双链路接入的华为防火墙，配置NAT Server，即端口映射

在头条写文章满一年了，发现一个规律，头条貌似不喜欢打码的图片，所以今天尝试一下不打码的图片，大家不要想歪了，之前写文章给图片打码，是为了保护客户的隐私和网络安全，比如说客户的IP地址，肯定必须打码，对吧？

好了，废话按下不表，先来看一下今天的不打码拓扑图：

如图所示，客户的内网网段是10.2.0.0/24，华为USG6330防火墙作为网关部署在网络边界处，并且接入了两条链路，都是固定IP的，一条50M，另一条100M，遗憾的是，两条都是电信线路，不知道当初是怎么考虑的，按常理来说，应该接入不同运营商的网络啊，免得一条光缆挖断，整个公司崩溃。

客户要求：无论是在内网还是在外网，都通过网址：ftp.mydomain.com来访问FTP服务器（内网IP：10.2.0.8）

华为防火墙的配置：

1、新建安全区域，虽然默认的Untrust区域其实也能满足客户的要求，但还是以客户的要求为目标吧，所以需要新建两个Untrust区域，分别对应两条IPS线路。

2、配置两个外网接口，这里不是真实的IP地址，所以不用打码了

3、配置内网接口的参数

4、配置安全策略，允许外网访问内网的FTP服务器，注意，内网同属trust区域，不必配置安全策略，默认允许访问。

5、为FTP服务器配置端口映射，即华为防火墙上的服务器映射功能。由于是两条链路，需要配置两条服务器映射的NAT策略，注意，FTP服务器默认21端口，为了安全起见，还是改个端口比较好。

域控服务器上的配置：

经过以上配置，在内网可以使用10.2.0.8这个IP地址来访问FTP服务器，在外网可以用1.1.1.1和2.2.2.2这两个IP来访问FTP服务器，要记住三个IP地址，实在不方便，而且笔记本电脑在内外网使用需要切换IP，更不方便，所以需要利用DNS来解决这个问题。

内网的话，只要在域控服务器上配置DNS，添加一条A记录即可，如下图所示：

也许有人会问：如果内网没有域控怎么办？答案是可以单独建立一个DNS服务器，然后再新建这条A记录就可以了。

域名注册商的DNS解析：

经过上面的配置，内网可以通过ftp.mydomain.com来访问FTP服务器了，而在外网，原理也是一样的，只不过，那条A记录，需要去域名注册商的管理后台做，两条固定IP的链路，就要做两条DNS解析（以阿里云为例），如下图所示：

遗憾的是，智能解析不支持摘除故障IP和自动切换的功效，如果需要实现故障自动转移的效果，只能开启全局流量管理功能，这个功能还不便宜呢，一年1000多块钱啊。