在实际的应用中很多的企业都会有这样的需求,公司的服务器在内网中,在路由器或者防火墙当中做端口或IP地址映射,这样直接访问公网的IP地址就可以访问到内部的服务器。但是很多企业管理员都希望在内网中也可以像公网一样直接输入公网的IP或域名就可以访问到公司的内部服务器。
 
        我实际应用中也遇到过很多这样的问题,在此我讲自己总结的几大厂商的做个总结在此给大家共享下:
 
1、H3C路由器以及防火墙
       实现方法:写一条ACL,源IP地址可以是一个主机地址或一个IP地址段,但是源IP地址不可以直接写成any。然后在路由器或者防火墙的内网接口上使用nat outbound   acl-number 这个时候你就可以在内网直接进行测试了。如果ACL没有写错的话,那你在内网就可以直接访问到服务器了。
 
2、华赛防火墙:
        实现方法:在防火墙中都有个untrust和trust区域,在华赛防火墙中做NAT的时候需要做一个NAT策略从哪个区域到哪个区域的数据流做什么样的动作等。在华赛防火墙中同样写一条NAT策略,但是这个策略是从trust到trust的。如下所示:
nat-policy zone trust
 policy 20
  action source-nat
  policy source 192.168.8.0 0.0.0.255
  address-group 10
即可完成上述问题。
 
3、JUNIPER防火墙:
       实现方法:JUNIPER防火墙可以说做的是比较人性化的。在你完成端口或主机的IP地址映射的时候,不需要做任何的操作直接在内网中输入公网IP地址就可以实现上述要求。
 
4、hillstone(山石网科)
        实现方法:山石网科也许继承JUNIPER防火墙的有点,虽然JUNIPER防火墙不需要改动什么就可以完成要求,但是在山石中我们也找到了要求。可以说也是一个比较人性化的东西。只要你在防火墙策略中加入一条从trust到trust以后就可以达到要求。
 
5、CISCO
       实现方法:对于思科的路由器我是很无语了,也是至今我都没有找到解决的办法。我在实际的工作中遇到过这样的问题,就是在内网中直接输入域名是可以访问你的,但是如果直接输入IP地址就访问不了。一直都没有想明白这到底是什么问题。如果有那位高人知道的话,还希望对小弟指点迷经。 anhui_wangyao@126.com这是小弟你的邮箱。希望高人指点!!!