防火墙USG6320 如何将服务器映射到公网（全域总共就1个公网地址）

深蓝之郁

首先，感谢各位朋友！
一直学思科，但是实际工作中是华为的。
拓扑很简单，USG 6320做为网关，下面接一些傻瓜TP LINK 二层交换机。
USG的接口做DHCP，地址select interface。
图如下：
接交换机的每一个接口都是一个security zone，已经用security policy放行每一个zone去untrust的outbound流量。
公网地址只有一个，配在接口0/0/7。
目前所有用户可以NAT上公网。
需求就是将1台服务器映射出去：
1.这台服务器是一个台式机，上面运行了一个FTP程序Serv-U,，目前内网访问该FTP服务器是通过浏览器http://172.16.1.251:8080 方式访问的该服务器FTP资源。
2. 因为DHCP保留了地址，FTP服务器的内网地址是一个固定IP地址。
3. 在USG6320上如何做NAT可以在外网访问到该服务器的FTP资源？
4. 在这个案例中，DMZ区域是必须的吗？一定要将服务器单独放到dmz区域？
5. “在security zone间和security zone内分别配置NAT ALG功能，使服务器可以正常提供FTP服务（命令如下）“——这一步是必须的吗？。
[USG] firewall interzone dmz untrust
[USG-interzone-dmz-untrust] detect ftp
[USG-interzone-dmz-untrust] quit
[USG] firewall zone dmz
[USG-zone-dmz] detect ftp
[USG-zone-dmz] quit

深蓝之郁

太简单没人愿意鸟？

Rockyw

这个要做NAT，你找找对应设备相关的教程看看

深蓝之郁

Rockyw 发表于 2016-11-19 21:49
这个要做NAT，你找找对应设备相关的教程看看

肯定是NAT，您看看我全局就1个公网地址，untrust区域就加了1个口，能否满足我上面的需求？

reddul_1

thanks a lot !@#

jesiy

在防火墙上做一个静态端口映射就可以了。具体技术参数可以咨询华为售后。

Rockyw

深蓝之郁 发表于 2016-11-20 07:59
肯定是NAT，您看看我全局就1个公网地址，untrust区域就加了1个口，能否满足我上面的需求？

像六楼说的查一下使用手册看看

乔治的恐龙

web界面里有个映射选项里，可以映射出去

a908569749

一般
全局：
nat enable
内网接口：
nat inside
外网接口：
nat outside

不同厂家可能略微不同，但是基本都这样，大家nat都做的很简单- -，用用问号就知道了