业务需求,需要将内网服务器上的应用映射到公网上,方便公网访问。
- 目标:开放内网服务器
192.168.1.10的 20000~20300 TCP端口范围 - 公网接口:
GigabitEthernet0/0/1 - 公网地址:
1.1.1.1
华为防火墙配置
方法一:nat static 批量映射(需 V2R9+)
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
nat static protocol tcp global current-interface 20000 20300 inside 192.168.1.10 20000 20300 netmask 255.255.255.255
方法二:nat server + ACL
acl number 3000
rule 5 permit tcp destination-port range 20000 20300
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
nat server global current-interface inside 192.168.1.10 acl 3000
删除配置
undo nat static protocol tcp global current-interface 20000 20300 inside 192.168.1.10 20000 20300 netmask 255.255.255.255
华三防火墙配置
批量映射:nat server
interface GigabitEthernet0/0/1
port link-mode route
combo enable copper
ip address 1.1.1.1 255.255.255.0
nat server protocol tcp global current-interface 20000 20300 inside 192.168.1.10 20000 20300 rule 1 description 内网服务器映射
删除配置
undo nat server protocol tcp global current-interface 20000 20300
对比总结
| 厂商 | 批量端口映射方式 | 单端口映射方式 | 删除命令 |
|---|---|---|---|
| 华为 | nat static(需 V2R9+)或 nat server+ACL |
nat server |
undo nat static ... |
| 华三 | nat server(直接支持批量) |
nat server |
undo nat server ... |
操作注意事项
- 版本检查:华为需确认系统版本是否支持
nat static批量映射。 - 公网地址数量:若仅有一个公网地址,推荐使用
nat server单端口映射。 - 优先级控制:华三
ruleID 范围1~63,数值越小优先级越高。 审计交付:交付文档需明确:
- 使用的 NAT 类型(static / server)
- 端口范围
- 删除命令