SR6600系列路由器内网用户通过域名访问内网服务器的配置方法

SR6600 系列路由器内网用户通过域名访问内网服务器的配置方法 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

一、   组网需求：

组网如图所示，内网中存在两台服务器分别对外提供www及ftp服务，网关路由器公网接口上已下发nat server 配置。DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址202.38.1.1上，公网用户可以通过域名访问服务器。

要求：内网用户可以使用域名访问内网的两台服务器。

涉及产品：SR6600系列路由器

 

二、   组网图：

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

方案一：DNS-mapping 方案：

    在SR6600路由器上配置DNS map功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时，接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。

 

方案二 ： 利用 NAT 和 NAT Server 下发在内网网关接口上，使内网主机通过公网地址去访问服务器。

   在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址（202.38.1.1）去访问内网服务器。通过将NAT和NATServer 配置下发在内网网关接口上可以满足该应用（原先下发在公网接口上的nat server 配置是为了满足公网用户访问的，该部分配置不变）。

 

三、   配置步骤：

方案一 配置

<H3C>system-view [H3C]sysname Gateway [Gateway]interface g0/1 [Gateway-GigabitEthernet0/1]ip address 202.38.1.1 24 [Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www [Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp [Gateway-GigabitEthernet0/1]quit [Gateway]interface g0/0 [Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24 [Gateway-GigabitEthernet0/0]quit // 注意 dns-map 配置中对应的地址是公网地址而不是服务器的内网地址 [Gateway] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port www [Gateway] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp

 

方案二 配置

<H3C>system-view [H3C]sysname Gateway [Gateway]acl number 3000 // 编写 acl 匹配来自内网网段目的地址为两台 server 的数据流 [Gateway-acl-adv-3000]rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.1 0 [Gateway-acl-adv-3000] rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.2 0 [Gateway]interface g0/0 [Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24 // 将 nat 及 nat server 配置下发在内网网关口上 [Gateway-GigabitEthernet0/0]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www [Gateway-GigabitEthernet0/0]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp [Gateway-GigabitEthernet0/0]nat outbound 3000 [Gateway-GigabitEthernet0/0]quit       // 其它基础配置略

 

 

四、   配置关键点：

1 ．注意dns-map的配置中的ip地址应该配置公网出接口地址。

Nat server 的相关配置应该下发在公网出接口上。

2 ．在方案二中，nat server 及 nat outbound 的配置应当配置在内网网关接口上。并且注意 acl 规则中的目的地址应匹配服务器主机地址。

转载于:https://blog.51cto.com/biohazard2k/318048