1.需求分析
內(nèi)網(wǎng)有相應(yīng)的服務(wù)需要提供給外網(wǎng)用戶進(jìn)行訪問,外網(wǎng)用戶能通過防火墻公網(wǎng)地址訪問到內(nèi)網(wǎng)服務(wù)器真實業(yè)務(wù)。
2.解決方案
2.1 軟硬件信息
軟件版本:StoneOS 5.5R3P9
硬件平臺:SG-6000-E1700
2.2 實驗環(huán)境
外網(wǎng)通過設(shè)備公網(wǎng) IP 39.98.200.40:8081訪問內(nèi)網(wǎng)地址的 10.1.1.1 的 HTTP 80服務(wù)。
2.3 網(wǎng)絡(luò)拓?fù)?/h3>
![]()
2.4 配置步驟
2.4.1 自定義(端口)服務(wù)
先在對象中找到服務(wù)簿回溺,自定義一個tcp-8081端口。
注:目的端口為固定端口時,配置最小和最大一致累贤,連續(xù)范圍端口可以配置一個區(qū)間叠穆。在沒有指定源端口的情況下,不用填寫源端口畦浓,如果配置痹束,會導(dǎo)致DNAT不匹配。(因一般源端口是隨機讶请,目的端口固定)
2.4.2 配置目的NAT
可以在更多配置里開啟記錄日志祷嘶,方便驗證。
2.4.3 配置安全策略
2.5 結(jié)果與故障分析
配置完成夺溢。如果出現(xiàn)映射不通的情況下论巍,請按照以下步驟檢查:
(1)監(jiān)控是否有日志,沒有日志檢查DNAT 配置及自定義服務(wù)风响。
(2)若配置沒有問題嘉汰,檢查內(nèi)網(wǎng)端口是否可達(dá)(可以通過SLB服務(wù)探測功能協(xié)助檢查)。
(3)若內(nèi)網(wǎng)端口不可達(dá)状勤,檢查內(nèi)網(wǎng)路由鞋怀。
(4)若內(nèi)網(wǎng)端口可達(dá),更換外網(wǎng)端口測試持搜,測試成功則是外網(wǎng)端口問題密似。
(5)如果外網(wǎng)端口測試失敗,debug抓包看數(shù)據(jù)包是否到防火墻葫盼,未到防火墻則是運營商問題残腌;到防火墻被丟棄或內(nèi)網(wǎng)沒有回包,則查看丟棄原因贫导;內(nèi)網(wǎng)沒回包考慮是內(nèi)網(wǎng)沒有回指路由的原因抛猫,可以做SNAT轉(zhuǎn)換成內(nèi)網(wǎng)接口測試。
更多其他精彩內(nèi)容請見:?山石網(wǎng)科知識庫
