最近發現生產上的服務器有些接口是走***的,有些是走專線的,現在又有些業務要訪問外網,所以面臨了幾個問題要解決:
N臺服務器只能通過一個外網IP上網;
N臺服務器源地址訪問專線只能共用一個IP;
走***的和走外網的並存,要求兩者都能訪問;
保證這些服務器的安全問題;
目前公司的環境是通過防火牆連接所有的訪問區域,包括Outside,inside,***和專線,防火牆是cisco5525,版本信息是8.6,8.4以上的版本配置都有所改變。
針對第1個問題的配置方法:
object network 10.10.12.1-4nat
host 111.1.1.122
object network 10.10.12.1-4host
range 10.10.12.1 10.10.12.4
nat(inside,outside)dynamic 10.10.12.1-4nat
針對第2個問題的配置方法:
object network 10.10.12.1-4zhuanxian
host 111.1.1.1
object network 10.10.12.1-4host
range 10.10.12.1 10.10.12.4
nat(inside,zhuanxian)dynamic 10.10.12.1-4zhuanxian
針對第3個問題的配置方法:
object network no-nat-inside
range 10.10.12.1 10.10.12.4
object network no-nat-outside
host 172.18.201.201 (注:這個是***要連的外部IP)
nat (inside,outside) source static no-nat-inside no-nat-inside destination static no-nat-outside no-nat-outside
針對第4個問題解釋一下:
爲保證服務器的安全,只需把要訪問的端口映射出去即可。