华为静态NAT PAT配置(内部通过外网地址访问内部服务器问题)

### 华为静态NAT PAT配置详解 #### 组网需求与目标 本文将详细介绍如何在华为设备上配置静态NAT PAT（网络地址转换与端口地址转换），以解决内部用户通过运营商提供的域名访问内部服务器的问题。具体需求如下： 1. **内部用户**能够通过运营商提供的**域名**访问内部服务器，如WWW、FTP等服务。 2. 假设内部服务器的域名分别为`www.fuwu.com`和`ftp.fuwu.com`。 #### 配置实例解析 ##### 1. 系统基本信息与配置 - **系统名称**: `Quidway` - **防火墙设置**: 允许默认数据包过滤，并开启统计功能。 - **连接限制**: 设置默认连接限制，上限为50，下限为20。 ##### 2. NAT DNS Mapping配置 - 使用`nat dns-map`命令进行域名映射，将域名指向内部服务器的实际IP地址。 - `www.fuwu.com` 映射到 `10.153.49.212`，端口为80。 - `ftp.fuwu.com` 映射到 `10.153.49.212`，端口为21。 ##### 3. 接口配置 - **Eth0/0**: 内部网络接口，IP地址为`172.16.2.1/24`。 - **Eth1/0**: 外部网络接口，IP地址为`10.153.49.193/22`，并配置了NAT outbound。 - **Eth1/2**: DMZ区域接口，IP地址为`172.16.1.1/24`。 ##### 4. ACL与NAT Server配置 - **ACL 2000**: 允许来自`172.16.0.0/16`网段的所有流量。 - **NAT Server**: 配置了内部服务器的NAT Server规则，将外部IP地址`10.153.49.212`端口80和21映射到内部服务器的IP地址`172.16.1.2`对应的端口。 ##### 5. 防火墙区域配置 - **Local Zone**: 优先级100。 - **Trust Zone**: 包含内部网络接口`Eth0/0`，优先级85。 - **Untrust Zone**: 包含外部网络接口`Eth1/0`，优先级5。 - **DMZ Zone**: 包含DMZ区域接口`Eth1/2`，优先级50。 ##### 6. 路由配置 - 默认路由指向`10.153.48.1`，优先级为60。 #### 配置说明 - **域名访问限制**: 配置完成后，内部用户只能通过域名访问服务器，而不能再使用公网IP地址访问。 - **真实域名需求**: 必须有一个真实的公网可访问域名，该域名是由运营商提供的，使得公网用户也能通过此域名访问内部服务器。 - **多方式访问限制**: 目前，在华为SecPath防火墙上暂不支持同时使用域名、公网IP地址和私网地址访问内部服务器的需求。 #### 实现方案 针对上述需求，有两种实现方法： 1. **R002版本支持**: 如果设备运行的是R002及以上版本，可以直接支持NAT DNS Mapping功能。 2. **规避方案**: 对于早期版本不支持NAT DNS Mapping的情况，可以采用以下方法进行规避： - 在外部接口上模拟一个公网IP地址作为NAT Server，内部用户可以通过该地址访问内部服务器。 - 例如，将内部服务器的IP地址`10.153.98.150`通过模拟的公网IP地址`1.0.0.3`进行NAT Server映射。 - 内部客户端通过内部地址`2.0.0.2`或模拟的公网地址`1.0.0.3`访问内部服务器。 #### 总结 本文详细介绍了如何在华为设备上配置静态NAT PAT，以实现内部用户通过运营商提供的域名访问内部服务器的目标。通过以上配置步骤，不仅可以满足基本的网络需求，还能够有效地控制内部流量的出入，确保网络安全稳定运行。对于不同版本的华为设备，提供了相应的解决方案，以便更好地适应各种网络环境。