集美网年后一直在折腾一个带项目,服务器那是一个柜一个柜的上,目前上了10个机柜,总共上20个,反正到现在还没上完。这堆服务器托管在运营商数据中心机房,第三方公司负责日常运维。当初这个第三方公司为了提高业绩,给了我们一个优惠:租一个机柜送2个公网IP+100M带宽。
老板很高兴啊,可以白嫖这么多公网IP,按照之前的网络规划,所有服务器都是要上公网IP的(有钱),这么多服务器下来一个月租金可不少啊,一个柜送2个能省不少了。
作为一名合格的打工人,我瞬间就想到了一个更省钱的办法:一个机柜的服务器用一个公网IP做NAT上网,另一个IP提供远程访问连接内网服务器。买个防火墙啥的配置一下,这不比额外租IP省钱?
这个想法用H3C-F100-A3这款防火墙是完全可以实现的(便宜啊),最终也实现了,实现的过程中遇到不少坎坷就不一一叙述,拿来水一篇文章做个记录
以下是简化版的业务架构,意思意思一下
业务需求:
机柜A内的服务器使用公网IP 1.1.1.1上网
机柜B内的服务器使用公网IP 1.1.1.2上网
机柜C内的服务器使用公网IP 1.1.1.3上网
远程连接使用公网IP 1.1.1.4:50000-50010连接内网服务器,一个端口号对应一台内网服务器
-
Web登录步骤
a. 用网线将PC和防火墙上的管理口相连。
b. 将PC的IP地址设置为与设备IP地址在同一个网段。
c. 在PC上启动浏览器,在浏览器的地址栏中输入“https://192.168.0.1” 进入Web登录页面
用户名:admin
密码:admin -
配置接口IP地址
安全域说明:上联外网交换机的端口为untrust,下联局域网的端口为trust
修改默认管理地址(随意,不改也行)
为内外网端口分别配置IP
-
配置安全策略
-
添加静态路由
-
配置DHCP
地址池选项内要添加DNS配置
-
配置IP地址对象组(配置内容以实际为主)
-
配置ACL
-
配置NAT策略
-
外网访问内网配置
安全策略要加一条untrust到trust
