成人AV在线无码|婷婷五月激情色,|伊人加勒比二三四区|国产一区激情都市|亚洲AV无码电影|日av韩av无码|天堂在线亚洲Av|无码一区二区影院|成人无码毛片AV|超碰在线看中文字幕

NAT server向外發(fā)布的服務(wù)器在內(nèi)網(wǎng)通過域名或公網(wǎng)IP訪問的解決辦法

2017-03-27
31417

淺談NAT server向外發(fā)布的服務(wù)器在內(nèi)網(wǎng)通過域名/公網(wǎng)IP 訪問的解決辦法許茂生 FW0053【問題描述】前兩天剛看到二線兄弟寫的一篇案例“DMZ 區(qū)域服務(wù)器的NAT 應(yīng)用”,正好處理辦事處一個

淺談NAT server向外發(fā)布的服務(wù)器在內(nèi)網(wǎng)通過域名/公網(wǎng)IP 訪問的解決辦法

許茂生 FW0053

【問題描述】

前兩天剛看到二線兄弟寫的一篇案例“DMZ 區(qū)域服務(wù)器的NAT 應(yīng)用”,正好處理辦事處一個客戶問題時碰到,客戶組網(wǎng)其實很簡單,內(nèi)網(wǎng)通過三層交換機連到出口路由器再做NAT 上網(wǎng),交換機起三層,接了WWW 服務(wù)器通過靜態(tài)NAT 向外發(fā)布。外網(wǎng)訪問WWW 服務(wù)器沒有任何問題,問題出在內(nèi)網(wǎng)對這幾臺服務(wù)器的訪問,由于WWW 服務(wù)器上很多的超鏈接或者搜索結(jié)果是通過WWW 的公網(wǎng)IP 鏈接的,所以客戶要求內(nèi)網(wǎng)必須支持通過域名和公網(wǎng)IP 訪問www 服務(wù)器。

到了現(xiàn)場參照案例在內(nèi)網(wǎng)口也做了NA T 轉(zhuǎn)換(將外網(wǎng)口下的nat server照著配一遍),不行,通過公網(wǎng)IP 訪問不了,IE 狀態(tài)欄顯示已找到地址,然后就停在 “正在連接….”狀態(tài),不解。于是參照操作手冊把NAT dns -map 配上,這時客戶說通過域名能訪問了,但公網(wǎng)IP 還是不行. 于是咨詢二線專家,答曰:dns -map 只解決內(nèi)網(wǎng)通過域名訪問問題,公網(wǎng)ip 訪問仍不行?。?! Oh my god!

第二日問題還是被兄弟圓滿解決了,回頭細(xì)細(xì)想了下,此類應(yīng)用應(yīng)該不少,弟兄們難免回再碰到,于是總結(jié)了一下

【組網(wǎng)拓?fù)洹?/p>

【相關(guān)配置】

AR4620:

nat dns-map cjy.swpu.edu.cn 218.6.x.195 80 tcp(可選)

#

interface Ethernet0/0/0

ip address 218.6.x.195 255.255.255.0

nat outbound 2000

nat server protocol tcp global 218.6.x.195 www inside 192.168.1.66 www

,

nat server protocol tcp global 218.6.x.195 ftp inside 192.168.1.66 ftp

nat server protocol tcp global 218.6.x.195 7777 inside 192.168.1.67 7777

nat server protocol tcp global 218.6.x.195 7778 inside 192.168.1.67 7778

nat server protocol tcp global 218.6.x.195 7775 inside 192.168.1.68 7775

nat server protocol tcp global 218.6.x.195 7776 inside 192.168.1.68 7776

nat server protocol udp global 218.6.x.195 80 inside 192.168.1.66 80

nat server protocol udp global 218.6.x.195 21 inside 192.168.1.66 21

nat server protocol udp global 218.6.x.195 7777 inside 192.168.1.67 7777

nat server protocol udp global 218.6.x.195 7778 inside 192.168.1.67 7778

nat server protocol udp global 218.6.x.195 7775 inside 192.168.1.68 7775

nat server protocol udp global 218.6.x.195 7776 inside 192.168.1.68 7776

#

interface Ethernet0/0/1

ip address 192.168.5.2 255.255.255.252

#

interface Ethernet1/0/0

ip address 192.168.1.1 255.255.255.0

nat server protocol tcp global 218.6.x.195 www inside 192.168.1.66 www

nat server protocol tcp global 218.6.x.195 7777 inside 192.168.1.67 7777

nat server protocol tcp global 218.6.x.195 7778 inside 192.168.1.67 7778

nat server protocol tcp global 218.6.x.195 7775 inside 192.168.1.68 7775

nat server protocol tcp global 2186.x.195 7776 inside 192.168.1.68 7776

nat server protocol udp global 218.6.x.195 7777 inside 192.168.1.67 7777

nat server protocol udp global 218.6.x.195 7778 inside 192.168.1.67 7778

nat server protocol udp global 218.6.x.195 7775 inside 192.168.1.68 7775

nat server protocol udp global 218.6.x.195 7776 inside 192.168.1.68 7776

nat server protocol udp global 218.6.x.195 80 inside 192.168.1.66 80

#

interface Ethernet1/0/1

#

ip route-static 0.0.0.0 0.0.0.0 218.6.244.1 preference 60

ip route-static 192.168.2.0 255.255.255.0 192.168.5.1preference 60

ip route-static 192.168.3.0 255.255.255.0 192.168.5.1 preference 60

ip route-static 192.168.4.0 255.255.255.0 192.168.5.1 preference 60

#

S3552:

192.168.2.1/3.1/4.1/5.1這些VLAN 網(wǎng)關(guān)地址都在S3552上。S3552缺省路由往192.168.5.2 192.168.1.x 網(wǎng)段所在Vlan10不配置interface vlan地址。

192.168.1.x 網(wǎng)段的網(wǎng)關(guān)是AR46的192.168.1.1

【解決方案】

解決方案其實還是跟二線兄弟的案例一樣,只是要在出口設(shè)備上(AR4620)上單獨劃一口

,

作為內(nèi)網(wǎng)WWW 服務(wù)器所在網(wǎng)段的網(wǎng)關(guān),也就是說192.168.1.x 這個網(wǎng)段的三層終結(jié)必須在路由器上而不是三層交換機(S3552)上。

為什么呢?

看看下面兩張圖大家就明白了

問題未解決時的內(nèi)網(wǎng)與www 會話連接圖:

就內(nèi)網(wǎng)PC 而言,192.168.1.200只看見第1和第4步,這是一個典型的TCP 三次握手,正是由于訪問WWW 服務(wù)器的返回包TCP syn +ack 報文被三層交換機直接路由到內(nèi)網(wǎng)PC ,沒有經(jīng)過AR4620的NAT 轉(zhuǎn)換,導(dǎo)致內(nèi)網(wǎng)PC 認(rèn)為這是一次非法的TCP 會話(syn +ack 的源地址無法對應(yīng)初始syn 包的目標(biāo)地址),將拆掉這個TCP 半連接。所以瀏覽器提示DNS 解析成功,地址已找到后就停住了…..

下面是改造后的連接圖:

內(nèi)網(wǎng)PC 檢查1,6均符合握手規(guī)則,再發(fā)出tcp syn ack完成3次握手后,TCP 連接正常建立。此時公網(wǎng)IP 和域名都可以訪問WWW 了。

此問題可以類推到所有我司出口網(wǎng)關(guān)設(shè)備,比如secpath 防火墻。再想一下,有沒有其他解決方案呢:

方案1:交換機不起三層,所有內(nèi)網(wǎng)網(wǎng)關(guān)都在出口路由器上。

方案2:如果內(nèi)網(wǎng)交換機(或者其他三層設(shè)備) 支持NAT ,在此設(shè)備出口上做對www 服務(wù)器的nat server轉(zhuǎn)換。

大家可以想想為什么上面方案可行,還有其他辦法嗎???

標(biāo)簽:

相關(guān)推薦