公众号:IT酱油瓶
作者:网工紫电
一个IT行业技术创业者
一、网络环境及问题描述网络环境:
1、内部网络办公网划分VLAN10 网段192.168.1.0/24 网关位于核心SWA
2、DMZ网络划分至VLAN20 网段:192.168.2.0/24 网关位于核心SWA
3、管理网段划分VLAN100 网段:192.168.100.0/24 网关位于核心SWA
4、出口路由器RT:公网地址为111.111.111.2(举例用IP) ,E1口地址为192.168.100.2
5、web服务器www.abc.com,IP:192.168.2.2 并在出口RT上配置natserver
SWA配置:sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 10[H3C-vlan10]int vlan 10[H3C-Vlan-interface10]ip address 192.168.1.1 24[H3C-Vlan-interface10]quit[H3C]vlan 20[H3C-vlan20]int vlan 20[H3C-Vlan-interface20]ip address 192.168.2.1 24[H3C-Vlan-interface20]quit[H3C]vlan 100[H3C-vlan100]int vlan 100[H3C-Vlan-interface100]ip address 192.168.100.1 24[H3C-Vlan-interface100]quit[H3C][H3C][H3C]vlan 10[H3C-vlan10]port Ethernet 0/4/1[H3C-vlan10]%Jan 27 13:10:46:785 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface10 link status is UP.%Jan 27 13:10:46:785 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface10 is UP.[H3C-vlan10]quit[H3C]vlan 20[H3C-vlan20]po[H3C-vlan20]port Ethernet 0/4/2[H3C-vlan20]%Jan 27 13:11:15:271 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface20 link status is UP.%Jan 27 13:11:15:271 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface20 is UP.[H3C-vlan20]quit[H3C]vlan 100[H3C-vlan100]port Ethernet 0/4/0[H3C-vlan100]quit[H3C][H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2[H3C]RT配置:sysSystem View: return to User View with Ctrl+Z.[H3C] int e0/0/0[H3C-Ethernet0/0/0][H3C-Ethernet0/0/0]ip address 111.111.111.2 24[H3C]int e0/0/1[H3C-Ethernet0/0/1][H3C-Ethernet0/0/1]ip address 192.168.100.2 24[H3C-Ethernet0/0/1][H3C-Ethernet0/0/1]quit[H3C]ping 111.111.111.1PING 111.111.111.1: 56 data bytes, press CTRL_C to breakReply from 111.111.111.1: bytes=56 Sequence=1 ttl=255 time=8 msReply from 111.111.111.1: bytes=56 Sequence=2 ttl=255 time=4 msReply from 111.111.111.1: bytes=56 Sequence=3 ttl=255 time=1 msReply from 111.111.111.1: bytes=56 Sequence=4 ttl=255 time=1 msReply from 111.111.111.1: bytes=56 Sequence=5 ttl=255 time=10 ms--- 111.111.111.1 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 1/4/10 ms[H3C]ip route-static 192.168.0.0 255.255.0.0 192.168.100.1[H3C]acl number 2222[H3C-acl-basic-2222]rule 1 permit source any[H3C-acl-basic-2222][H3C-acl-basic-2222]quit[H3C]int e0/0/0[H3C-Ethernet0/0/0]nat outbound 2222[H3C-Ethernet0/0/0]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2[H3C]ip route-static 0.0.0.0 0.0.0.0 11.111.111.1
完成上述配置,则PC可正常访问公网,公网用户也可访问www.abc.com;
PC通过http://192.168.2.2 可以正常访问www服务器。
问题:PC通过www.abc.com(举例用域名)、http://111.111.111.2则无法访问www服务器。
二、解决方案
1、 仅通过域 名:www.abc.com访问www服 务器原理:默认情况下,内网PC解析www.abc.com得到www服务器的公网地址111.111.111.2;
将内网PC 在域名解析www.abc.com时,得到www的内网地址:192.168.2.2即可。
解决方案1、
内网仅有个别PC需要通过域名访问,大部分通过http://192.168.2.2访问,甚至大部分不需访问。
此情况可通过最简单的更改host文件实现:如图
解决方案2
内网所有用户都需要通过www.abc.com进行访问www服务器,而不需要通过http://111.111.111.2进行访问。
解决方案1、通过nat dns mapping功能实现:
在RT 上配置:nat dns-map domain www.abc.com protocol tcp ip 111.111.111.2 port www
解决方案3
通过架设内网的DNS服务器解决(此方案时刻内网已有DNS服务器,若没有情况下单独架设,则成本较高,不适用)
在内网架设DNS服务器(非面向公网权威解析的服务器,如IP:192.168.2.3) 配置域名abc.com;将www.abc.com A记录解析为192.168.2.2 。同时支持递归解析公网域名(默认搭建完成,基本都支持)。
内网PC配置DNS地址为:192.168.2.3即可。
2、通过www.abc.com及http://111.111.111.2均可访问
原理:使PC访问www服务器的请求数据包,及www服务器返回PC的应答数据包,保持往返路径一致即可。
解决方案4
若企业网规模较小,办公网与DMZ属于不同网段,且无核心交换情况下,可将两个网段的网关移至出口路由设备,如下图:
解决方案5
在RTE1口配置:
[H3C]acl number 2223[H3C-acl-basic-2223]rule 1 permit source 192.168.1.0 0.0.0.255[H3C-acl-basic-2223]rule 2 permit source 192.168.2.0 0.0.0.255[H3C-acl-basic-2223][H3C-acl-basic-2223]quit[H3C]int e0/0/1[H3C-Ethernet0/0/1]nat outbound 2222[H3C-Ethernet0/0/1]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2
通过上述配置可使PC到www.abc.com的数据包保持往返路径一致。
扫码关注我们
今天因为你的分享,让我元气满满!