SonicWALL解决通过Site2Site的IPsec ×××发布服务器问题
 
由于没有实验设备,所以没办法将配置截图贴出来了,只有讲下过程,希望大家批评指正!如果有有的产品可以实现,也请兄弟们给个方法.
 
用户环境及需求
 
  情景1:用户有两个独立的网络,其中网络A有固定IP—— 1.1.1 .1/24连接Internet,其内网为192.168.1.1/24,网络B为动态IP连接Internet,其内网为192.168.2.1/24,通过SonicWALL防火墙建立×××隧道实现两个网络间的互相通讯。现需要把位于网络B的服务器192.168.2.254/24发布到Internet以提供http访问。通过网络A网关处的SonicWALL防火墙设备做NATPAT)可实现1.1.1.1192.168.2.254的映射。
  情景2:用户有两个独立的网络,其中网络A有两条固定IP链路连接Internet,分别是电信链路,IP 2.2.2 .2/24;网通链路,IP1.1.1.1/24。网络B有一固定IP3.3.3.3/24的到电信的Internet链路(网络B如果为动态IP,与情景1类似;如果为网通固定IP,与电信固定IP情景类似)。提供http服务的服务器位于网络B,在网络B网关处做NAT可实现Internet到该服务器的访问。但网通用户到该服务器的访问较慢,为解决此问题,可将网络A的网通链路与网络B的服务器做关联和映射,解决此问题。
 
实施步骤
 
网络ABInternet的访问
分别配置网络AB网关处的SonicWALL设备的网络参数,比如WAN口的IP、掩码,网关(下一跳)、DNS等类似参数。配置LAN口参数,以便与内部实际网络相符合。此时网络AB已经可以访问InternetSonicWALL默认已经配置好NAT及防火墙规则。
 
网络AB建立IPsec ×××隧道
在网络AB间建立Site2Site×××,注意将相关参数一致和匹配就可以。这时,网络A和网络B间的内网可以互相访问。
 
网络ANAT×××侧服务器
许多其他厂商无法提供此功能。现将SonicWALL的解决方法提供如下。建一条NAT策略,源地址为any(代表Internet上的任意可能到来的访问请求——可根据实际需要修改),源地址转换成网络A内网的一个(组)IP地址(该(组)IP可以访问网络B的服务器),目的地址为网络A的一个公网地址(此地址将与网络B的服务器地址做地址(端口)映射),目的地址转换成网络B的服务器IP。做好此NAT策略后,还需要建一条防火墙规则,以允许外部来的对服务器的访问,选择zone时,选择从WAN×××(因为服务器位于×××zone,而不是传统的DMZLAN),允许从外来的访问即可。
 
总结
本方案主要解决广大中国客户面临的动态IP和电信网通互连互通时的服务器发布问题。据了解,许多友商产品还不能很好的解决此问题。