H3C 路由器内网用户经过域名访问内网服务器的配置方法

时间  2020-01-24 标签 h3c 路由器 用户 经过 域名 访问 服务器 配置 方法

        最近碰见的一个问题,客户内部网络中没有部署DNS服务器,而用户访问内网服务器时,须要经过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。服务器

        最后查了手册,产品手册中讲解了一种方法,就是用DNS-MAP能够实现,下面把工程师发给个人这个文档分享一下,其中又讲解了另外一种方法,最后我用了里面讲的“NAT 和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题,感谢提供这个文档的工程师,在此分享一下,但愿对你们有所帮助。网络

         

1、  组网需求:
组网如图所示,内网中存在两台服务器分别对外提供 www及ftp服务,网关路由器公网接口上已下发nat server 配置。DNS服务器位于公网,将两台服务器的对应的域名映射到公网出口地址202.38.1.1上,公网用户能够经过域名访问服务器。
要求:内网用户可使用域名访问内网的两台服务器。
涉及产品: SR6600路由器
 
2、  组网图:
 

组网图

方案一:DNS-mapping 方案:
    SR6600路由器上配置DNS map功能,能够创建域名-公网地址-公网端口号-服务协议的匹配表项。当内网用户发出的DNS解析请求获得的DNS Server响应到达配置了NAT server 的公网出接口时,接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址,主机就可使用内网地址直接访问服务器。
 
方案二 利用 NAT NAT Server 下发在内网网关接口上,使内网主机经过公网地址去访问服务器。
   在不使用 DNS-mapping的状况下,主机用域名访问服务器意味着主机必须能使用公网地址(202.38.1.1)去访问内网服务器。经过将NAT和NATServer 配置下发在内网网关接口上能够知足该应用(原先下发在公网接口上的nat server 配置是为了知足公网用户访问的,该部分配置不变)。
 
3、  配置步骤:

 方案一配置
<H3C>system-view
[H3C]sysname Gateway
[Gateway]interface g0/1
[Gateway-GigabitEthernet0/1]ip address 202.38.1.1 24
[Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www
[Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp
[Gateway-GigabitEthernet0/1]quit
[Gateway]interface g0/0
[Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24
[Gateway-GigabitEthernet0/0]quit
// 注意dns-map 配置中对应的地址是公网地址而不是服务器的内网地址
[Gateway] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port www
[Gateway] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp
 

 

方案二配置
<H3C>system-view
[H3C]sysname Gateway
[Gateway]acl number 3000
//编写acl 匹配来自内网网段目的地址为两台server的数据流
[Gateway-acl-adv-3000]rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.1 0
[Gateway-acl-adv-3000] rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.2 0
[Gateway]interface g0/0
[Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24
//将nat及nat server 配置下发在内网网关口上
[Gateway-GigabitEthernet0/0 ]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www
[Gateway-GigabitEthernet0/0] nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp
[Gateway-GigabitEthernet0/0] nat outbound 3000
[Gateway-GigabitEthernet0/0]quit       
//其它基础配置略

 
 
4、  配置关键点:
1.注意 dns-map的配置中的ip地址应该配置公网出接口地址。
Nat server 的相关配置应该下发在公网出接口上。
2.在方案二中, nat server 及 nat outbound的配置应当配置在内网网关接口上。而且注意acl 规则中的目的地址应匹配服务器主机地址。

3. 在方案二中,可使用 nat static 方式为私网server地址和公网地址间创建1对1转换。 这一配置能够用来代替nat server 的相关配置。app

联系我们 沪ICP备13005482号-10