外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器配置舉例
1.組網(wǎng)需求
某公司內(nèi)部對外提供Web、FTP和SMTP服務(wù),而且提供兩臺(tái)Web服務(wù)器。公司內(nèi)部網(wǎng)址為10.110.0.0/16。其中,內(nèi)部FTP服務(wù)器地址為10.110.10.3/16,內(nèi)部Web服務(wù)器1的IP地址為10.110.10.1/16,內(nèi)部Web服務(wù)器2的IP地址為10.110.10.2/16,內(nèi)部SMTP服務(wù)器IP地址為10.110.10.4/16。公司擁有202.38.1.1至202.38.1.3三個(gè)公網(wǎng)IP地址。需要實(shí)現(xiàn)如下功能:
外部的主機(jī)可以訪問內(nèi)部的服務(wù)器。
選用202.38.1.1作為公司對外提供服務(wù)的IP地址,Web服務(wù)器2對外采用8080端口。
2.組網(wǎng)圖
外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器配置組網(wǎng)圖3.配置步驟
按照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。
進(jìn)入接口GigabitEthernet1/0/2。
system-view
[Router]interfacegigabitethernet1/0/2
配置內(nèi)部FTP服務(wù)器,允許外網(wǎng)主機(jī)使用地址202.38.1.1、端口號(hào)21訪問內(nèi)網(wǎng)FTP服務(wù)器。
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.121inside10.110.10.3ftp
配置內(nèi)部Web服務(wù)器1,允許外網(wǎng)主機(jī)使用地址202.38.1.1、端口號(hào)80訪問內(nèi)網(wǎng)Web服務(wù)器1。
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.180inside10.110.10.1http
配置內(nèi)部Web服務(wù)器2,允許外網(wǎng)主機(jī)使用地址202.38.1.1、端口號(hào)8080訪問內(nèi)網(wǎng)Web服務(wù)器2。
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.18080inside10.110.10.2http
配置內(nèi)部SMTP服務(wù)器,允許外網(wǎng)主機(jī)使用地址202.38.1.1以及SMTP協(xié)議定義的端口訪問內(nèi)網(wǎng)SMTP服務(wù)器。
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.1smtpinside10.110.10.4smtp
4.驗(yàn)證配置
以上配置完成后,外網(wǎng)Host能夠通過NAT地址訪問各內(nèi)網(wǎng)服務(wù)器。通過查看如下顯示信息,可以驗(yàn)證以上配置成功。
[Router]displaynatall
NATinternalserverinformation:
Totally4internalservers.
Interface:GigabitEthernet1/0/2
Protocol:6(TCP)
GlobalIP/port:202.38.1.1/21
LocalIP/port:10.110.10.3/21
Rulename:ServerRule_1
NATcounting:0
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
Localflow-tablestatus:Active
Interface:GigabitEthernet1/0/2
Protocol:6(TCP)
GlobalIP/port:202.38.1.1/25
LocalIP/port:10.110.10.4/25
Rulename:ServerRule_4
NATcounting:0
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
Localflow-tablestatus:Active
Interface:GigabitEthernet1/0/2
Protocol:6(TCP)
GlobalIP/port:202.38.1.1/80
LocalIP/port:10.110.10.1/80
Rulename:ServerRule_2
NATcounting:0
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
Localflow-tablestatus:Active
Interface:GigabitEthernet1/0/2
Protocol:6(TCP)
GlobalIP/port:202.38.1.1/8080
LocalIP/port:10.110.10.2/80
Rulename:ServerRule_3
NATcounting:0
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
Localflow-tablestatus:Active
NATlogging:
Logenable:Disabled
Flow-begin:Disabled
Flow-end:Disabled
Flow-active:Disabled
Port-block-assign:Disabled
Port-block-withdraw:Disabled
Alarm:Disabled
NO-PATIPusage:Disabled
NATmappingbehavior:
Mappingmode:AddressandPort-Dependent
ACL:---
Configstatus:Active
NATALG:
DNS:Enabled
FTP:Enabled
H323:Enabled
ICMP-ERROR:Enabled
ILS:Enabled
MGCP:Enabled
NBT:Enabled
PPTP:Enabled
RTSP:Enabled
RSH:Enabled
SCCP:Enabled
SIP:Enabled
SQLNET:Enabled
TFTP:Enabled
XDMCP:Enabled
StaticNATloadbalancing:Disabled
通過以下顯示命令,可以看到Host訪問FTP server時(shí)生成NAT會(huì)話信息。
[Router]displaynatsessionverbose
Slot0:
Totalsessionsfound:0
Slot2:
Initiator:
SourceIP/port:202.38.1.10/1694
DestinationIP/port:202.38.1.1/21
DS-Litetunnelpeer:-
VPNinstance/VLANID/InlineID:-/-/-
Protocol:TCP(6)
Inboundinterface:GigabitEthernet1/0/2
Responder:
SourceIP/port:10.110.10.3/21
DestinationIP/port:202.38.1.10/1694
DS-Litetunnelpeer:-
VPNinstance/VLANID/InlineID:-/-/-
Protocol:TCP(6)
Inboundinterface:GigabitEthernet1/0/1
State:TCP_ESTABLISHED
Application:FTP
RuleID:-/-/-
Rulename:
Starttime:2012-08-151429TTL:3597s
Initiator->Responder:7packets308bytes
Responder->Initiator:5packets312bytes
Totalsessionsfound:1
外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器配置舉例(地址不重疊)
1.組網(wǎng)需求
某公司內(nèi)部對外提供Web服務(wù),Web服務(wù)器地址為10.110.10.2/24。
該公司在內(nèi)網(wǎng)有一臺(tái)DNS服務(wù)器,IP地址為10.110.10.3/24,用于解析Web服務(wù)器的域名。
該公司擁有兩個(gè)外網(wǎng)IP地址:202.38.1.2和202.38.1.3。
需要實(shí)現(xiàn),外網(wǎng)主機(jī)可以通過域名訪問內(nèi)網(wǎng)的Web服務(wù)器。
2.組網(wǎng)圖
外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器配置組網(wǎng)圖(地址不重疊)3.配置思路
外網(wǎng)主機(jī)通過域名訪問Web服務(wù)器,首先需要通過訪問內(nèi)網(wǎng)DNS服務(wù)器獲取Web服務(wù)器的IP地址,因此需要通過配置NAT內(nèi)部服務(wù)器將DNS服務(wù)器的內(nèi)網(wǎng)IP地址和DNS服務(wù)端口映射為一個(gè)外網(wǎng)地址和端口。
DNS服務(wù)器回應(yīng)給外網(wǎng)主機(jī)的DNS報(bào)文載荷中攜帶了Web服務(wù)器的內(nèi)網(wǎng)IP地址,因此需要將DNS報(bào)文載荷中的內(nèi)網(wǎng)IP地址轉(zhuǎn)換為一個(gè)外網(wǎng)IP地址。外網(wǎng)地址分配可以通過出方向動(dòng)態(tài)地址轉(zhuǎn)換功能實(shí)現(xiàn),轉(zhuǎn)換載荷信息可以通過DNS ALG功能實(shí)現(xiàn)。
4.配置步驟
按照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。
開啟DNS協(xié)議的ALG功能。
system-view
[Router]natalgdns
配置ACL 2000,允許對內(nèi)部網(wǎng)絡(luò)中10.110.10.2的報(bào)文進(jìn)行地址轉(zhuǎn)換。
[Router]aclbasic2000
[Router-acl-ipv4-basic-2000]rulepermitsource10.110.10.20
[Router-acl-ipv4-basic-2000]quit
創(chuàng)建地址組1。
[Router]nataddress-group1
添加地址組成員202.38.1.3。
[Router-address-group-1]address202.38.1.3202.38.1.3
[Router-address-group-1]quit
在接口GigabitEthernet1/0/2上配置NAT內(nèi)部服務(wù)器,允許外網(wǎng)主機(jī)使用地址202.38.1.2訪問內(nèi)網(wǎng)DNS服務(wù)器。
[Router]interfacegigabitethernet1/0/2
[Router-GigabitEthernet1/0/2]natserverprotocoludpglobal202.38.1.2inside10.110.10.3dns
在接口GigabitEthernet1/0/2上配置出方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對DNS應(yīng)答報(bào)文載荷中的內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許反向地址轉(zhuǎn)換。
[Router-GigabitEthernet1/0/2]natoutbound2000address-group1no-patreversible
5.驗(yàn)證配置
以上配置完成后,外網(wǎng)Host能夠通過域名訪問內(nèi)網(wǎng)Web server。通過查看如下顯示信息,可以驗(yàn)證以上配置成功。
[Router]displaynatall
NATaddressgroupinformation:
Totally1NATaddressgroups.
AddressgroupID:1
Portrange:1-65535
Addressinformation:
StartaddressEndaddress
202.38.1.3202.38.1.3
NAToutboundinformation:
Totally1NAToutboundrules.
Interface:GigabitEthernet1/0/2
ACL:2000
AddressgroupID:1
Port-preserved:NNO-PAT:YReversible:Y
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
NATinternalserverinformation:
Totally1internalservers.
Interface:GigabitEthernet1/0/2
Protocol:17(UDP)
GlobalIP/port:202.38.1.2/53
LocalIP/port:10.110.10.3/53
Rulename:ServerRule_1
NATcounting:0
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
Localflow-tablestatus:Active
NATlogging:
Logenable:Disabled
Flow-begin:Disabled
Flow-end:Disabled
Flow-active:Disabled
Port-block-assign:Disabled
Port-block-withdraw:Disabled
Alarm:Disabled
NO-PATIPusage:Disabled
NATmappingbehavior:
Mappingmode:AddressandPort-Dependent
ACL:---
Configstatus:Active
NATALG:
DNS:Enabled
FTP:Enabled
H323:Enabled
ICMP-ERROR:Enabled
ILS:Enabled
MGCP:Enabled
NBT:Enabled
PPTP:Enabled
RTSP:Enabled
RSH:Enabled
SCCP:Enabled
SIP:Enabled
SQLNET:Enabled
TFTP:Enabled
XDMCP:Enabled
StaticNATloadbalancing:Disabled
通過以下顯示命令,可以看到Host訪問Web server時(shí)生成NAT會(huì)話信息。
[Router]displaynatsessionverbose
Slot0:
Totalsessionsfound:0
Slot2:
Initiator:
SourceIP/port:200.1.1.2/1694
DestinationIP/port:202.38.1.3/8080
DS-Litetunnelpeer:-
VPNinstance/VLANID/InlineID:-/-/-
Protocol:TCP(6)
Inboundinterface:GigabitEthernet1/0/2
Responder:
SourceIP/port:10.110.10.2/8080
DestinationIP/port:200.1.1.2/1694
DS-Litetunnelpeer:-
VPNinstance/VLANID/InlineID:-/-/-
Protocol:TCP(6)
Inboundinterface:GigabitEthernet1/0/1
State:TCP_ESTABLISHED
Application:HTTP
RuleID:-/-/-
Rulename:
Starttime:2012-08-151429TTL:3597s
Initiator->Responder:7packets308bytes
Responder->Initiator:5packets312bytes
Totalsessionsfound:1
外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器配置舉例(地址重疊)
1.組網(wǎng)需求
某公司內(nèi)網(wǎng)使用的IP地址為192.168.1.0/24。
該公司內(nèi)部對外提供Web服務(wù),Web服務(wù)器地址為192.168.1.2/24。
該公司在內(nèi)網(wǎng)有一臺(tái)DNS服務(wù)器,IP地址為192.168.1.3/24,用于解析Web服務(wù)器的域名。
該公司擁有三個(gè)外網(wǎng)IP地址:202.38.1.2、202.38.1.3和202.38.1.4。
需要實(shí)現(xiàn),外網(wǎng)主機(jī)可以通過域名訪問與其地址重疊的內(nèi)網(wǎng)Web服務(wù)器。
2.組網(wǎng)圖
外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器配置組網(wǎng)圖(地址重疊)3.配置思路
這是一個(gè)典型的雙向NAT應(yīng)用,具體配置思路如下。
外網(wǎng)主機(jī)通過域名訪問Web服務(wù)器,首先需要訪問內(nèi)部的DNS服務(wù)器獲取Web服務(wù)器的IP地址,因此需要通過配置NAT內(nèi)部服務(wù)器將DNS服務(wù)器的內(nèi)網(wǎng)IP地址和DNS服務(wù)端口映射為一個(gè)外網(wǎng)地址和端口。
DNS服務(wù)器回應(yīng)給外網(wǎng)主機(jī)的DNS報(bào)文載荷中攜帶了Web服務(wù)器的內(nèi)網(wǎng)IP地址,該地址與外網(wǎng)主機(jī)地址重疊,因此在出方向上需要為內(nèi)網(wǎng)Web服務(wù)器動(dòng)態(tài)分配一個(gè)NAT地址,并將載荷中的地址轉(zhuǎn)換為該地址。NAT地址分配可以通過出方向動(dòng)態(tài)地址轉(zhuǎn)換功能實(shí)現(xiàn),轉(zhuǎn)換載荷信息可以通過DNS ALG功能實(shí)現(xiàn)。
外網(wǎng)主機(jī)得到內(nèi)網(wǎng)Web服務(wù)器的IP地址之后(該地址為NAT地址),使用該地址訪問內(nèi)網(wǎng)Web服務(wù)器,因?yàn)橥饩W(wǎng)主機(jī)的地址與內(nèi)網(wǎng)Web服務(wù)器的真實(shí)地址重疊,因此在入方向上也需要為外網(wǎng)主機(jī)動(dòng)態(tài)分配一個(gè)NAT地址,可以通過入方向動(dòng)態(tài)地址轉(zhuǎn)換實(shí)現(xiàn)。
NAT設(shè)備上沒有目的地址為外網(wǎng)主機(jī)對應(yīng)NAT地址的路由,因此需要手工添加靜態(tài)路由,使得目的地址為外網(wǎng)主機(jī)NAT地址的報(bào)文的出接口為GigabitEthernet1/0/2。
4.配置步驟
按照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。
開啟DNS協(xié)議的ALG功能。
system-view
[Router]natalgdns
配置ACL 2000,允許對內(nèi)部網(wǎng)絡(luò)中192.168.1.0/24網(wǎng)段的報(bào)文進(jìn)行地址轉(zhuǎn)換。
[Router]aclbasic2000
[Router-acl-ipv4-basic-2000]rulepermitsource192.168.1.00.0.0.255
[Router-acl-ipv4-basic-2000]quit
創(chuàng)建地址組1。
[Router]nataddress-group1
添加地址組成員202.38.1.2。
[Router-address-group-1]address202.38.1.2202.38.1.2
[Router-address-group-1]quit
創(chuàng)建地址組2。
[Router]nataddress-group2
添加地址組成員202.38.1.3。
[Router-address-group-2]address202.38.1.3202.38.1.3
[Router-address-group-2]quit
在接口GigabitEthernet1/0/2上配置NAT內(nèi)部服務(wù)器,允許外網(wǎng)主機(jī)使用地址202.38.1.4訪問內(nèi)網(wǎng)DNS服務(wù)器。
[Router]interfacegigabitethernet1/0/2
[Router-GigabitEthernet1/0/2]natserverprotocoludpglobal202.38.1.4inside192.168.1.3dns
在接口GigabitEthernet1/0/2上配置出方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對DNS應(yīng)答報(bào)文載荷中的內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許反向地址轉(zhuǎn)換。
[Router-GigabitEthernet1/0/2]natoutbound2000address-group1no-patreversible
在接口GigabitEthernet1/0/2上配置入方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組2中的地址對外網(wǎng)訪問內(nèi)網(wǎng)的報(bào)文進(jìn)行源地址轉(zhuǎn)換,并在轉(zhuǎn)換過程中使用端口信息。
[Router-GigabitEthernet1/0/2]natinbound2000address-group2
配置到達(dá)202.38.1.3地址的靜態(tài)路由,出接口為GigabitEthernet1/0/2,下一跳地址為20.2.2.2(20.2.2.2為本例中的直連下一跳地址,實(shí)際使用中請以具體組網(wǎng)情況為準(zhǔn))。
[Router]iproute-static202.38.1.332gigabitethernet1/0/220.2.2.2
5.驗(yàn)證配置
以上配置完成后,外網(wǎng)Host能夠通過域名訪問內(nèi)網(wǎng)相同IP地址的Web server。通過查看如下顯示信息,可以驗(yàn)證以上配置成功。
[Router]displaynatall
NATaddressgroupinformation:
Totally2NATaddressgroups.
AddressgroupID:1
Portrange:1-65535
Addressinformation:
StartaddressEndaddress
202.38.1.2202.38.1.2
AddressgroupID:2
Portrange:1-65535
Addressinformation:
StartaddressEndaddress
202.38.1.3202.38.1.3
NATinboundinformation:
Totally1NATinboundrules.
Interface:GigabitEthernet1/0/2
ACL:2000
AddressgroupID:2
Addroute:NNO-PAT:NReversible:N
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
NAToutboundinformation:
Totally1NAToutboundrules.
Interface:GigabitEthernet1/0/2
ACL:2000
AddressgroupID:1
Port-preserved:NNO-PAT:YReversible:Y
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
NATinternalserverinformation:
Totally1internalservers.
Interface:GigabitEthernet1/0/2
Protocol:17(UDP)
GlobalIP/port:202.38.1.4/53
LocalIP/port:200.1.1.3/53
Rulename:ServerRule_1
NATcounting:0
Servicecard:Slot2
Configstatus:Active
Globalflow-tablestatus:Active
Localflow-tablestatus:Active
NATlogging:
Logenable:Disabled
Flow-begin:Disabled
Flow-end:Disabled
Flow-active:Disabled
Port-block-assign:Disabled
Port-block-withdraw:Disabled
Alarm:Disabled
NO-PATIPusage:Disabled
NATmappingbehavior:
Mappingmode:AddressandPort-Dependent
ACL:---
Configstatus:Active
NATALG:
DNS:Enabled
FTP:Enabled
H323:Enabled
ICMP-ERROR:Enabled
ILS:Enabled
MGCP:Enabled
NBT:Enabled
PPTP:Enabled
RTSP:Enabled
RSH:Enabled
SCCP:Enabled
SIP:Enabled
SQLNET:Enabled
TFTP:Enabled
XDMCP:Enabled
StaticNATloadbalancing:Disabled
通過以下顯示命令,可以看到Host訪問Web server時(shí)生成NAT會(huì)話信息。
[Router]displaynatsessionverbose
Slot0:
Totalsessionsfound:0
Slot2:
Initiator:
SourceIP/port:192.168.1.2/1694
DestinationIP/port:202.38.1.2/8080
DS-Litetunnelpeer:-
VPNinstance/VLANID/InlineID:-/-/-
Protocol:TCP(6)
Inboundinterface:GigabitEthernet1/0/2
Responder:
SourceIP/port:192.168.1.2/8080
DestinationIP/port:202.38.1.3/1025
DS-Litetunnelpeer:-
VPNinstance/VLANID/InlineID:-/-/-
Protocol:TCP(6)
Inboundinterface:GigabitEthernet1/0/1
State:TCP_ESTABLISHED
Application:HTTP
RuleID:-/-/-
Rulename:
Starttime:2012-08-151429TTL:3597s
Initiator->Responder:7packets308bytes
Responder->Initiator:5packets312bytes
Totalsessionsfound:1
-
Web
+關(guān)注
關(guān)注
2文章
1263瀏覽量
69492 -
服務(wù)器
+關(guān)注
關(guān)注
12文章
9165瀏覽量
85438 -
組網(wǎng)
+關(guān)注
關(guān)注
1文章
353瀏覽量
22356
原文標(biāo)題:網(wǎng)絡(luò)工程師 | 外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器實(shí)驗(yàn)配置
文章出處:【微信號(hào):網(wǎng)絡(luò)技術(shù)干貨圈,微信公眾號(hào):網(wǎng)絡(luò)技術(shù)干貨圈】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論