SANGFOR_AD_6.4_端口映射配置指导.pdf

1、深 信 服 公 司 版 权 所 有 第 1页 ， 共 8页SANGFOR_AD_6.4_端 口 映 射 配 置 指 导深 信 服 科 技 有 限 公 司文 档 编 号 审 核修 订 记 录版 本 时 间 修 订 内 容1.0 2016年 7月配 置 指 导 文 档深 信 服 公 司 版 权 所 有 第 2页 ， 共 8页目 录1 介 绍 .31.1 文 档 说 明 .31.2 读 者 对 象 .31.3 使 用 反 馈 .32 应 用 场 景 .33 WAN-LAN的 端 口 映 射 44 LAN-LAN的 端 口 映 射 55 注 意 事 项 .8配 置 指 导 文 档深 信 服 公 司 版

2、 权 所 有 第 3页 ， 共 8页1 介 绍1.1 文 档 说 明本 文 档 深 信 服 公 司 及 其 许 可 者 版 权 所 有 ， 并 保 留 一 切 权 利 。 未 经 本 公 司 书 面 许 可 ， 任 何 单 位 和个 人 不 得 擅 自 摘 抄 、 复 制 本 书 内 容 的 部 分 或 全 部 ， 并 不 得 以 任 何 形 式 出 版 传 播 。由 于 产 品 版 本 升 级 或 其 他 原 因 ， 本 手 册 内 容 有 可 能 变 更 。 深 信 服 保 留 在 没 有 任 何 通 知 或 者 提 示的 情 况 下 对 本 手 册 的 内 容 进 行 修 改 的 权 利

3、 。 本 手 册 仅 作 为 使 用 指 导 ， 深 信 服 尽 全 力 在 本 手 册 中 提 供准 确 的 信 息 ， 但 是 并 不 确 保 手 册 内 容 完 全 没 有 错 误 。1.2 读 者 对 象本 配 置 指 导 文 档 主 要 适 用 于 如 下 工 程 师 ： 网 络 或 应 用 管 理 人 员 现 场 技 术 支 持 与 维 护 人 员 负 责 网 络 配 置 和 维 护 的 网 络 管 理 员1.3 使 用 反 馈如 果 您 在 使 用 过 程 中 发 现 本 资 料 的 任 何 问 题 ， 欢 迎 及 时 反 馈 给 我 们 ， 可 以 通 过 反 馈 到 深 信

4、服 技术 社 区 ： 感 谢 您 的 支 持 与 反 馈 ， 我 们 将 会 做 的 更 好 ！2 应 用 场 景由 于 公 网 IP匮 乏 ， 或 出 于 安 全 因 素 ， 企 业 内 网 常 常 都 是 采 用 私 有 IP规 划 自 身 的 网 络 ， 而 如 果 内网 有 服 务 器 需 要 让 公 网 用 户 正 常 访 问 ， 而 私 有 IP是 不 为 公 网 用 户 访 问 到 的 ， 这 时 候 ， 就 需 要 在 网 络出 口 （ 有 公 网 IP） 上 做 端 口 映 射 ， 以 达 到 该 需 求 。 该 文 档 主 要 讲 述 当 我 们 深 信 服 AD设 备 作

5、 为 网 络 出口 时 设 备 上 的 端 口 映 射 怎 么 配 置 来 达 到 客 户 访 问 需 求 。配 置 指 导 文 档深 信 服 公 司 版 权 所 有 第 4页 ， 共 8页3 WAN-LAN的 端 口 映 射案 例 ： 现 在 AD设 备 网 关 模 式 部 署 ， WAN口 地 址 为 202.96.137.75， 局 域 网 内 部 有 一 台 IP为192.168.100.250的 服 务 器 要 对 外 网 提 供 80端 口 的 web服 务 ， 现 在 外 网 的 用 户 想 要 通 过 访 问 AD的 WAN口 地 址 来 访 问 内 网 的 服 务 器 80端

6、 口 的 web服 务 。配 置 方 法 及 截 图 ：配 置 一 条 入 接 口 为 设 备 外 网 口 的 端 口 映 射 ， 具 体 配 置 说 明 如 下 ： 名 称 用 于 设 置 该 端 口 映 射 规 则 的 名 称 。 状 态 用 于 设 置 “ 启 用 ” 或 “ 禁 用 ” 该 端 口 映 射 规 则 。 类 型 用 于 设 置 该 端 口 映 射 规 则 的 类 型 ， 可 以 选 择 IPv4或 IPv6。 入 接 口 用 于 设 置 发 布 内 网 服 务 的 接 口 。 此 处 设 置 为 设 备 的 外 网 口 WAN口 。配 置 指 导 文 档深 信 服 公 司

7、 版 权 所 有 第 5页 ， 共 8页 源 IP符 合 条 件 用 于 设 置 一 个 IP范 围 ， 当 访 问 数 据 的 源 IP符 合 该 条 件 时 ， 匹 配 该 端 口 映 射 规 则 。此 处 设 置 为 所 有 IP地 址 。 目 的 IP符 合 条 件 用 于 设 置 一 个 IP地 址 或 IP地 址 段 ， 当 访 问 数 据 的 目 标 IP地 址 符 合 该 条 件 时 ， 匹配 该 端 口 映 射 规 则 。 此 处 设 置 为 设 备 的 公 网 地 址 202.96.137.75。 指 定 协 议 用 于 设 置 局 域 网 服 务 器 所 发 布 的 服

8、务 。 此 处 设 置 为 TCP协 议 ， 源 端 口 范 围 选 择 0 ， 代表 所 有 的 端 口 ， 目 的 端 口 范 围 选 择 80。 需 要 注 意 的 是 源 接 口 范 围 要 选 0代 表 公 网 的 所 有 源 接 口 ， 如果 将 这 个 源 端 口 写 成 指 定 端 口 ， 可 能 会 导 致 端 口 映 射 访 问 不 通 等 问 题 ， 因 为 一 般 应 用 发 起 的 端 口 都是 随 机 的 。 映 射 目 的 IP地 址 用 于 设 置 局 域 网 发 布 服 务 的 服 务 器 地 址 。 此 处 设 置 为 192.168.100.250。 映

9、射 目 的 端 口 范 围 用 于 设 置 发 布 的 服 务 器 端 口 。 可 不 填 写 ， 不 配 置 时 ， 默 认 与 目 的 端 口 范 围 保持 一 致 。 此 处 可 设 置 为 80或 者 不 设 置 与 上 面 的 目 的 端 口 范 围 80保 持 一 致 。4 LAN-LAN的 端 口 映 射案 例 ： AD设 备 网 关 模 式 部 署 ， WAN口 地 址 为 202.96.137.75， 内 网 有 一 台 IP为 192.168.100.250的 服 务 器 对 外 网 提 供 80端 口 的 web服 务 ， 现 在 内 网 的 一 个 网 段 172.10

10、0.100.0/24的 电 脑 要 通 过 AD的公 网 地 址 来 访 问 内 网 服 务 器 的 web服 务 。配 置 方 法 及 截 图 ：1.先 配 置 一 个 入 接 口 是 外 网 口 的 端 口 映 射 ， 勾 选 发 布 服 务 器 ， 入 接 口 包 含 lan口 ， 具 体 配 置 说 明 如下 ：配 置 指 导 文 档深 信 服 公 司 版 权 所 有 第 6页 ， 共 8页 名 称 用 于 设 置 该 端 口 映 射 规 则 的 名 称 。 状 态 用 于 设 置 “ 启 用 ” 或 “ 禁 用 ” 该 端 口 映 射 规 则 。 类 型 用 于 设 置 该 端 口

11、映 射 规 则 的 类 型 ， 可 以 选 择 IPv4或 IPv6。 入 接 口 用 于 设 置 发 布 内 网 服 务 的 接 口 。 此 处 设 置 为 设 备 的 外 网 口 WAN口 ， 并 勾 选 发 布 服 务 器 入接 口 同 时 包 含 所 有 LAN口 。 源 IP符 合 条 件 用 于 设 置 一 个 IP范 围 ， 当 访 问 数 据 的 源 IP符 合 该 条 件 时 ， 匹 配 该 端 口 映 射 规 则 。此 处 设 置 为 所 有 IP地 址 。 目 的 IP符 合 条 件 用 于 设 置 一 个 IP地 址 或 IP地 址 段 ， 当 访 问 数 据 的 目

12、标 IP地 址 符 合 该 条 件 时 ， 匹配 该 端 口 映 射 规 则 。 此 处 设 置 为 设 备 的 公 网 地 址 202.96.137.75。 指 定 协 议 用 于 设 置 局 域 网 服 务 器 所 发 布 的 服 务 。 此 处 设 置 为 TCP协 议 ， 源 端 口 范 围 选 择 0 ， 代表 所 有 的 端 口 ， 目 的 端 口 范 围 选 择 80。 需 要 注 意 的 是 源 接 口 范 围 要 选 0代 表 公 网 的 所 有 源 接 口 ， 如果 将 这 个 源 端 口 写 成 指 定 端 口 ， 可 能 会 导 致 端 口 映 射 访 问 不 通 等

13、问 题 。配 置 指 导 文 档深 信 服 公 司 版 权 所 有 第 7页 ， 共 8页 映 射 目 的 IP地 址 用 于 设 置 局 域 网 发 布 服 务 的 服 务 器 地 址 。 此 处 设 置 为 192.168.100.250。 映 射 目 的 端 口 范 围 用 于 设 置 发 布 的 服 务 器 端 口 。 可 不 填 写 ， 不 配 置 时 ， 默 认 与 目 的 端 口 范 围 保持 一 致 。 此 处 可 设 置 为 80或 者 不 设 置 与 上 面 的 目 的 端 口 范 围 80保 持 一 致 。2.然 后 配 置 一 条 lan口 的 源 地 址 转 换 ，

14、把 内 网 的 用 户 电 脑 网 段 转 换 成 设 备 lan口 的 地 址 去 访 问 服 务器 ， 让 服 务 器 能 把 数 据 包 回 给 AD设 备 ， 保 证 数 据 来 回 路 径 一 致 。 具 体 配 置 说 明 如 下 ： 规 则 名 称 用 于 定 义 NAT规 则 的 名 称 ， 建 议 使 用 便 于 标 识 的 文 字 。 状 态 用 于 设 置 “ 启 用 ” 或 “ 禁 用 ” 该 端 口 映 射 规 则 。 类 型 用 于 设 置 该 端 口 映 射 规 则 的 类 型 ， 可 以 选 择 IPv4或 IPv6。配 置 指 导 文 档深 信 服 公 司 版

15、 权 所 有 第 8页 ， 共 8页 出 接 口 用 于 选 择 数 据 的 输 出 网 口 ， 选 择 指 定 网 口 则 该 规 则 只 会 从 对 应 接 口 出 去 的 数 据 包 进行 匹 配 。 此 处 设 置 为 设 备 的 内 网 口 LAN口 。 源 IP地 址 用 于 填 写 需 要 进 行 源 地 址 转 换 的 网 段 ， 此 处 设 置 为 指 定 地 址 网 段 172.100.100.0， 掩码 为 255.255.255.0。 目 标 IP地 址 转 换 条 件 用 于 设 置 目 标 条 件 ， 当 数 据 包 中 的 目 标 IP匹 配 此 条 件 时 进

16、行 地 址 转 换 ， 可以 选 择 所 有 目 标 IP地 址 ， 也 可 以 选 择 指 定 目 标 地 址 网 段 设 置 一 段 指 定 的 IP地 址 。 此 处 设 置 为 服务 器 地 址 192.168.100.250， 掩 码 为 255.255.255.255。 协 议 转 换 条 件 用 于 设 置 协 议 条 件 ， 当 数 据 包 中 的 协 议 满 足 此 条 件 时 进 行 地 址 转 换 ， 选 择 所 有协 议 ， 代 表 所 有 的 协 议 ， 选 择 指 定 协 议 类 型 用 于 设 置 特 定 的 协 议 类 型 及 端 口 。 此 处 设 置 为 T

17、CP协议 ， 源 端 口 范 围 为 0， 代 表 所 有 端 口 ， 目 的 端 口 范 围 为 80。 转 换 源 IP地 址 为 指 定 一 段 IP范 围 ， 用 于 指 定 将 源 IP转 换 成 的 IP地 址 范 围 ， 此 处 设 置 为 使 用 网 口地 址 ， 也 就 是 转 换 成 设 备 LAN口 地 址 。 转 换 策 略 用 于 设 置 源 IP地 址 转 换 条 件 ， 一 般 使 用 默 认 的 源 IP和 目 的 IP哈 西 即 可 。5 注 意 事 项1.端 口 映 射 的 匹 配 规 则 从 列 表 由 上 到 下 匹 配 。2.做 lan-lan的 端 口 映 射 时 注 意 要 记 得 配 置 lan口 的 源 地 址 转 换 。 把 内 网 的 源 地 址 用 户 电 脑 网 段 转 换成 设 备 lan口 地 址 去 访 问 服 务 器 ， 让 服 务 器 能 把 数 据 包 回 给 AD设 备 ， 保 证 数 据 来 回 路 径 一 致 。3.AD设 备 中 端 口 映 射 优 先 级 低 于 虚 拟 服 务 。 如 果 服 务 端 口 同 时 存 在 虚 拟 服 务 和 端 口 映 射 ， 以 虚 拟 服务 的 配 置 为 准 。