如何进行DNAT方式的公网映射(端口映射).pdfVIP

如何进行DNAT 方式的公网映射（端口映射） 配置目的： 公司内网有两台服务器，分别提供不同服务： 服务器1：200.0.0.100，使用端口：80 服务器2：200.0.0.200，使用端口：90 两台服务器均告知给用户地址为 218.249.81.60 ，当用户从 Internet 上通过 IP 地址 218.249.81.60 访问服务器时，防火墙会查询端口，并根据端口进行SNAT 地址转换： 218.249.81.60:80 转换给200.0.0.100 218.249.81.60:90 转换给200.0.0.200 拓扑如下： 200.0.0.100/24 内网接口 外网接口 Internet 200.0.0.1/24 218.249.81.60/24 200.0.0.200/24 要求: 基于端口的DNAT 地址转换。 〖配置外网接口地址〗 命令行操作步骤： SuperV(config)# interface Ge 0/0/2 SuperV (config-if-Ge0/0/0)#ip address 218.249.81.60 24 网页操作步骤： 选择“网络配置” “接口 IP 配置”，点击“编辑”按钮，按照下图配置。 〖配置内网接口地址〗 命令行操作步骤： SuperV(config)# interface Ge 0/0/3 SuperV (config-if-Ge0/0/0)#ip address 200.0.0.1 24 网页操作步骤： 选择“网络配置” “接口 IP 配置”，点击“编辑”按钮，按照下图配置。 〖为内网网段创建PCP〗 命令行操作步骤： SuperV(config)# pcp server_1 destination-ip net 218.249.81.60 255.255.255.255 proto name tcp destination- port 80 SuperV(config)# pcp server_2 destination-ip net 218.249.81.60 255.255.255.255 proto name tcp destination- port 90 网页操作步骤： 选择“防火墙” “包分类”，点击“添加”按钮，按照下图配置。 〖配置DNAT〗 命令行操作步骤： SuperV(config)# nat pcp server_1 dnat ip 200.0.0.100 dport 80 on SuperV(config)# nat pcp server_2 dnat ip 200.0.0.200 dport 90 on 网页操作步骤： 选择“防火墙” “DNAT 策略”，点击“添加DNAT 策略”按钮，按照下图配置 〖验证〗 通过查看会话验证： [0] 0 tcp syn_sent(19) 218.249.81.217:1749(Ge0/0/3) - 218.249.81.60:90(Ge0/0/2) ref 1 (200.0.0.200:90 - 218.249.81.217:1749) [0] 0 tcp syn_sent(10) 218.249.81.217:1748(Ge0/0/3) - 218.249.81.60:80(Ge0/0/2) ref 1 (200.0.0.100:80 - 218.249.81.217:1748) 查看DNAT 转换次数 SuperV(diagnose)#show nat conflict … snat: 0 dnat: 2 snat hit: 0 nat port try:0 nat failed: 0 snat hit/(snat): 0 nat port try/(snat + dnat): 0 nat failed/(snat + dnat): 0 …