拓扑图示意:
网关设备juniper 550M,
untrust 区: 公网地址段22.22.22.22/29
trust区: 内部员工PC地址:172.16.4.x /24
trust区: server区地址:172.16.2.x
对外部 映射 22.22.22.23 80port -> 内部 172.16.2.10 80port
问题:
内部员工无法訪问 http://22.22.22.23 。但在非公司线路訪问正常。
解决方案:
在内部接口做静态路由。由于内部员工和server是在“同一区域”,所以还须要在静态路由的基础上添加下一跳地址(一般为内部交换机接口IP)
1、添加要訪问公网地址22.22.22.23静态,走内部 trust区。下一条地址为核心三层交换机地址
CLI方式:
set route 22.22.22.23/32 interface ethernet0/0 gateway 172.16.3.2
GUI界面下设置方式为:
2、加入trust到trust策略 ,并做NAT转换
CLI方式:
set policy id 50 from "Trust" to "Trust" "Any" "22.22.22.23/32" "HTTP" nat src dst ip 172.16.2.10 port 80 permit log set policy id 50 exit
GUI界面下设置方式为:
设置完毕。
在员工区測试訪问 http://22.22.22.23 是实际訪问到 http://172.16.2.10