本举例是在M9000-X06的E9671版本上进行配置和验证的。
如下图所示,公司内部部署了四台服务器,分别对外提供Web、FTP和SMTP服务。公司内部网络为10.110.10.0/24,并拥有202.38.1.1、202.38.1.2和202.38.1.3三个公网IP地址。选用202.38.1.1作为公司对外提供服务的IP地址,其中Web服务器1对外采用80端口,Web服务器2对外采用8080端口,FTP服务器对外采用21端口,SMTP服务器对外采用25端口。通过配置策略NAT目的地址转换功能,外网主机可以利用公网地址访问公司内部的服务器。
本特性不支持与接口NAT特性混用。
配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/2右侧的<编辑>按钮,配置如下。
安全域:Untrust
选择“IPv4地址”页签,配置IP地址/掩码:202.38.1.1/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/1,配置如下。
安全域:Trust
选择“IPv4地址”页签,配置IP地址/掩码:10.110.10.10/24
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:Secpolicy
源安全域:Untrust
目的安全域:Trust
类型:IPv4
动作:允许
目的IPv4地址:10.110.10.1、10.110.10.2、10.110.10.3、10.110.10.4
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
配置策略NAT规则(以Web Server 1为例)
# 选择“策略 > 策略NAT”,进入策略NAT配置界面。
# 单击<新建>按钮,新建策略NAT规则,参数配置如下图所示。
图-2 新建策略NAT规则
# 单击<确定>按钮,完成策略NAT规则配置。