內(nèi)網(wǎng)通過公網(wǎng)地址訪問內(nèi)部服務(wù)器

2017-03-27

8556

內(nèi)網(wǎng)通過公網(wǎng)地址訪問內(nèi)部服務(wù)器一、組網(wǎng)拓撲：二、組網(wǎng)需求：要求內(nèi)部用戶訪問內(nèi)部服務(wù)器時，可通過外網(wǎng)映射的地址訪問服務(wù)器（WWW ，F(xiàn)TP 等）。三、配置實例如下：dis cur#sysname Qui

一、組網(wǎng)拓撲：

二、組網(wǎng)需求：

要求內(nèi)部用戶訪問內(nèi)部服務(wù)器時，可通過外網(wǎng)映射的地址訪問服務(wù)器（WWW ，F(xiàn)TP 等）。

三、配置實例如下：

dis cur

sysname Quidway

firewall packet-filter enable

firewall packet-filter default permit

undo insulate

undo connection-limit enable

connection-limit default deny

connection-limit default amount upper-limit 50 lower-limit 20

firewall statistic system enable

radius scheme system

domain system

acl number 2000

rule 0 permit source 172.16.0.0 0.0.255.255

interface Aux0

async mode flow

interface Ethernet0/0

ip address 172.16.2.1 255.255.255.0

nat server protocol tcp global 10.153.49.212 www inside 172.16.1.2 www #

interface Ethernet1/0

ip address 10.153.49.193 255.255.252.0

nat outbound 2000

nat server protocol tcp global 10.153.49.212 www inside 172.16.1.2 www #

interface Ethernet1/1

interface Ethernet1/2

ip address 172.16.1.1 255.255.255.0

interface NULL0

firewall zone local

set priority 100

firewall zone trust

add interface Ethernet0/0

set priority 85

firewall zone untrust

add interface Ethernet1/0

set priority 5

firewall zone DMZ

add interface Ethernet1/2

set priority 50

firewall interzone local trust

firewall interzone local untrust

firewall interzone local DMZ

firewall interzone trust untrust

firewall interzone trust DMZ

firewall interzone DMZ untrust

ip route-static 0.0.0.0 0.0.0.0 10.153.48.1 preference 60

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode none

return

四、說明：

1．映射地址可以是出口的接口地址。

2．服務(wù)器可以在“TRUST ”區(qū)域中。

3．目前在SecPath 防火墻上，暫時還沒有辦法使內(nèi)網(wǎng)用戶通過域名、外網(wǎng)IP 、私網(wǎng)地址

同時能訪問內(nèi)網(wǎng)服務(wù)器。

路由器內(nèi)網(wǎng)PC 通過公網(wǎng)IP 訪問映射的內(nèi)網(wǎng)SERVER 案例

一、組網(wǎng)：

二、問題描述：

拓樸如上圖，內(nèi)網(wǎng)PC 與內(nèi)網(wǎng)所在的SERVER 在同一個網(wǎng)段, 現(xiàn)在內(nèi)網(wǎng)SERVER 對公網(wǎng)用戶提供WWW 和FTP 服務(wù), 在公網(wǎng)上有相應(yīng)的域名。現(xiàn)在要求內(nèi)網(wǎng)PC 可以同時通過公網(wǎng)域名、公網(wǎng)IP 和私網(wǎng)IP 來訪問內(nèi)網(wǎng)的這臺SERVER 。

三、過程分析：

內(nèi)網(wǎng)主機通過公網(wǎng)域名來訪問映射的SERVER 在AR 路由器上都是通過NAT

DNS-MAP 來實現(xiàn)的，但不能同時通過公網(wǎng)IP 和私網(wǎng)IP 來訪問SERVER 。如果在設(shè)備內(nèi)網(wǎng)口配置NAT SERVER則可以把訪問公網(wǎng)地址轉(zhuǎn)換成私網(wǎng)地址，然后向SERVER 發(fā)起連接，但源地址還是內(nèi)網(wǎng)主機的地址，此時SERVER 給PC 回應(yīng)報文時就不會走路由器，直接發(fā)到了內(nèi)網(wǎng)PC 上，內(nèi)網(wǎng)PC 認為不是自己要訪問的地址，會把這個報文丟棄，因此會導(dǎo)致連接中斷。如果讓SERVER 把報文回給路由器，路由器再根據(jù)NAT SESSION就可以正確轉(zhuǎn)發(fā)給PC 了。

四、解決方法：

在內(nèi)網(wǎng)接口配置一個NAT OUTBOUND 3000就可以了。具體配置如下:

[H3C]dis cu

sysname H3C

clock timezone gmt 08:004 add 08:00:00

cpu-usage cycle 1min

connection-limit disable

connection-limit default action deny

connection-limit default amount upper-limit 50 lower-limit 20 #

web set-package force flash:/http.zip

radius scheme system

domain system

local-user admin

password cipher .]@USE=B,53Q=^Q`MAF4<1!!

service-type telnet terminal

level 3

service-type ftp

acl number 2000

rule 0 permit source 192.168.1.0 0.0.0.255

rule 1 deny

acl number 3000

rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0

interface Aux0

async mode flow

interface Ethernet1/0

ip address 192.168.1.1 255.255.255.0

nat outbound 3000

nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp #

interface Ethernet1/1

interface Ethernet1/2

interface Ethernet1/3

interface Ethernet1/4

interface Ethernet1/5

interface Ethernet1/6

interface Ethernet1/7

interface Ethernet1/8

interface Ethernet2/0

ip address 200.0.0.2 255.255.255.0

nat outbound 2000

nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp #

interface Ethernet3/0

interface NULL0

FTP server enable

ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60

user-interface con 0

user-interface aux 0

user-interface vty 0 4

authentication-mode scheme

return

[H3C]

卖逼视频免费看片|狼人就干网中文字慕|成人av影院导航|人妻少妇精品无码专区二区妖婧|亚洲丝袜视频玖玖|一区二区免费中文|日本高清无码一区|国产91无码小说|国产黄片子视频91sese日韩|免费高清无码成人网站入口

相關(guān)推薦