1 需求分析

  • 用户防火墙作为出接口设备时,并且其公网地址是通过PPPoE拨号或者DHCP获取到的动态IP地址,如果内网服务器的服务需要映射到公网,就需要动态端口和域名做DDNS绑定,然后通过动态域名实现动态目的NAT映射。

2 网络拓扑

3 环境说明

  • 防火墙做为出口网关,出接口地址10.88.16.197(DHCP自动获取),对应有域名地址sjiang.f3322.net。
  • 内网终端服务器192.168.3.3开放FTP服务。
  • 内网服务器映射到公网地址的2121端口,外网拨入访问。

4 配置

【DDNS配置】

  • 先申请公网使用的域名,这个得自行备案申请,然后申请到域名在如下地方配置。
  • 网络–DDNS–新建。

  • 初始新建的时候,服务器名称不用配置,后续会自动生成,其他按照如上图指示配置即可。

【DNAT配置】

  • 对象–服务簿–服务–新建服务。

  • 网络–NAT–目的NAT–新建–高级配置。

  • 注意选择动态IP(物理端口)。
  • 然后策略–安全策略–策略–新建放行外到内的策略。

5 结果验证

  • CMD命令符telnet 域名加端口测试连通性正常。

  • 文件夹FTP 访问测试。

6 注意事项

  • 一些低版本动态IP(物理端口)不支持Web页面配置,因此需要将DNAT配置在命令行下输入,具体命令参照如下:
SG-6000# config
SG-6000(config)# nat
SG-6000(config-nat)# dnat from any to ipv4.ethernet0/7 service http trans-to 192.168.1.2 port 80 

config 进入全局配置模式nat进入NAT配置模式。
to ipv4.ethernet0/7 命令完整输入,ethernet0/7对应您外网拥有动态域名的公网出接口service http 代表映射出去的公网端口,可以在对象服务簿里自定义。
trans-to 192.168.1.2 IP地址对应内网服务器的IP地址。
port 8o , 80 端口对应内网服务器的真实可用的内网服务器端口注意新建映射后的公网端口时只选择目的端口即可,源端口不用配置注意DNAT配置完成之后,需要有一条策略放行。