最近碰见的一个问题,客户内部网络中没有部署DNS服务器,而用户访问内网服务器时,须要经过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。服务器
最后查了手册,产品手册中讲解了一种方法,就是用DNS-MAP能够实现,下面把工程师发给个人这个文档分享一下,其中又讲解了另外一种方法,最后我用了里面讲的“NAT 和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题,感谢提供这个文档的工程师,在此分享一下,但愿对你们有所帮助。网络
方案一配置
|
<H3C>system-view
[H3C]sysname Gateway
[Gateway]interface g0/1
[Gateway-GigabitEthernet0/1]ip address 202.38.1.1 24
[Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www
[Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp
[Gateway-GigabitEthernet0/1]quit
[Gateway]interface g0/0
[Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24
[Gateway-GigabitEthernet0/0]quit
// 注意dns-map 配置中对应的地址是公网地址而不是服务器的内网地址
[Gateway] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port www
[Gateway]
nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp
|
方案二配置
|
<H3C>system-view
[H3C]sysname Gateway
[Gateway]acl number 3000
//编写acl 匹配来自内网网段目的地址为两台server的数据流
[Gateway-acl-adv-3000]rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.1 0
[Gateway-acl-adv-3000] rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.2 0
[Gateway]interface g0/0
[Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24
//将nat及nat server 配置下发在内网网关口上
[Gateway-GigabitEthernet0/0
]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www
[Gateway-GigabitEthernet0/0]
nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp
[Gateway-GigabitEthernet0/0]
nat outbound 3000
[Gateway-GigabitEthernet0/0]quit
//其它基础配置略
|
3. 在方案二中,可使用 nat static 方式为私网server地址和公网地址间创建1对1转换。 这一配置能够用来代替nat server 的相关配置。app