基于策略路由的地址映射实现

基于策略路由的地址映射实现

贵州省黔东南州烟草公司物流中心

摘要:本文通过实际案例,介绍在单位互联网访问由上一级单位出口,本地防火墙外网流量出口地址为私网地址情况下,如何在本地添加外网线路,实现将单位内网服务器IP地址映射成公网地址,实现服务器对外开放访问权限。

关键词:静态路由;策略路由;地址转换;地址映射

当某些单位需要对外发布信息或业务系统,对外开放服务器访问权限时,可通过地址转换将服务器的内网IP地址映射成公网地址,实现用户在外网通过公网地址访问内部服务器资源。但在单位互联网访问由上一级单位出口,本地防火墙外网流量出口地址为私网地址情况下,如何实现地址映射呢?且看下面的案例。

本单位现有网络拓扑结构如图1所示,外网访问流量通过防火墙A再经过上一级单位防火墙B,由防火墙B统一出口,Eth1接口连接三层交换机,模式为交换,Eth2接口连接防火墙B,模式为路由,Eth3接口连接企业内部网,模式为路由。现单位需要服务器A对外发布信息,实现用户在外网通过公网地址访问该服务器资源。实现过程如下:

一、需求分析

1、由于本单位互联网出口不在本地,防火墙A地址为局域网地址,要实现将服务器A的内部IP地址映射成外网地址,可在本地添加一条外网线路,将运营商给定的本地公网地址作为映射所需外网地址,添加外网线路后的网络拓扑结构如图2所示。

2、要实现在外网通过公网地址与服务器A建立通讯,需服务器A通过新添加的外网线路与外网互联,即服务器A能通过新添加的外网线路访问到外网。

3、添加外网线路后,单位同时存在两条外网线路,由于原外网线路存在静态路由,服务器A要通过新添加的外网线路与外网互联,需添加策略路由。

4、服务器A通过新添加的外网线路与外网互联后,通过目的转换实现地址映射。

二、外网线路接入及外网互联

1、外网线路接入单位

电信运营商接入外网线路至该单位,给定本地公网地址及网关。

2、外网互联

通过防火墙实现外网互联。

2.1、外网线路接入防火墙

将运营商接入的外网线路接入天融信防火墙A的Eth4接口。

2.2、物理接口设置

web方式登录天融信防火墙,登录后在网络管理中添加物理接口Eth4接口,模式为路由,在路由模式中添加地址/掩码,地址为新线路运营商提供的公网IP地址219.×.×.×,掩码为255.255.255.0。

2.3、定义区域

将Eth4定义为外网2区域。

2.4、添加主机

将服务器A内网IP地址添加入主机,名称为服务器A,

2.5、配置地址转换

添加地址转换,转换类型为源转换,源为主机服务器A,目的为外网2区域,源地址转换为Eth4[属性]。

2.6、添加策略路由表

添加一条属性为global的策略路由表,在新添加的策略路由表下添加路由条目,添加一条源地址为服务器A的内网IP地址,源掩码为255.255.255.255,目的地址和目的掩码均为0.0.0.0,网关为运营商给定网关,接口为Eth4接口的路由条目。

至此,服务器A可通过Eth4接口访问外网,即通过新添加的外网线路访问外网。

三、配置地址映射

添加源为任意,目的地址为Eth4,目的地址转换对象为主机服务器A的目的转换。基于网络安全考虑,此处只开放服务器对外发布信息所需服务,如只开放http服务,即只开放80端口。为强化安全策略,还可将目的端口转换为自定义端口。

至此,地址映射配置完成,用户在外网可通过公网地址(Eth4接口地址)访问到单位服务器A。

四、结束语

本文结合本单位案例,介绍了在单位互联网访问由上一级单位出口,本地防火墙外网流量出口地址为私网地址情况下,如何通过天融信防火墙添加外网线路,如何基于策略路由实现地址映射,以供参考。

标签:;  ;  ;  

基于策略路由的地址映射实现
下载Doc文档

猜你喜欢