【全网行为管理】02-AC的端口映射

装备实验

开始实验01:00:00

拓扑

实验手册

实验报告

声明：本实验手册仅供学习交流使用，请勿用于非法用途，违者一律自行承担所有风险！PS：本窗口支持左右拉伸

AC的端口映射

实验目标

学会配置AC的端口映射（DNAT）功能，满足从外网访问企业内部网站的需求。

实验原理

AC作为网关部署在公司互联网出口，当有外部用户，需要访问公司网站时，需要将AC的外网IP地址与端口映射到内网网站的IP地址与端口。

实验场景

某大型集团公司，其内部新建了一套网站系统，位于微软域控服务器上。
要求一：现在需要从互联网（Internet-WEB server）访问该网站，访问的IP地址为AC的WAN口地址。
要求二：为方便内网员工访问，员工在办公区也可以使用AC的WAN口地址，访问位于于微软域控上的网站。

实验拓扑

实验设备

1、总部AC ，作总部出口网关使用
2、微软域控，作为总部的服务器，本实验中主要作用为WEB服务器,理解为集团公司网站。
3、PC1，普通办公PC，员工办公使用。
4、Internet-WEB Server， 本实验中，作为在互联网上的客户端，访问集团公司网站（微软域控上的网站）

环境预配

环境预配，是指已经实验场景化的配置边界。
实验环境中，非深信服设备，不需要学员配置。如交换机、路由器、PC、服务器。

实验环境中，深信服设备，需要学员按实验拓扑说明进行配置。

实验环境中，配置基本遵循上述两条原则，少数实验例外。例外过程，在实验步骤中说明

实验步骤

一、配置总部AC的网络（操作对象：总部AC）

登录设备过程略

1.1 开始配置网络

1.2 选择路由模式

1.3 根据拓扑图，配置网卡，如下图

其中
eth1为LAN口，即办公区
eth2为DMZ口，即服务器区
eth3为WAN口，即互联网区

1.4 配置eth1

eth1接办公区，IP地址参照拓扑图配置

1.5 配置eth3

eth3接互联网区，IP地址参照拓扑图配置

1.6 配置eth2

eth2接DMZ区，即服务器区，IP地址参照拓扑图配置

1.7 配置代理上网

这里配置代理办公网段上网。办公网网段为192.168.1.0/24

1.8 检查无误后提交

二、配置从互联网访问集团网站。（操作对象：总部AC）

2.1 新建端口映射–简单规则

将AC的WAN口(124.126.100.2) TCP 8080映射到微软域控(172.16.0.100)的TCP 80

三、使用Internet-WEB Server验证上步配置(操作对象：Internet-web Server)

因为Internet-WEB Server为Linux，所以这里使用curl命令代替浏览器

curl  124.126.100.2:8080

如图，访问成功。

四、解决办公网PC使用互联网地址访问域控的问题。（操作对象：总部AC）

为了解决办公网PC使用互联网地址访问微软域控的问题,我们可以在总部AC的LAN口进行目标地址转换工作。

操作如下：

4.1 新增端口映射–>高级规则

4.2 配置DNAT生效的端口、源IP、目标IP

继续向下滚动

4.3 配置DNAT生效的源端口、目标端口

4.4 配置DNAT转换后的IP与端口（即微软域控的80端口）

实验总结

当从WAN口使用WAN口IP地址访问DMZ区服务器时， 端口映射规则（DNAT）在WAN口生效。普通端口映射多数是这种原理。

当从LAN口使用WAN口IP地址访问DMZ区服务器时， 端口映射规则（DNAT）在LAN口生效。此类规则比较少见，属于端口映射的高级规则。

实验思考（有能力与时间可以学习）

当从DMZ其他服务器使用WAN口IP地址访问DMZ区服务器时，如果同样的方法，配置端口映射高级规则，能否生效？为什么？

答案：

不能生效。假设DMZ其他服务器IP地址是172.16.0.200

其原因如下图

思考：如何解决会话不一致的问题？

答案：

在AC转换DNAT的同时，也转一下SNAT，原理如下图

深信服设备操作方法，在新建端口映射高级规则的最后，钩选发布服务器即可。