知ALGNAT张辛2015-07-28发表防火墙内网用户通过公网域名访问内部服务器典型配置案例集1、PC和服务器的网关都在核心交换机上.
2、PC通过运营商A上公网,服务器通过运营商B上公网.
3、公网用户通过运营商B访问内网服务器.
4、PC使用DNS服务器为公网DNS.
5、PC通过域名www.
aaa.
com访问内网服务器,公网DNS解析该域名IP为123.
1.
1.
1.
1)防火墙开启ALGDNS功能.
核心交换机配置:核心交换机上配置PC和服务器的网关,缺省路由指向防火墙,具体配置略.
防火墙配置:1、在接口G0/0、G0/1、G0/2上配置相应的地址,正确配置路由和域间策略,具体配置略.
2、通过PBR将PC访问公网的流量重定向至运营商A,PC访问服务器的流量不做重定向.
#[F1000-E-SI]aclnumber3010[F1000-E-SI-acl-adv-3010]rulepermitipsource192.
168.
1.
50[F1000-E-SI-acl-adv-3000]quit#[F1000-E-SI]policy-based-routePC-WANpermitnode10[F1000-E-SI-pbr-PC-WAN-10]if-matchacl3010[F1000-E-SI-pbr-PC-WAN-10]applyip-addressnext-hop58.
1.
1.
2#[F1000-E-SI]interfaceGigabitEthernet0/0[F1000-E-SI-GigabitEthernet0/0]ippolicy-based-routePC-WAN#3、在防火墙上开启ALGDNS功能.
(缺省是关闭的,开启后配置中无显示.
)#[F1000-E-SI]algdns#4、在接口G0/1上配置natserver和PC上公网的natoutbound功能.
#[F1000-E-SI]interfaceGigabitEthernet0/1[F1000-E-SI-GigabitEthernet0/1natoutbound3010[F1000-E-SI-GigabitEthernet0/1]natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5www#5、在接口G0/2上配置natserver和服务器上公网的natoutbound功能.
[F1000-E-SI]aclnumber3020[F1000-E-SI-acl-adv-3020]rulepermitipsource192.
168.
99.
50[F1000-E-SI-acl-adv-3020]quit#[F1000-E-SI]interfaceGigabitEthernet0/2[F1000-E-SI-GigabitEthernet0/2]natoutbound3020[F1000-E-SI-GigabitEthernet0/2]natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5www#完整配置:#undoalgftpundoalgrtspundoalgh323undoalgsipundoalgsqlnetundoalgpptpundoalgilsundoalgnbtundoalgmsnundoalgqqundoalgtftpundoalgsccpundoalggtp#aclnumber3010rule0permitipsource192.
168.
1.
50aclnumber3020rule0permitipsource192.
168.
99.
50#policy-based-routePC-WANpermitnode10if-matchacl3010applyip-addressnext-hop58.
1.
1.
2#interfaceGigabitEthernet0/0portlink-moderouteipaddress192.
168.
255.
1255.
255.
255.
252ippolicy-based-routePC-WAN#interfaceGigabitEthernet0/1portlink-moderoutenatoutbound3010natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5wwwipaddress58.
1.
1.
1255.
255.
255.
252#interfaceGigabitEthernet0/2portlink-moderoutenatoutbound3020natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5wwwipaddress202.
2.
2.
1255.
255.
255.
252#iproute-static0.
0.
0.
00.
0.
0.
0202.
2.
2.
2iproute-static192.
168.
0.
0255.
255.
0.
0192.
168.
255.
2#2)防火墙不开启ALGDNS功能.
核心交换机配置:核心交换机上配置PC和服务器的网关,缺省路由指向防火墙,具体配置略.
防火墙配置:1、在接口G0/0、G0/1、G0/2上配置相应的地址,正确配置路由和域间策略,具体配置略.
2、通过PBR将PC访问公网的流量重定向至运营商A,PC访问服务器的流量不做重定向.
#[F1000-E-SI]aclnumber3000[F1000-E-SI-acl-adv-3000]rulepermitipsource192.
168.
1.
50destination192.
168.
99.
50[F1000-E-SI-acl-adv-3000]quit#[F1000-E-SI]aclnumber3010[F1000-E-SI-acl-adv-3010]rulepermitipsource192.
168.
1.
50[F1000-E-SI-acl-adv-3000]quit#[F1000-E-SI]policy-based-routePC-WANdenynode5[F1000-E-SI-pbr-PC-WAN-5]if-matchacl3000[F1000-E-SI-pbr-PC-WAN-5]quit[F1000-E-SI]policy-based-routePC-WANpermitnode10[F1000-E-SI-pbr-PC-WAN-10]if-matchacl3010[F1000-E-SI-pbr-PC-WAN-10]applyip-addressnext-hop58.
1.
1.
2#[F1000-E-SI]interfaceGigabitEthernet0/0[F1000-E-SI-GigabitEthernet0/0]ippolicy-based-routePC-WAN#3、在接口G0/0上配置natserver和PC访问服务器的natoutbound功能.
#[F1000-E-SI]interfaceGigabitEthernet0/0[F1000-E-SI-GigabitEthernet0/2]natoutbound3000[F1000-E-SI-GigabitEthernet0/2]natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5www#4、在接口G0/1上配置PC上公网的natoutbound功能.
#[F1000-E-SI]interfaceGigabitEthernet0/1[F1000-E-SI-GigabitEthernet0/2]natoutbound3010#5、在接口G0/2上配置natserver和服务器上公网的natoutbound功能.
[F1000-E-SI]aclnumber3020[F1000-E-SI-acl-adv-3020]rulepermitipsource192.
168.
99.
50[F1000-E-SI-acl-adv-3020]quit#[F1000-E-SI]interfaceGigabitEthernet0/2[F1000-E-SI-GigabitEthernet0/2]natoutbound3020[F1000-E-SI-GigabitEthernet0/2]natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5www#完整配置:#undoalgall#aclnumber3000rule5permitipsource192.
168.
1.
50destination192.
168.
99.
50aclnumber3010rule0permitipsource192.
168.
1.
50aclnumber3020rule0permitipsource192.
168.
99.
50#policy-based-routePC-WANdenynode5if-matchacl3000policy-based-routePC-WANpermitnode10if-matchacl3010applyip-addressnext-hop58.
1.
1.
2#interfaceGigabitEthernet0/0portlink-moderoutenatoutbound3000natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5wwwipaddress192.
168.
255.
1255.
255.
255.
252ippolicy-based-routePC-WAN#interfaceGigabitEthernet0/1portlink-moderoutenatoutbound3010ipaddress58.
1.
1.
1255.
255.
255.
252#interfaceGigabitEthernet0/2portlink-moderoutenatoutbound3020natserverprotocoltcpglobal123.
1.
1.
1wwwinside192.
168.
99.
5wwwipaddress202.
2.
2.
1255.
255.
255.
252#iproute-static0.
0.
0.
00.
0.
0.
0202.
2.
2.
2iproute-static192.
168.
0.
0255.
255.
0.
0192.
168.
255.
2#1、在接口同时配置有PBR和NAT的情况下,报文优先匹配NAT.
做完NAT转换后,再进行PBR匹配.
可以看到这次国庆萤光云搞了一个不错的折扣,香港CN2产品6.5折促销,还送50的国庆红包。萤光云是2002年创立的商家,本次国庆活动主推的是香港CN2优化的机器,其另外还有国内BGP和高防服务器。本次活动力度较大,CN2优化套餐低至20/月(需买三个月,用上折扣+代金券组合),有需求的可以看看。官方网站:https://www.lightnode.cn/地区CPU内存SSDIP带宽/流量价格备注购...
弘速云元旦活动本公司所销售的弹性云服务器、虚拟专用服务器(VPS)、虚拟主机等涉及网站接入服务的云产品由具备相关资质的第三方合作服务商提供官方网站:https://www.hosuyun.com公司名:弘速科技有限公司香港沙田直营机房采用CTGNET高速回国线路弹性款8折起优惠码:hosu1-1 测试ip:69.165.77.50地区CPU内存硬盘带宽价格购买地址香港沙田2-8核1-16G20-...
美国知名管理型主机公司,2006年运作至今,虚拟主机、VPS、云服务器、独立服务器等业务全部采用“managed”,也就是人工参与度高,很多事情都可以人工帮你处理,不过一直以来价格也贵。也不知道knownhost什么时候开始运作无管理型业务的,估计是为了扩展市场吧,反正是出来较长时间了。闲来无事,那就给大家介绍下“unmanaged VPS”,也就是无管理型VPS,低至5美元/月,基于KVM虚拟,...