dialer-rule 20 ip permit&
interface Dialer1
& &link-protocol ppp
& &ppp chap user user
& &ppp chap password cipher 1234abcd..
& &ppp pap local-user user password cipher 1234abcd..
& &ppp ipcp dns admit-any
& &alias Dialer1
& &ip address ppp-negotiate
& &dialer user test
& &dialer-group 20 /须确保命令dialer-group中的参数group-number和dialer-rule中的参数group-number保持一致
& &dialer bundle 1
interface GigabitEthernet 0/0/0
& & pppoe-client dial-bundle-number 1
[USG] firewall zone untrust
[USG-zone-untrust] add interface GigabitEthernet 0/0/0
[USG-zone-untrust] add interface dialer 1
[USG-zone-untrust] quit
[USG] firewall zone trust
[USG-zone-trust] add interface vlanif 1
[USG-zone-trust] add interface Ethernet 6/0/0
[USG-zone-trust] add interface Ethernet 6/0/1
[USG-zone-trust] quit
# 域间配置NAT和包过滤。
[USG] policy interzone trust untrust outbound
[USG-policy-interzone-trust-untrust-outbound] policy 0
[USG-policy-interzone-trust-untrust-outbound-0] policy source 10.1.1.0 0.0.0.255
[USG-policy-interzone-trust-untrust-outbound-0] action permit
[USG-policy-interzone-trust-untrust-outbound-0] quit
[USG-policy-interzone-trust-untrust-outbound] quit
[USG] nat-policy interzone trust untrust outbound
[USG-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] action source-nat
[USG-nat-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255
[USG-nat-policy-interzone-trust-untrust-outbound-1] easy-ip dialer 1
[USG-nat-policy-interzone-trust-untrust-outbound-1] quit
[USG-nat-policy-interzone-trust-untrust-outbound] quit
[USG] dns proxy enable /配置DNS代理
[USG] dns server unnumbered interface dialer 1
[USG] ip route-static 0.0.0.0 0.0.0.0 Dialer 1
/配置静态路由。
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：93352次
积分：1967
积分：1967
排名：第19902名
原创：107篇
转载：26篇
(2)(1)(1)(2)(2)(5)(5)(1)(6)(1)(1)(2)(3)(8)(8)(1)(2)(3)(3)(4)(3)(5)(1)(1)(1)(3)(1)(9)(14)(3)(1)(4)(2)(4)(1)(3)(2)(1)(4)(2)(1)(1)(4)(2)查看:17919|回复：27
最近比较多人问内网如何通过公网IP、域名访问内部服务器，这里涉及数据回流问题，可以通过域内NAT来实现
配图环境如下：
配置思路配置接口IP地址和安全区域，完成网络基本参数配置。配置安全策略。配置NAT Server功能，创建两条静态映射，分别映射内网Web服务器和FTP服务器。配置源NAT策略使PC D可以访问服务器的公网地址。在FW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。在FW上配置黑洞路由，避免FW与Router之间产生路由环路。在Router上配置到服务器映射的公网地址的静态路由。
1.配置接口IP地址和安全区域，完成网络基本参数配置。
# 配置接口GigabitEthernet 1/0/1的IP地址。
&FW& system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/2] quit
# 将接口GigabitEthernet 1/0/1加入Untrust区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
# 将接口GigabitEthernet 1/0/2加入DMZ区域。
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit
2.配置安全策略。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] quit
3.配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
4.配置源NAT策略。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
5.配置NAT Server功能。
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www
[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp
6.开启FTP协议的NAT ALG功能。
[FW] firewall zone dmz
[FW-zone-dmz] detect ftp
[FW-zone-dmz] quit
[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp
[FW-interzone-dmz-untrust] quit
7.配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
8.配置黑洞路由，避免FW与Router之间产生路由环路。
[FW] ip route-static 1.1.1.10 32 NULL 0
9.在Router上配置到服务器映射的公网地址（1.1.1.10）的静态路由，下一跳为1.1.1.1，使得去服务器的流量能够送往FW。
通常需要联系ISP的网络管理员来配置此静态路由。
本帖最后由 vsop5207 于
09:06 编辑
楼主好，看您发的贴还挺多，您是版主吗？
引用:原帖由 shujing0210 于
09:16 发表
楼主好，看您发的贴还挺多，您是版主吗？ 是的，不是版主你也可以天天发帖子的啊
引用:原帖由 vsop5207 于
09:46 发表
是的，不是版主你也可以天天发帖子的啊 我是小白，看您知道的好多，有些问题想要咨询您一下，方便加QQ吗？谢谢
引用:原帖由 shujing0210 于
13:16 发表
我是小白，看您知道的好多，有些问题想要咨询您一下，方便加QQ吗？谢谢
有问题直接发帖，我们不直接加Q 回答问题的，有疑问论坛为主
中级工程师
引用:原帖由 shujing0210 于
13:16 发表
我是小白，看您知道的好多，有些问题想要咨询您一下，方便加QQ吗？谢谢
这里就有你要找的讨论环境
版主的交流肯定以论坛为主，都线下交流就不合格了
版主这个文章主要就是双向NAT&&理解了数据的转发流程 就不难理解
这个功能跟H3C的 DNS-MAP+ALG 基本实现相似的需求
资深技术经理
为什么要配置黑洞路由？
中级工程师
引用:原帖由 erfdcv 于
19:17 发表
为什么要配置黑洞路由？ 防止路由环路
资深技术经理
引用:原帖由 xiaolinxu82 于
11:30 发表
防止路由环路 我知道是防止路由环路，但是造成路由环路的原因是什么？为什么其他品牌没有要求配置这个
中级工程师
引用:原帖由 erfdcv 于
12:38 发表
我知道是防止路由环路，但是造成路由环路的原因是什么？为什么其他品牌没有要求配置这个 从你的回答你不知道
你分析一下数据转发的过程 就知道了
华三 思科 也有这样的配置要求
华三会自动生成
引用:原帖由 xiaolinxu82 于
11:42 发表
从你的回答你不知道
你分析一下数据转发的过程 就知道了
华三 思科 也有这样的配置要求
华三会自动生成 思科中的ASA系列怎么配置防止环路？
论坛首席逗比管理员
中教数据库
论文发表 & & & & & & & &
免费论文发表
[zan] [zan] [zan]
论坛首席污妖王
引用:原帖由 咖啡 于
13:47 发表
测试测试 你那啥测，哈哈哈
我爱你，如果肾够好的话，我希望是一万年！
谢谢楼主提供这么好的教材！
楼主你好，看了你很多帖子，收货颇丰，但我的问题是，我们两个独立的局域网，A要访问B,B不能访问A，AB间装了一台防火墙，需要在B这边路由设置一个IP给防火墙，请问怎么设置？B这边路由是TL WVR308。当时他们工程师来装了防火墙后到下班时间就走了，没帮我们设置路由，而且他们不负责我们单位的网络管理，坑。楼主看到了快点回复好么。谢谢了，我就是比小白还白的大白
没看到TOPO图啊
好好学习一下啊！查看:17919|回复：27
最近比较多人问内网如何通过公网IP、域名访问内部服务器，这里涉及数据回流问题，可以通过域内NAT来实现
配图环境如下：
配置思路配置接口IP地址和安全区域，完成网络基本参数配置。配置安全策略。配置NAT Server功能，创建两条静态映射，分别映射内网Web服务器和FTP服务器。配置源NAT策略使PC D可以访问服务器的公网地址。在FW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。在FW上配置黑洞路由，避免FW与Router之间产生路由环路。在Router上配置到服务器映射的公网地址的静态路由。
1.配置接口IP地址和安全区域，完成网络基本参数配置。
# 配置接口GigabitEthernet 1/0/1的IP地址。
&FW& system-view
[FW] interface GigabitEthernet 1/0/1
[FW-GigabitEthernet1/0/1] ip address 1.1.1.1 24
[FW-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet 1/0/2的IP地址。
[FW] interface GigabitEthernet 1/0/2
[FW-GigabitEthernet1/0/2] ip address 10.2.0.1 24
[FW-GigabitEthernet1/0/2] quit
# 将接口GigabitEthernet 1/0/1加入Untrust区域。
[FW] firewall zone untrust
[FW-zone-untrust] add interface GigabitEthernet 1/0/1
[FW-zone-untrust] quit
# 将接口GigabitEthernet 1/0/2加入DMZ区域。
[FW] firewall zone dmz
[FW-zone-dmz] add interface GigabitEthernet 1/0/2
[FW-zone-dmz] quit
2.配置安全策略。
[FW] security-policy
[FW-policy-security] rule name policy1
[FW-policy-security-rule-policy1] source-zone untrust
[FW-policy-security-rule-policy1] destination-zone dmz
[FW-policy-security-rule-policy1] destination-address 10.2.0.0 24
[FW-policy-security-rule-policy1] action permit
[FW-policy-security-rule-policy1] quit
[FW-policy-security] quit
3.配置NAT地址池。
[FW] nat address-group addressgroup1
[FW-address-group-addressgroup1] mode pat
[FW-address-group-addressgroup1] section 0 1.1.1.11 1.1.1.11
[FW-address-group-addressgroup1] route enable
[FW-address-group-addressgroup1] quit
4.配置源NAT策略。
[FW] nat-policy
[FW-policy-nat] rule name policy_nat1
[FW-policy-nat-rule-policy_nat1] source-zone dmz
[FW-policy-nat-rule-policy_nat1] destination-zone dmz
[FW-policy-nat-rule-policy_nat1] source-address 10.2.0.6 32
[FW-policy-nat-rule-policy_nat1] action nat address-group addressgroup1
[FW-policy-nat-rule-policy_nat1] quit
[FW-policy-nat] quit
5.配置NAT Server功能。
[FW] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www
[FW] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp
6.开启FTP协议的NAT ALG功能。
[FW] firewall zone dmz
[FW-zone-dmz] detect ftp
[FW-zone-dmz] quit
[FW] firewall interzone dmz untrust
[FW-interzone-dmz-untrust] detect ftp
[FW-interzone-dmz-untrust] quit
7.配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[FW] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
8.配置黑洞路由，避免FW与Router之间产生路由环路。
[FW] ip route-static 1.1.1.10 32 NULL 0
9.在Router上配置到服务器映射的公网地址（1.1.1.10）的静态路由，下一跳为1.1.1.1，使得去服务器的流量能够送往FW。
通常需要联系ISP的网络管理员来配置此静态路由。
本帖最后由 vsop5207 于
09:06 编辑
楼主好，看您发的贴还挺多，您是版主吗？
引用:原帖由 shujing0210 于
09:16 发表
楼主好，看您发的贴还挺多，您是版主吗？ 是的，不是版主你也可以天天发帖子的啊
引用:原帖由 vsop5207 于
09:46 发表
是的，不是版主你也可以天天发帖子的啊 我是小白，看您知道的好多，有些问题想要咨询您一下，方便加QQ吗？谢谢
引用:原帖由 shujing0210 于
13:16 发表
我是小白，看您知道的好多，有些问题想要咨询您一下，方便加QQ吗？谢谢
有问题直接发帖，我们不直接加Q 回答问题的，有疑问论坛为主
中级工程师
引用:原帖由 shujing0210 于
13:16 发表
我是小白，看您知道的好多，有些问题想要咨询您一下，方便加QQ吗？谢谢
这里就有你要找的讨论环境
版主的交流肯定以论坛为主，都线下交流就不合格了
版主这个文章主要就是双向NAT&&理解了数据的转发流程 就不难理解
这个功能跟H3C的 DNS-MAP+ALG 基本实现相似的需求
资深技术经理
为什么要配置黑洞路由？
中级工程师
引用:原帖由 erfdcv 于
19:17 发表
为什么要配置黑洞路由？ 防止路由环路
资深技术经理
引用:原帖由 xiaolinxu82 于
11:30 发表
防止路由环路 我知道是防止路由环路，但是造成路由环路的原因是什么？为什么其他品牌没有要求配置这个
中级工程师
引用:原帖由 erfdcv 于
12:38 发表
我知道是防止路由环路，但是造成路由环路的原因是什么？为什么其他品牌没有要求配置这个 从你的回答你不知道
你分析一下数据转发的过程 就知道了
华三 思科 也有这样的配置要求
华三会自动生成
引用:原帖由 xiaolinxu82 于
11:42 发表
从你的回答你不知道
你分析一下数据转发的过程 就知道了
华三 思科 也有这样的配置要求
华三会自动生成 思科中的ASA系列怎么配置防止环路？
论坛首席逗比管理员
中教数据库
论文发表 & & & & & & & &
免费论文发表
[zan] [zan] [zan]
论坛首席污妖王
引用:原帖由 咖啡 于
13:47 发表
测试测试 你那啥测，哈哈哈
我爱你，如果肾够好的话，我希望是一万年！
谢谢楼主提供这么好的教材！
楼主你好，看了你很多帖子，收货颇丰，但我的问题是，我们两个独立的局域网，A要访问B,B不能访问A，AB间装了一台防火墙，需要在B这边路由设置一个IP给防火墙，请问怎么设置？B这边路由是TL WVR308。当时他们工程师来装了防火墙后到下班时间就走了，没帮我们设置路由，而且他们不负责我们单位的网络管理，坑。楼主看到了快点回复好么。谢谢了，我就是比小白还白的大白
没看到TOPO图啊
好好学习一下啊！