SANGFOR--AF-6.8-目的地址转换&双向地址转换配置指导

深信服公司版权所有页，共11页SANGFOR__AF_6.8_目的地址转换&双向地址转换配置指导深信服科技有限公司文档编号审核修订记录版本时间修订内容1.02016年7月配置指导文档深信服公司版权所有页，共11页目录1介绍...............................................................................................................................................................31.1文档说明...........................................................................................................................................31.2读者对象...........................................................................................................................................31.3缩写和约定.......................................................................................................................................31.4使用反馈...........................................................................................................................................32功能简介.......................................................................................................................................................33应用场景.......................................................................................................................................................44必要条件说明...............................................................................................................................................45配置思路.......................................................................................................................................................56配置方式及截图...........................................................................................................................................56.1确认需求...........................................................................................................................................56.2目的地址转换配置方法及验证方法...............................................................................................56.3双向地址转换配置方法及验证方法...............................................................................................97注意事项.....................................................................................................................................................11配置指导文档深信服公司版权所有页，共11页1介绍1.1文档说明本文档深信服公司及其许可者版权所有，并保留一切权利。未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式出版传播。由于产品版本升级或其他原因，本手册内容有可能变更。深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。1.2读者对象本配置指导文档主要适用于如下工程师：网络或应用管理人员现场技术支持与维护人员负责网络配置和维护的网络管理员1.3缩写和约定本文中AF均指代SANGFORNGAF设备或服务。1.4使用反馈如果您在使用过程中发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术社区：bbs.sangfor.com.cn感谢您的支持与反馈，我们将会做的更好！2功能简介目的地址转换的作用是将一组本地内部的地址映射到一组全球地址;双向地址转换是为了满足服务器没有公网地址的情况下，内网用户使用公网地址，去访问内网的服务器出出来的解决方法。配置指导文档深信服公司版权所有页，共11页3应用场景目的地址转换和双向地址转换拓扑，如下图：远程应用发布的应用场景：内网服务器需要对外提供服务。4必要条件说明1.NGAF设备一台，要求有一个外网接口并且接上有公网地址，保证AF本身能上网。2.在配置IPv4地址转换的情况下，内网接PC电脑或者服务器必须有一个路由口。3.使用目的地址转换和双向地址转换的时候，要保证AF能与服务器的端口进行通信，具体验证方法：【系统维护】—【命令行控制台】使用telnet命令进行测试。配置指导文档深信服公司版权所有页，共11页5配置思路1.目的地址转换：外网用户通过AF外网接口的公网ip访问内网的服务器。2.双向地址转换：内网用户需要通过公网地址访问内网的服务器。6配置方式及截图6.1确认需求首先了解内网需求在【防火墙】模块里面选择对应的地址转换功能，如下图：6.2目的地址转换配置方法及验证方法1.选择【目的地址转换】源区域为内网区域，目的IP为30.30.30.1，协议为TCP80端口，目的地址转换为指定IP20.20.20.20端口不转换，具体配置如下：配置指导文档深信服公司版权所有页，共11页此次测试环境为内网区域用户访问DMZ区域的服务器，内网用户通过访问30.30.30.1:80访问20.20.20.20这台服务器，所以源区域为内网区域。2.配置完成之后，可以在【系统维护】—【命令行控制台】测试AF与服务器的端口连通性，如下图：配置指导文档深信服公司版权所有页，共11页3.AF与防火墙通信没有问题之后，可以使用【系统维护】—【抓包取证】进行抓包验证，源地址转换是否成功，具体配置如下图：4.访问，同时抓DMZ接口（eth3），以测试PC源地址30.30.30.10端口为80为条件抓包，如下图：访问网站：配置指导文档深信服公司版权所有页，共11页设置抓包条件：5.测试PC访问完之后，在抓包验证选择停止抓包，然后下载数据包检查数据包内容，如下图：配置指导文档深信服公司版权所有页，共11页在数据包内容中可以看到地址转换成功了。6.3双向地址转换配置方法及验证方法1.选择【目的地址转换】源区域为内网区域，目的区域为外网区域，目的ip为40.40.40.1，协议为TCP80端口，源地址转换为出接口IP，目的地址转换为指定IP20.20.20.20端口不转换，具体配置如下：配置指导文档深信服公司版权所有页，共11页2.配置完成之后，需要测试AF与服务器的端口连通性（验证方法参考目的地址转换），访问，同时抓DMZ接口（eth3），以服务器IP20.20.20.20端口为80为条件抓包，如下图：设置抓包条件：配置指导文档深信服公司版权所有页，共11页3.测试PC访问完之后，在抓包验证选择停止抓包，然后下载数据包检查数据包内容，如下图：双向地址转：当内网用户访问外网接口IP的时候，在外网接口是抓不以数据包的，只能在DMZ接口抓包，确认地址转换成功了没有。7注意事项1.AF要与服务器发布的端口能通信，而不是只要AF能ping通服务器就行。2.确保运营商对映射出来的端口没有做封堵，验证方法可以在AF的外网接口抓包，看测试的源ip地址发起请求的数据包有没有到达外网接口。3.双向地址转换会把源ip和目的ip都会替换，所以在服务器区域的抓包条件只能选择服务器地址。