以直接输入server的域名,来访问此域名应用。
· 调查这些应用访问时是否存在域名跳转。部分站点在访问子页面时会重定向到其他域名,这些重定向的域名也需要一同纳入配置范围。
· 将所有需要被访问的域名及其端口PORT统计全,设计通道映射列表。
· 如果多个域名应用使用到了相同端口,平台源端侧需要申请多个监听IP,分别为不同的目标域名做映射。配置通道时,目标地址直接填写域名。
· 源端主机配置HOSTS文件,将域名指向平台源端监听IP。
· 平台目标侧(通常是后置机)的网络设置中,必须配置有效DNS,帮助通道解析目标域名。
· 源端访问时,在客户端的配置文件中,或者访问地址栏直接填写域名,访问这些域名应用。
表1 业务梳理:
|
访问源IP (源端发起访问的主机地址) |
监听地址 (连接客户端侧的接口地址) |
连接地址 (连接服务器侧的接口地址) |
目的地址 (服务器域名) |
|
172.16.1.10/24 |
172.16.11.10 |
192.168.1.10 |
WWW.BAIDU.COM |
本举例是在ESS 6702P01版本上进行配置和验证的。
通过平台前置机MAN管理口登录平台,打开浏览器输入https://192.168.0.1,(MAN口为前置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图2 前置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台前置系统的IP。
图3 设置前置系统IP
设置完后点“保存”退出。
图4 添加、保存前置IP设置
通过平台后置机MAN管理口登录平台,打开浏览器输入https://192.168.0.2,(MAN口为后置机专用管理口)
系统管理员默认账号:admin;默认密码:adminh3c
安全管理员默认账号:secrecy;默认密码:secrecyh3c
图5 后置机登录页面
点击“网络管理”>“IP地址管理”,选中GE0/0,点击“+”设置平台后置系统的IP。
图6 设置后置系统IP
设置完后点“保存”退出。
图7 添加、保存后置IP设置
点击“网络管理”>“路由配置”设置后置机的路由,如下图。
图8 路由管理
点击“新增路由”按钮添加路由。注意“前后置”参数,由于平台是多机体系,请注意所添加的路由是在哪一端系统上的。设置完毕后点“保存”退出。
图9 添加、保存后置路由
配置后置机DNS,点击<DNS配置>-<添加按钮>
图10 添加、保存后置DNS
该配置在前、后置系统的安全管理员secrecy下操作
添加TCP监听通道
表2 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
本端靠近访问源,则选择监听通道 本端靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
监听地址 |
映射IP和映射端口。监听地址是连接客户端侧的前后置接口地址。这2个参数用于入口规则监听通道上。当访问的请求,其目标IP、目标端口符合监听地址、监听端口时,受理其访问请求,转发到另一端上。 |
同一个监听IP和监听端口的组合只能对应一个服务 |
|
监听端口 |
图11 TCP监听通道配置界面
保存并启用TCP通道
图12 已保存的前置TCP通道
添加TCP连接通道
表3 必填参数说明:
|
参数 |
说明 |
注意事项 |
|
通道ID |
由用户自定义一个1~2000的自然数,将两侧的监听通道和连接通道关联上,形成一条完整的转发规则。 |
前后置同一个应用的通道需要配置相同的ID。部分通道类型只有监听通道,没有连接通道。这类通道配置后,可能会导致两侧自增长的ID错位,后续通道保存前请谨慎核对。 |
|
类型 |
应用类型:配置应用时请选择对应协议类型 |
前后置同一个应用的协议类型必须一致 |
|
通道方向 |
监听通道指入口规则 连接通道指出口规则 |
靠近访问源,则选择监听通道 靠近访问目标,则选择连接通道 |
|
端口类型 |
选择单个端口或者多个端口 |
前后置同一个应用的端口类型必须一致 |
|
连接地址 |
出口地址即连接服务器侧的前后置接口地址,重新封装数据包时,会以此IP作为源地址发出。 |
选择连接IP,即选择出口地址。请确保出口地址到目标服务器路由可达。 |
|
目的地址 |
另一端实际服务器的IP地址 |
|
|
目的端口 |
另一端实际服务器的服务端口 |
|
图13 TCP连接通道配置界面
保存并启用TCP连接通道
图14 已保存的后置TCP连接通道
根据上图组网案列,访问应用为www.baidu.com,应用及环境信息统计如下表所示
表1 信息表
|
应用 |
域名 |
端口 |
|
百度网站 |
www.baidu.com |
443 |
表2 前置后置机表
|
前置机 |
后置机 |
||
|
IP |
172.16.11.10/24 |
IP |
192.168.1.10/24 |
|
网关 |
172.16.11.1 |
网关 |
192.168.1.1 |
|
|
|
DNS |
114.114.114.114 |
表3 规划通道映射表
|
协议类型 |
监听IP |
监听端口 |
访问方向 |
目标IP |
目标端口 |
|
TCP |
172.16.11.10/24 |
443 |
前置到后置 |
www.baidu.com |
443 |
以windows为例,打开“C:\WINDOWS\system32\drivers\etc”以文本文档格式打开hosts。
图15 添加监听地址和目标IP相应参数
通过Host A访问www.baidu.com,都可以成功访问服务。
图16 通过Host A访问www.baidu.com服务器页面
· 目的地址配置成网址只适用于tcp、http、ftp、GAT-1400和邮件协议。
· 如果源端有独立的DNS服务器,可以通过修改DNS,将域名指向平台监听IP。这样可以省略3.4.4中源端主机HOSTS文件的修改。当访问源较多时,适用此方案。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
