一、流量拓扑模型
因互联网存储限制公网源地址访问,而分支节点网络也需要访问NAS存储,但是直接访问存储是没有办法访问的,所以说我们就需要通过总部节点的公网地址代理访问NAS服务器。所以我们这里就通过H3C F100-E-G2防火墙进行代理访问,因防火墙服务器负载均衡功能是需要license授权才可以开启,所以说我们通过DNAT和SNAT叠加进行双向NAT解决该问题,当然通过NAT策略也是同样实现该功能的,这里我们演示一下前者的技术方案,具体流量模型如下。
二、防火墙配置信息
1、命令行配置内容
#定义对象组
object-group ip address NAS
0 network host address 27.211.192.95
#
object-group service NAS_WEB
0 service tcp destination eq 55001
#
#接口配置
interface GigabitEthernet1/0/15
port link-mode route
ip address 10.100.0.222 255.255.255.0
ip last-hop hold
nat server protocol tcp global 10.100.0.222 55001 inside 27.211.192.95 55001 reversible rule DNAT_代理 counting description DNAT_代理
#
#定义NAT策略
nat policy
rule name SNAT_代理
description SNAT_代理
destination-ip NAS
service NAS_WEB
outbound-interface GigabitEthernet1/0/15
action address-group 1 port-preserved
#