本举例是在F1000-AI-55的R8860版本上进行配置和验证的。
如下图所示,公司有一台FTP Server,其地址为192.168.100.247/24,现需要实现如下需求:
公司内网主机Host A和Host B可以通过公网地址61.139.2.70/24访问内网的FTP Server。
外网主机Host C可以通过公网地址61.139.2.70/24访问内网的FTP Server。
该组网需求为典型的C/S模式的NAT hairpin应用,具体配置思路如下:
为使内网主机通过公网地址访问内网FTP Server,需要在内网接口上开启NAT hairpin功能。其中,目的IP地址转换通过匹配外网接口上的内部服务器配置来完成;源IP地址转换通过匹配配置了内部服务器的接口上的出方向动态地址转换策略来完成。
为使公网主机可以访问内网FTP Server,需要在外网接口上配置NAT内部服务器功能。
本特性不支持与策略NAT特性混用。
配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/2右侧的<编辑>按钮,配置如下。
安全域:Trust
选择“IPv4地址”页签,配置IP地址/掩码:192.168.100.197/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/8,配置如下。
安全域:Untrust
选择“IPv4地址”页签,配置IP地址/掩码:61.139.2.70/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:Secpolicy1
源安全域:Trust
目的安全域:Trust
类型:IPv4
动作:允许
源IPv4地址:61.139.2.70/24
目的IPv4地址:192.168.100.247
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
# 单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:Secpolicy2
源安全域:Untrust
目的安全域:Trust
类型:IPv4
动作:允许
源IPv4地址:61.139.2.69
目的IPv4地址:192.168.100.247
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
配置NAT内部服务器转换
# 选择“策略 > 接口NAT > IPv4 > NAT内部服务器 > 策略配置”。单击<新建>按钮,新建NAT内部服务器,参数配置如下图所示。
图-2 新建NAT内部服务器
# 单击<确定>按钮,完成NAT内部服务器配置。
# 选择“策略 > 接口NAT > IPv4 > NAT出方向动态转换(基于ACL)”。单击<新建>按钮,新建NAT出方向动态转换策略,参数配置如下图所示。
图-3 新建NAT出方向动态转换策略
# 单击<确定>按钮,完成NAT出方向动态转换配置。
# 选择“策略 > 接口NAT > IPv4 > NAT Hairpin”,选中接口GE1/0/2,单击<开启>按钮,开启该接口的NAT Hairpin功能,如下图所示。
图-4 开启接口NAT Hairpin功能
内网Host主机可以通过公网地址访问内网FTP Server,如下图所示。
图-5 内网主机通过公网地址访问内网FTP Server
公网Host主机可以通过公网地址访问内网FTP Server,如下图所示。
图-6 公网Host主机通过公网地址访问内网FTP Server
在Device上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-7 会话列表
