内网通过域名及公网IP访问WWW服务器情况汇总
2018-01-31 11:08
639 查看
一、网络环境及问题描述网络环境: 1、内部网络办公网划分VLAN10 网段:192.168.1.0/24 网关位于核心SWA2、DMZ网络划分至VLAN20 网段:192.168.2.0/24 网关位于核心SWA3、管理网段划分VLAN100 网段:192.168.100.0/24 网关位于核心SWA 4、出口路由器RT:公网地址为111.111.111.2 ,E1口地址为192.168.100.25、web服务器www.abc.com,IP:192.168.2.2 并在出口RT上配置natserver
SWA配置: <H3C>#Jan 27 13:07:43:655 2018 H3C SHELL/4/LOGIN: Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console%Jan 27 13:07:43:655 2018 H3C SHELL/5/SHELL_LOGIN: Console logged in from con0.<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 10 [H3C-vlan10]int vlan 10[H3C-Vlan-interface10]ip address 192.168.1.1 24[H3C-Vlan-interface10]quit[H3C]vlan 20[H3C-vlan20]int vlan 20[H3C-Vlan-interface20]ip address 192.168.2.1 24[H3C-Vlan-interface20]quit[H3C]vlan 100[H3C-vlan100]int vlan 100 [H3C-Vlan-interface100]ip address 192.168.100.1 24[H3C-Vlan-interface100]quit[H3C][H3C][H3C]vlan 10[H3C-vlan10]port Ethernet 0/4/1[H3C-vlan10]%Jan 27 13:10:46:785 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface10 link status is UP.%Jan 27 13:10:46:785 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface10 is UP.[H3C-vlan10]quit [H3C]vlan 20[H3C-vlan20]port Ethernet 0/4/2[H3C-vlan20]%Jan 27 13:11:15:271 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface20 link status is UP.%Jan 27 13:11:15:271 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface20 is UP.[H3C-vlan20]quit[H3C]vlan 100[H3C-vlan100]port Ethernet 0/4/0[H3C-vlan100]%Jan 27 13:11:51:510 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface100 link status is UP.%Jan 27 13:11:51:510 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface100 is UP.[H3C-vlan100]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2 RT配置:<H3C><H3C>sysSystem View: return to User View with Ctrl+Z.[H3C] int e0/0/0[H3C-Ethernet0/0/0][H3C-Ethernet0/0/0]ip address 111.111.111.2 24[H3C]int e0/0/1[H3C-Ethernet0/0/1][H3C-Ethernet0/0/1]ip address 192.168.100.2 24[H3C-Ethernet0/0/1][H3C-Ethernet0/0/1]quit[H3C]ping 111.111.111.1 PING 111.111.111.1: 56 data bytes, press CTRL_C to break Reply from 111.111.111.1: bytes=56 Sequence=1 ttl=255 time=8 ms Reply from 111.111.111.1: bytes=56 Sequence=2 ttl=255 time=4 ms Reply from 111.111.111.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 111.111.111.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 111.111.111.1: bytes=56 Sequence=5 ttl=255 time=10 ms --- 111.111.111.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/4/10 ms[H3C]ip route-static 192.168.0.0 255.255.0.0 192.168.100.1[H3C]acl number 2222[H3C-acl-basic-2222]rule 1 permit source any [H3C-acl-basic-2222][H3C-acl-basic-2222]quit[H3C]int e0/0/0 [H3C-Ethernet0/0/0]nat outbound 2222[H3C-Ethernet0/0/0]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2[H3C]ip route-static 0.0.0.0 0.0.0.0 11.111.111.1 完成上述配置,则PC可正常访问公网,公网用户可正常访问www.abc.com;内网PC通过http://192.168.2.2 可以正常访问www服务器, 问题:内网PC通过www.abc.com、http://111.111.111.2则无法访问www服务器。问题原因分析:Step1:PC访问www.abc.com,通过DNS解析,PC得到www.abc.com的IP地址为:111.111.111.2。Step2:PC向网关SWA发出源IP为192.168.1.2 目的IP为111.111.111.2的数据包。Step3:SWA接收到PC数据包,并转发至出口路由RT。Step4:RT接收该数据包查看目的地址为自己接口地址,并有www的映射,会将该数据包打包成:源IP为192.168.1.2,目的IP为192.168.2.2的数据包并发送给SWA。Step5:SWA接收数据包并转发给www服务器。Step6:www服务器接收该数据包进行分析处理,并返回源IP为192.168.2.2,目的IP为:192.168.1.2的数据包,并发送给网关SWA。Step7:SWA接收到该数据包,得知目的地址为192.168.1.2,则将该数据包直接发送给SWB,SWB发送到内网PC。PC发送的数据包为 源IP:192.168.1.2 目的IP:111.111.111.2PC接收的数据包为 源IP:192.168.2.2 目的IP:192.168.1.2故PC对接收到的数据包会直接丢弃,所以无法PC无法打开www.abc.com的页面。一、 解决方案1、 仅通过域名:www.abc.com访问www服务器原理:默认情况下,内网PC解析www.abc.com得到www服务器的公网地址111.111.111.2;将内网PC 在解析域名www.abc.com时,得到www的内网地址:192.168.2.2即可。解决方案1、内网仅有个别PC需要通过域名访问,大部分通过http://192.168.2.2访问,甚至大部分不需访问。此情况可通过最简单的更改host文件实现:如图
解决方案2内网所有用户都需要通过www.abc.com进行访问www服务器,而不需要通过http://111.111.111.2进行访问。通过nat dns mapping功能实现: 在RT 上配置:nat dns-map domain www.abc.com protocol tcp ip 111.111.111.2 port www
解决方案3通过架设内网的DNS服务器解决(此方案适合内网已有DNS服务器,若没有情况下单独架设,则成本较高,不适用) 在内网架设DNS服务器(非面向公网权威解析的服务器,如IP:192.168.2.3) 配置域名abc.com;将www.abc.com A记录解析为192.168.2.2 。同时支持递归解析公网域名(默认搭建完成,基本都支持)。内网PC配置DNS地址为:192.168.2.3即可。2、 既需通过www.abc.com域名访问,又需要通过http://111.111.111.2访问原理:使PC访问www服务器的请求数据包,及www服务器返回PC的应答数据包,保持往返路径一致即可。解决方案4若企业网规模较小,办公网与DMZ属于不同网段,且无核心交换情况下,可将两个网段的网关移至出口路由设备,如下图:
解决方案5 在路由器RT的E0口(外网口)、E1口(内网口)配置相同的natserver,及nat地址转换。在RTE1口配置:[H3C]acl number 2223[H3C-acl-basic-2223]rule 1 permit source 192.168.1.0 0.0.0.255[H3C-acl-basic-2223]rule 2 permit source 192.168.2.0 0.0.0.255[H3C-acl-basic-2223][H3C-acl-basic-2223]quit[H3C]int e0/0/1 [H3C-Ethernet0/0/1]nat outbound 2222[H3C-Ethernet0/0/1]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2通过上述配置可使PC到www.abc.com的数据包保持往返路径一致。
SWA配置: <H3C>#Jan 27 13:07:43:655 2018 H3C SHELL/4/LOGIN: Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console%Jan 27 13:07:43:655 2018 H3C SHELL/5/SHELL_LOGIN: Console logged in from con0.<H3C>sysSystem View: return to User View with Ctrl+Z.[H3C]vlan 10 [H3C-vlan10]int vlan 10[H3C-Vlan-interface10]ip address 192.168.1.1 24[H3C-Vlan-interface10]quit[H3C]vlan 20[H3C-vlan20]int vlan 20[H3C-Vlan-interface20]ip address 192.168.2.1 24[H3C-Vlan-interface20]quit[H3C]vlan 100[H3C-vlan100]int vlan 100 [H3C-Vlan-interface100]ip address 192.168.100.1 24[H3C-Vlan-interface100]quit[H3C][H3C][H3C]vlan 10[H3C-vlan10]port Ethernet 0/4/1[H3C-vlan10]%Jan 27 13:10:46:785 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface10 link status is UP.%Jan 27 13:10:46:785 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface10 is UP.[H3C-vlan10]quit [H3C]vlan 20[H3C-vlan20]port Ethernet 0/4/2[H3C-vlan20]%Jan 27 13:11:15:271 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface20 link status is UP.%Jan 27 13:11:15:271 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface20 is UP.[H3C-vlan20]quit[H3C]vlan 100[H3C-vlan100]port Ethernet 0/4/0[H3C-vlan100]%Jan 27 13:11:51:510 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface100 link status is UP.%Jan 27 13:11:51:510 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface100 is UP.[H3C-vlan100]quit[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2 RT配置:<H3C><H3C>sysSystem View: return to User View with Ctrl+Z.[H3C] int e0/0/0[H3C-Ethernet0/0/0][H3C-Ethernet0/0/0]ip address 111.111.111.2 24[H3C]int e0/0/1[H3C-Ethernet0/0/1][H3C-Ethernet0/0/1]ip address 192.168.100.2 24[H3C-Ethernet0/0/1][H3C-Ethernet0/0/1]quit[H3C]ping 111.111.111.1 PING 111.111.111.1: 56 data bytes, press CTRL_C to break Reply from 111.111.111.1: bytes=56 Sequence=1 ttl=255 time=8 ms Reply from 111.111.111.1: bytes=56 Sequence=2 ttl=255 time=4 ms Reply from 111.111.111.1: bytes=56 Sequence=3 ttl=255 time=1 ms Reply from 111.111.111.1: bytes=56 Sequence=4 ttl=255 time=1 ms Reply from 111.111.111.1: bytes=56 Sequence=5 ttl=255 time=10 ms --- 111.111.111.1 ping statistics --- 5 packet(s) transmitted 5 packet(s) received 0.00% packet loss round-trip min/avg/max = 1/4/10 ms[H3C]ip route-static 192.168.0.0 255.255.0.0 192.168.100.1[H3C]acl number 2222[H3C-acl-basic-2222]rule 1 permit source any [H3C-acl-basic-2222][H3C-acl-basic-2222]quit[H3C]int e0/0/0 [H3C-Ethernet0/0/0]nat outbound 2222[H3C-Ethernet0/0/0]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2[H3C]ip route-static 0.0.0.0 0.0.0.0 11.111.111.1 完成上述配置,则PC可正常访问公网,公网用户可正常访问www.abc.com;内网PC通过http://192.168.2.2 可以正常访问www服务器, 问题:内网PC通过www.abc.com、http://111.111.111.2则无法访问www服务器。问题原因分析:Step1:PC访问www.abc.com,通过DNS解析,PC得到www.abc.com的IP地址为:111.111.111.2。Step2:PC向网关SWA发出源IP为192.168.1.2 目的IP为111.111.111.2的数据包。Step3:SWA接收到PC数据包,并转发至出口路由RT。Step4:RT接收该数据包查看目的地址为自己接口地址,并有www的映射,会将该数据包打包成:源IP为192.168.1.2,目的IP为192.168.2.2的数据包并发送给SWA。Step5:SWA接收数据包并转发给www服务器。Step6:www服务器接收该数据包进行分析处理,并返回源IP为192.168.2.2,目的IP为:192.168.1.2的数据包,并发送给网关SWA。Step7:SWA接收到该数据包,得知目的地址为192.168.1.2,则将该数据包直接发送给SWB,SWB发送到内网PC。PC发送的数据包为 源IP:192.168.1.2 目的IP:111.111.111.2PC接收的数据包为 源IP:192.168.2.2 目的IP:192.168.1.2故PC对接收到的数据包会直接丢弃,所以无法PC无法打开www.abc.com的页面。一、 解决方案1、 仅通过域名:www.abc.com访问www服务器原理:默认情况下,内网PC解析www.abc.com得到www服务器的公网地址111.111.111.2;将内网PC 在解析域名www.abc.com时,得到www的内网地址:192.168.2.2即可。解决方案1、内网仅有个别PC需要通过域名访问,大部分通过http://192.168.2.2访问,甚至大部分不需访问。此情况可通过最简单的更改host文件实现:如图
解决方案2内网所有用户都需要通过www.abc.com进行访问www服务器,而不需要通过http://111.111.111.2进行访问。通过nat dns mapping功能实现: 在RT 上配置:nat dns-map domain www.abc.com protocol tcp ip 111.111.111.2 port www
解决方案3通过架设内网的DNS服务器解决(此方案适合内网已有DNS服务器,若没有情况下单独架设,则成本较高,不适用) 在内网架设DNS服务器(非面向公网权威解析的服务器,如IP:192.168.2.3) 配置域名abc.com;将www.abc.com A记录解析为192.168.2.2 。同时支持递归解析公网域名(默认搭建完成,基本都支持)。内网PC配置DNS地址为:192.168.2.3即可。2、 既需通过www.abc.com域名访问,又需要通过http://111.111.111.2访问原理:使PC访问www服务器的请求数据包,及www服务器返回PC的应答数据包,保持往返路径一致即可。解决方案4若企业网规模较小,办公网与DMZ属于不同网段,且无核心交换情况下,可将两个网段的网关移至出口路由设备,如下图:
解决方案5 在路由器RT的E0口(外网口)、E1口(内网口)配置相同的natserver,及nat地址转换。在RTE1口配置:[H3C]acl number 2223[H3C-acl-basic-2223]rule 1 permit source 192.168.1.0 0.0.0.255[H3C-acl-basic-2223]rule 2 permit source 192.168.2.0 0.0.0.255[H3C-acl-basic-2223][H3C-acl-basic-2223]quit[H3C]int e0/0/1 [H3C-Ethernet0/0/1]nat outbound 2222[H3C-Ethernet0/0/1]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2通过上述配置可使PC到www.abc.com的数据包保持往返路径一致。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 如何通过公网IP经过防火墙访问内网服务器
- 如何把域名映射到内网服务器(内网能访问,但是通过域名不能访问)
- NAT分析(内网用户通过域名访问服务器)
- NAT后网络回流造成内网无法通过公网IP访问应用服务器
- 内网用户通过域名访问内部服务器解决方案
- 内网用户通过公网IP地址访问内部服务器
- 使用frp通过自定义二级域名访问内网服务器
- 内网用户通过公网IP地址访问内部服务器(华为DNS-MAP应用案例)
- NAT分析(内网用户通过域名访问服务器)
- 内网用户通过公网IP地址访问内部服务器
- H3C 路由器内网用户通过域名访问内网服务器的配置方法
- 实现内网通过外网域名访问NAT映射的内网服务器
- 关于DNAT后,内网用户无法通过域名访问服务器的解决
- SR6600系列路由器内网用户通过域名访问内网服务器的配置方法
- ROS Dst-Nat 后内网不能通过公网IP访问内网服务器解决方法
- 使用frp通过自定义二级域名访问内网服务器
- 关于pix.asa防火墙内网通过域名访问内部服务器的解决办法
- CISCO路由器设置 内网用户通过域名访问内网服务器