今天我们的一个客户正在安装一个新的 PBX,他们要求我们给他们一个我们未使用的公共 IP 地址(Comcast 是 ISP,有一个 IP 块)以用于 PBX。此外,本地网络(LAN 子网)上的电话将需要一个专用 IP 地址,以便 PBX 连接到它。最后,他们希望 PBX 位于 DMZ 中,而不是位于防火墙后面。
为了澄清,我需要将 sonicwall 配置为:
实现这一目标的最佳方法是什么?
在这种情况下,您应该将您的 PBX 设备放在 DMZ 区域,为其分配一个私有 IP 地址,然后创建一个入站访问规则和一个入站一对一 NAT 策略,用于访问您的公共 IP 地址的公共/互联网流量得到转换/转发到 PBX 设备。
具体来说,您可以执行以下操作:
将您的 PBX 放置在 SonicWall 设备的 DMZ 区域/接口中。您需要提前配置此 DMZ 区域/接口。DMZ 接口和驻留在此 DMZ 区域中的主机/服务器应使用与您的 LAN 区域/网络不同的 IP 子网/范围。例如,您的 LAN 使用 10.0.0.0/24,那么您应该使用 172.16.1.0/24 作为 DMZ 接口。
为 172.16.1.0/24 子网中的 PBX 设备分配 IP 地址。例如,172.16.1.10 用于设备,而 172.16.1.1 用于 DMZ 接口(这也是 PBX 设备的默认网关)。
此时,您可以在 SonicWall 上为 LAN 区域中的主机/电话创建规则和策略,以访问 DMZ 区域中的此 PBX 设备。
要使公共网络通过 WAN 公共 IP 地址(不同于您的 SonicWall WAN 接口)访问此 PBX 设备,您需要为入站流量创建访问规则和一对一 NAT 策略。让我们假设您的公共 IP 范围为 12.34.56.0/28,您的 ISP 设备使用 12.34.56.1,您的 SonicWall WAN 接口使用 12.34.56.2,并且您保留 IP 12.34.56.5 作为 PBX 的面向公众的 IP 地址设备。那么您的一对一 NAT 策略适用于 12.34.56.5 => 172.16.1.10。另一种方法是为来自 PBX 设备的出站流量创建一对一 NAT 策略,然后为入站流量镜像此策略(自反)。您可以在SonicOS 管理指南的“配置 NAT 策略”部分找到此实施的详细信息。
我希望它是有帮助的,你可以做到!