贵州省黔东南州烟草公司物流中心
摘要:本文通过实际案例,介绍在单位互联网访问由上一级单位出口,本地防火墙外网流量出口地址为私网地址情况下,如何在本地添加外网线路,实现将单位内网服务器IP地址映射成公网地址,实现服务器对外开放访问权限。
关键词:静态路由;策略路由;地址转换;地址映射
当某些单位需要对外发布信息或业务系统,对外开放服务器访问权限时,可通过地址转换将服务器的内网IP地址映射成公网地址,实现用户在外网通过公网地址访问内部服务器资源。但在单位互联网访问由上一级单位出口,本地防火墙外网流量出口地址为私网地址情况下,如何实现地址映射呢?且看下面的案例。
本单位现有网络拓扑结构如图1所示,外网访问流量通过防火墙A再经过上一级单位防火墙B,由防火墙B统一出口, Eth1接口连接三层交换机,模式为交换,Eth2接口连接防火墙B,模式为路由,Eth3接口连接企业内部网,模式为路由。现单位需要服务器A对外发布信息,实现用户在外网通过公网地址访问该服务器资源。实现过程如下:
一、需求分析
1、由于本单位互联网出口不在本地,防火墙A地址为局域网地址,要实现将服务器A的内部IP地址映射成外网地址,可在本地添加一条外网线路,将运营商给定的本地公网地址作为映射所需外网地址,添加外网线路后的网络拓扑结构如图2所示。
2、要实现在外网通过公网地址与服务器A建立通讯,需服务器A通过新添加的外网线路与外网互联,即服务器A能通过新添加的外网线路访问到外网。
3、添加外网线路后,单位同时存在两条外网线路,由于原外网线路存在静态路由,服务器A要通过新添加的外网线路与外网互联,需添加策略路由。
4、服务器A通过新添加的外网线路与外网互联后,通过目的转换实现地址映射。
二、外网线路接入及外网互联
1、外网线路接入单位
电信运营商接入外网线路至该单位,给定本地公网地址及网关。
2、外网互联
通过防火墙实现外网互联。
2.1、外网线路接入防火墙
将运营商接入的外网线路接入天融信防火墙A的Eth4接口。
2.2、物理接口设置
web方式登录天融信防火墙,登录后在网络管理中添加物理接口Eth4接口,模式为路由,在路由模式中添加地址/掩码,地址为新线路运营商提供的公网IP地址219.×.×.×,掩码为255.255.255.0。
2.3、定义区域
将Eth4定义为外网2区域。
2.4、添加主机
将服务器A内网IP地址添加入主机,名称为服务器A,
2.5、配置地址转换
添加地址转换,转换类型为源转换,源为主机服务器A,目的为外网2区域,源地址转换为Eth4[属性]。
2.6、添加策略路由表
添加一条属性为global的策略路由表,在新添加的策略路由表下添加路由条目,添加一条源地址为服务器A的内网IP地址,源掩码为255.255.255.255,目的地址和目的掩码均为0.0.0.0,网关为运营商给定网关,接口为Eth4接口的路由条目。
至此,服务器A可通过Eth4接口访问外网,即通过新添加的外网线路访问外网。
三、配置地址映射
添加源为任意,目的地址为Eth4,目的地址转换对象为主机服务器A的目的转换。基于网络安全考虑,此处只开放服务器对外发布信息所需服务,如只开放http服务,即只开放80端口。为强化安全策略,还可将目的端口转换为自定义端口。
至此,地址映射配置完成,用户在外网可通过公网地址(Eth4接口地址)访问到单位服务器A。
四、结束语
本文结合本单位案例,介绍了在单位互联网访问由上一级单位出口,本地防火墙外网流量出口地址为私网地址情况下,如何通过天融信防火墙添加外网线路,如何基于策略路由实现地址映射,以供参考。
论文作者:田雨
论文发表刊物:《基层建设》2017年2期
论文发表时间:2017/4/18
标签:地址论文; 网线论文; 公网论文; 服务器论文; 路由论文; 目的论文; 单位论文; 《基层建设》2017年2期论文;