NAT内网计算机访问WEB服务器的问题

2009-03-05 13:21:35
 标签: PIX DNS NAT WEB SERVER 内网    [ 推送到技术圈]

版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 [url]http://zp2577.blog.51cto.com/208018/135178[/url]
 
如图所示拓扑 , 内网出口为 Router PIX
局域网内主机 A 想访问位于内部的网站 ,使用外部 DNS 60.1.1.2
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 

1 主机 A 会向 60.1.1.2 发起 DNS 请求,
2 PIX Router )收到请求后,使用 NAT 转化为外网地址 100.1.1.2
3 外部 DNS 收到请求后,会查询自己域名表,返回域名所关联的 IP 地址
   由于, WWW 服务器在局域网内,它是通过 PIX 上的 PAT 和外部通讯。所以 DNS
   服务器返回的域名 相关的公网地址是 100.1.1.2
4 PIX Router )收到 DNS 返回消息后,进行 NAT 转化,并传送给主机 A
5 主机 A 此时访问 目标 IP 地址为 100.1.1.2
6 当路由器内口收到目标地址为自己 E1 口时,发现自己并没有打开 WWW 服务功
   能,所以把包给扔了

 

这样,便造成了,内网用户无法访问内部 WWW 服务器
解决方案:
1. 架设内部DNS 服务器

2. <?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" /> 路由器做WWW 服务器的DNS 解析
d
Router(config)#ip dns server  路由器启用DNS功能                                

Router(config)#ip domain-lookup  启用域名查找功能                                      

Router(config)#ip name-server 60.1.1.2   指定查询DNS                         

Router(config)#ip host [url]www.test.com[/url] 172.16.10.5  静态DNS映射                        

内部网络主机的DNS配置成192.168.1.254

 
3. PIX—alias

 

Alias 的一个功能就是执行 DNS 回复包的重写 :
 
alias (inside) 172.16.10.5 100.1.1.2 255.255.255.255
!--- inside DNS Doctoring ,监控 DNS 回复中包括 100.1.1.2 的话 , 就把
DNS 回复中的地址替换成 172.16.10.5 , 发送给客户 PC

 

static(inside,outside) 100.1.1.2 17216.10.5 netmask 255.255.255.255
!--- WEB 服务器做静态地址转化 , 以让外部访问

!--- 另外, 要让DNS fixup 正常工作, 需禁止proxy-arp 功能。

 
本文出自 “ My Way” 博客,请务必保留此出处 [url]http://zp2577.blog.51cto.com/208018/135178[/url]