深信服上網行爲管理設備上實現點對點NAT映射『羅斌原創』

深信服上網行爲管理設備實現點對點 NAT 映射

 

 

    所謂點對點NAT映射，就是指將內網的某IP直接映射成公網上的固定IP，好比我內網有臺電腦想要作服務器來對外界提供某種服務，那麼該服務器必需要有固定的公網IP，而它又在內網，那該怎麼把它的IP變成公網固定IP呢？那麼就要用到NAT技術了。下面說下在深信服設備上如何實現點對點的NAT。

    先說的網絡環境，第一，我內網有2臺服務器，一臺爲WEB以及郵件爲一體的服務器，提供www和E-mail服務，其內網的IP地址爲192.168.1.44。第二，內網還有一臺金星視訊系統，用於實時瞭解各地店面的珠寶銷售狀況，其內網IP爲192.168.1.64。我司擁有的固定IP從112.95.170.22-25一共4個固定IP。此4個IP對應的分配狀況以下：

112.95.170.22                                      代理全公司上網使用
112.95.170.23                                      192.168.1.44                  用於WWW以及Email服務器
112.95.170.24                                      192.168.1.64                  金星視訊系統
112.95.170.25                                      保留                              之後在加服務器使用

NAT配置步驟以下：
第一個映射： 代理全公司上網須要使用到NAT功能，該項配置，在把深信服配置爲路由模式的時候自動爲您配置完成。以下圖所示：

 

第二個映射：將192.168.1.44映射成公網IP 112.95.170.23 ，操做步驟以下圖：


 

解釋：作NAT映射，其實就是在「代理網段配置」裏面添加一條代理記錄，如上圖所示，將1.44映射到112.95.170.23只要添加一條將WAN口映射到1.44這一臺電腦就能夠了，要注意的是下面的細節設置，點擊編輯按鈕，看下添加該映射的過程：


 

①指定網口爲 WAN1

②要代理的IP爲 192.168.1.44，注意子網掩碼爲4個255。

③被轉換的公網IP爲 112.95.170.23

添加完畢以後，還須要作的兩件事就是，分別作個IP的內網和外網的端口映射，必定要作兩個，不要只作把外網IP映射到內網IP的某個端口就算完事了，若是這樣的話，是映射失敗的。

下面看給1.44作端口映射的過程：

1、先作內網的端口映射：

 

①指定外網接口爲 LAN1

②轉換的條件爲外網固定IP地址 112.95.170.23 ，注意子網掩碼爲4個255

③被轉換的目標是192.168.1.44

2、再作外網的端口映射：


 

①指定外網接口爲 WAN1

②轉換的條件依然爲外網固定IP地址 112.95.170.23 ，注意子網掩碼爲4個255

③被轉換的目標仍是192.168.1.44

3、防火牆規則設置，這一步必定不能忘記，也是必須作的：


 

如上圖②中，設置的規則是從WAN→LAN  請求 Webserver(192.168.1.44) 的mailserver裏面的服務（80、2五、110）這幾個端口的機器容許經過請求。一樣再作一條 WAN←LAN 的規則就能夠了。


至此，將192.168.1.44 SNAT 到 112.95.170.23 的要求完成。 



一樣的方法給1.64作點到點的NAT映射：
第三個映射：將192.168.1.64映射成公網IP 112.95.170.24 ，操做步驟以下圖：

 

如上圖所示，將1.64映射到112.95.170.24只要添加一條將WAN口映射到1.64這一臺電腦就能夠了，要注意的是下面的細節設置，點擊編輯按鈕，看下添加該映射的過程：

 

①指定網口爲 WAN1

②要代理的IP爲 192.168.1.64，注意子網掩碼爲4個255。

③被轉換的公網IP爲 112.95.170.24


添加完畢以後，還須要作的兩件事就是，分別作個IP的內網和外網的端口映射，必定要作兩個，不要只作把外網IP映射到內網IP的某個端口就算完事了，若是這樣的話，是映射失敗的。

下面看給1.64作端口映射的過程：


1、先作內網的端口映射：

 

①指定外網接口爲 LAN1

②轉換的條件爲外網固定IP地址 112.95.170.24 ，注意子網掩碼爲4個255

③被轉換的目標是192.168.1.64

2、再作外網的端口映射：

①指定外網接口爲 WAN1

②轉換的條件依然爲外網固定IP地址 112.95.170.24 ，注意子網掩碼爲4個255

③被轉換的目標仍是192.168.1.64

3、記得作WAN到LAN以及LAN到WAN的策略，步驟與上面作1.44的防火牆策略同樣。 轉載文章請標明：該文章轉自 羅斌原創技術文章：http://luobin44.51.com 〖羅斌我的工做經驗談〗