外网用户通过外网地址访问内网服务器实验配置
外网用户通过外网地址访问内网服务器配置举例 1.组网需求 某公司内部对外提供web、ftp和smtp服务,而且提供两台web服务器。公司内部网址为10.110.0.0/16。其中,内部ftp服务器地址为10.110.10.3/16,内部web服务器1的ip地址为10.110.10.1/16,内部web服务器2的ip地址为10.110.10.2/16,内部smtp服务器ip地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网ip地址。需要实现如下功能:
外部的主机可以访问内部的服务器。
选用202.38.1.1作为公司对外提供服务的ip地址,web服务器2对外采用8080端口。
2.组网图 外网用户通过外网地址访问内网服务器配置组网图 3.配置步骤 按照组网图配置各接口的ip地址,具体配置过程略。
进入接口gigabitethernet1/0/2。
system-view[router] interface gigabitethernet 1/0/2 配置内部ftp服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网ftp服务器。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp 配置内部web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网web服务器1。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http 配置内部web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网web服务器2。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http 配置内部smtp服务器,允许外网主机使用地址202.38.1.1以及smtp协议定义的端口访问内网smtp服务器。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp 4.验证配置 以上配置完成后,外网host能够通过nat地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[router] display nat allnat internal server information:totally 4 internal servers.interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/21local ip/port : 10.110.10.3/21rule name : serverrule_1nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/25local ip/port : 10.110.10.4/25rule name : serverrule_4nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/80local ip/port : 10.110.10.1/80rule name : serverrule_2nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/8080local ip/port : 10.110.10.2/80rule name : serverrule_3nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active nat logging:log enable : disabledflow-begin : disabledflow-end : disabledflow-active : disabledport-block-assign : disabledport-block-withdraw : disabledalarm : disabledno-pat ip usage : disabled nat mapping behavior:mapping mode : address and port-dependentacl : ---config status: active nat alg:dns : enabledftp : enabledh323 : enabledicmp-error : enabledils : enabledmgcp : enablednbt : enabledpptp : enabledrtsp : enabledrsh : enabledsccp : enabledsip : enabledsqlnet : enabledtftp : enabledxdmcp : enabled static nat load balancing: disabled 通过以下显示命令,可以看到host访问ftp server时生成nat会话信息。
[router] display nat session verboseslot 0:total sessions found: 0 slot 2:initiator:source ip/port: 202.38.1.10/1694destination ip/port: 202.38.1.1/21ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/2responder:source ip/port: 10.110.10.3/21destination ip/port: 202.38.1.10/1694ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/1state: tcp_establishedapplication: ftprule id: -/-/-rule name:start time: 2012-08-15 1429 ttl: 3597sinitiator->responder: 7 packets 308 bytesresponder->initiator: 5 packets 312 bytes total sessions found: 1 外网用户通过域名访问内网服务器配置举例(地址不重叠) 1.组网需求 某公司内部对外提供web服务,web服务器地址为10.110.10.2/24。
该公司在内网有一台dns服务器,ip地址为10.110.10.3/24,用于解析web服务器的域名。
该公司拥有两个外网ip地址:202.38.1.2和202.38.1.3。
需要实现,外网主机可以通过域名访问内网的web服务器。
2.组网图 外网用户通过域名访问内网服务器配置组网图(地址不重叠) 3.配置思路 外网主机通过域名访问web服务器,首先需要通过访问内网dns服务器获取web服务器的ip地址,因此需要通过配置nat内部服务器将dns服务器的内网ip地址和dns服务端口映射为一个外网地址和端口。
dns服务器回应给外网主机的dns报文载荷中携带了web服务器的内网ip地址,因此需要将dns报文载荷中的内网ip地址转换为一个外网ip地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过dns alg功能实现。
4.配置步骤 按照组网图配置各接口的ip地址,具体配置过程略。
开启dns协议的alg功能。
system-view[router] nat alg dns 配置acl 2000,允许对内部网络中10.110.10.2的报文进行地址转换。
[router] acl basic 2000[router-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0[router-acl-ipv4-basic-2000] quit 创建地址组1。
[router] nat address-group 1 添加地址组成员202.38.1.3。
[router-address-group-1] address 202.38.1.3 202.38.1.3[router-address-group-1] quit 在接口gigabitethernet1/0/2上配置nat内部服务器,允许外网主机使用地址202.38.1.2访问内网dns服务器。
[router] interface gigabitethernet 1/0/2[router-gigabitethernet1/0/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns 在接口gigabitethernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对dns应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[router-gigabitethernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible 5.验证配置 以上配置完成后,外网host能够通过域名访问内网web server。通过查看如下显示信息,可以验证以上配置成功。
[router] display nat allnat address group information:totally 1 nat address groups.address group id: 1port range: 1-65535address information:start address end address202.38.1.3 202.38.1.3 nat outbound information:totally 1 nat outbound rules.interface: gigabitethernet1/0/2acl: 2000address group id: 1port-preserved: n no-pat: y reversible: yservice card: slot 2config status: activeglobal flow-table status: active nat internal server information:totally 1 internal servers.interface: gigabitethernet1/0/2protocol: 17(udp)global ip/port: 202.38.1.2/53local ip/port : 10.110.10.3/53rule name : serverrule_1nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active nat logging:log enable : disabledflow-begin : disabledflow-end : disabledflow-active : disabledport-block-assign : disabledport-block-withdraw : disabledalarm : disabledno-pat ip usage : disabled nat mapping behavior:mapping mode : address and port-dependentacl : ---config status: active nat alg:dns : enabledftp : enabledh323 : enabledicmp-error : enabledils : enabledmgcp : enablednbt : enabledpptp : enabledrtsp : enabledrsh : enabledsccp : enabledsip : enabledsqlnet : enabledtftp : enabledxdmcp : enabled static nat load balancing: disabled 通过以下显示命令,可以看到host访问web server时生成nat会话信息。
[router] display nat session verboseslot 0:total sessions found: 0 slot 2:initiator:source ip/port: 200.1.1.2/1694destination ip/port: 202.38.1.3/8080ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/2responder:source ip/port: 10.110.10.2/8080destination ip/port: 200.1.1.2/1694ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/1state: tcp_establishedapplication: httprule id: -/-/-rule name:start time: 2012-08-15 1429 ttl: 3597sinitiator->responder: 7 packets 308 bytesresponder->initiator: 5 packets 312 bytes total sessions found: 1 外网用户通过域名访问内网服务器配置举例(地址重叠) 1.组网需求 某公司内网使用的ip地址为192.168.1.0/24。
该公司内部对外提供web服务,web服务器地址为192.168.1.2/24。
该公司在内网有一台dns服务器,ip地址为192.168.1.3/24,用于解析web服务器的域名。
该公司拥有三个外网ip地址:202.38.1.2、202.38.1.3和202.38.1.4。
需要实现,外网主机可以通过域名访问与其地址重叠的内网web服务器。
2.组网图 外网用户通过域名访问内网服务器配置组网图(地址重叠) 3.配置思路 这是一个典型的双向nat应用,具体配置思路如下。
外网主机通过域名访问web服务器,首先需要访问内部的dns服务器获取web服务器的ip地址,因此需要通过配置nat内部服务器将dns服务器的内网ip地址和dns服务端口映射为一个外网地址和端口。
dns服务器回应给外网主机的dns报文载荷中携带了web服务器的内网ip地址,该地址与外网主机地址重叠,因此在出方向上需要为内网web服务器动态分配一个nat地址,并将载荷中的地址转换为该地址。nat地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过dns alg功能实现。
外网主机得到内网web服务器的ip地址之后(该地址为nat地址),使用该地址访问内网web服务器,因为外网主机的地址与内网web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个nat地址,可以通过入方向动态地址转换实现。
nat设备上没有目的地址为外网主机对应nat地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机nat地址的报文的出接口为gigabitethernet1/0/2。
4.配置步骤 按照组网图配置各接口的ip地址,具体配置过程略。
开启dns协议的alg功能。
system-view[router] nat alg dns 配置acl 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
[router] acl basic 2000[router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255[router-acl-ipv4-basic-2000] quit 创建地址组1。
[router] nat address-group 1 添加地址组成员202.38.1.2。
[router-address-group-1] address 202.38.1.2 202.38.1.2[router-address-group-1] quit 创建地址组2。
[router] nat address-group 2 添加地址组成员202.38.1.3。
[router-address-group-2] address 202.38.1.3 202.38.1.3[router-address-group-2] quit 在接口gigabitethernet1/0/2上配置nat内部服务器,允许外网主机使用地址202.38.1.4访问内网dns服务器。
[router] interface gigabitethernet 1/0/2[router-gigabitethernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns 在接口gigabitethernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对dns应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[router-gigabitethernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible 在接口gigabitethernet1/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。
[router-gigabitethernet1/0/2] nat inbound 2000 address-group 2 配置到达202.38.1.3地址的静态路由,出接口为gigabitethernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[router] ip route-static 202.38.1.3 32 gigabitethernet 1/0/2 20.2.2.2 5.验证配置 以上配置完成后,外网host能够通过域名访问内网相同ip地址的web server。通过查看如下显示信息,可以验证以上配置成功。
[router] display nat allnat address group information:totally 2 nat address groups.address group id: 1port range: 1-65535address information:start address end address202.38.1.2 202.38.1.2 address group id: 2port range: 1-65535address information:start address end address202.38.1.3 202.38.1.3 nat inbound information:totally 1 nat inbound rules.interface: gigabitethernet1/0/2acl: 2000address group id: 2add route: n no-pat: n reversible: nservice card: slot 2config status: activeglobal flow-table status: active nat outbound information:totally 1 nat outbound rules.interface: gigabitethernet1/0/2acl: 2000address group id: 1port-preserved: n no-pat: y reversible: yservice card: slot 2config status: activeglobal flow-table status: active nat internal server information:totally 1 internal servers.interface: gigabitethernet1/0/2protocol: 17(udp)global ip/port: 202.38.1.4/53local ip/port : 200.1.1.3/53rule name : serverrule_1nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active nat logging:log enable : disabledflow-begin : disabledflow-end : disabledflow-active : disabledport-block-assign : disabledport-block-withdraw : disabledalarm : disabledno-pat ip usage : disabled nat mapping behavior:mapping mode : address and port-dependentacl : ---config status: active nat alg:dns : enabledftp : enabledh323 : enabledicmp-error : enabledils : enabledmgcp : enablednbt : enabledpptp : enabledrtsp : enabledrsh : enabledsccp : enabledsip : enabledsqlnet : enabledtftp : enabledxdmcp : enabled static nat load balancing: disabled 通过以下显示命令,可以看到host访问web server时生成nat会话信息。
[router] display nat session verboseslot 0:total sessions found: 0 slot 2:initiator:source ip/port: 192.168.1.2/1694destination ip/port: 202.38.1.2/8080ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/2responder:source ip/port: 192.168.1.2/8080destination ip/port: 202.38.1.3/1025ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/1state: tcp_establishedapplication: httprule id: -/-/-rule name:start time: 2012-08-15 1429 ttl: 3597sinitiator->responder: 7 packets 308 bytesresponder->initiator: 5 packets 312 bytes total sessions found: 1
什么是编码器呢?如何测量旋转量和旋转速度?
怎么知道手表中框防水性能是否符合要求
工业物联网的构建需要注意什么问题
赵杰:国内的机器人产业过于关注价格,真正的高端机器人产品很少
拥抱2020年,控制中国互联网70%流量:“四巨头”鏖战产业互联网
外网用户通过外网地址访问内网服务器实验配置
库克智能MKC电子哨兵解决方案 助力疫情防控
高频电子变压器及其发展方向
一种基于DSP的视频图像压缩系统的设计
【格视野】模型圈资讯第四弹:徕卡推自研首款激光雷达无人机、第一个专业无人机试验测试基地投用…
区块链对于老百姓的理财有什么影响
工厂生产车间对讲广播系统
iPhone 12 mini或将采用残缺版A 14处理器,去掉耳机充电头设备
进博会现场买特斯拉有优惠 部分车型补贴25%关税
AirPods2到底买不买
苹果更新编程课程计划,面向更多中小学学生
设计模式行为型:模板方法模式
工地扬尘检测仪价格多少?我们如何选择生产商家
频谱仪与EMI接收机测量值解析
中科曙光CNAS质量检测中心再获认可
外部的主机可以访问内部的服务器。
选用202.38.1.1作为公司对外提供服务的ip地址,web服务器2对外采用8080端口。
2.组网图 外网用户通过外网地址访问内网服务器配置组网图 3.配置步骤 按照组网图配置各接口的ip地址,具体配置过程略。
进入接口gigabitethernet1/0/2。
system-view[router] interface gigabitethernet 1/0/2 配置内部ftp服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网ftp服务器。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp 配置内部web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网web服务器1。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http 配置内部web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网web服务器2。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http 配置内部smtp服务器,允许外网主机使用地址202.38.1.1以及smtp协议定义的端口访问内网smtp服务器。
[router-gigabitethernet1/0/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp 4.验证配置 以上配置完成后,外网host能够通过nat地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[router] display nat allnat internal server information:totally 4 internal servers.interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/21local ip/port : 10.110.10.3/21rule name : serverrule_1nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/25local ip/port : 10.110.10.4/25rule name : serverrule_4nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/80local ip/port : 10.110.10.1/80rule name : serverrule_2nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active interface: gigabitethernet1/0/2protocol: 6(tcp)global ip/port: 202.38.1.1/8080local ip/port : 10.110.10.2/80rule name : serverrule_3nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active nat logging:log enable : disabledflow-begin : disabledflow-end : disabledflow-active : disabledport-block-assign : disabledport-block-withdraw : disabledalarm : disabledno-pat ip usage : disabled nat mapping behavior:mapping mode : address and port-dependentacl : ---config status: active nat alg:dns : enabledftp : enabledh323 : enabledicmp-error : enabledils : enabledmgcp : enablednbt : enabledpptp : enabledrtsp : enabledrsh : enabledsccp : enabledsip : enabledsqlnet : enabledtftp : enabledxdmcp : enabled static nat load balancing: disabled 通过以下显示命令,可以看到host访问ftp server时生成nat会话信息。
[router] display nat session verboseslot 0:total sessions found: 0 slot 2:initiator:source ip/port: 202.38.1.10/1694destination ip/port: 202.38.1.1/21ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/2responder:source ip/port: 10.110.10.3/21destination ip/port: 202.38.1.10/1694ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/1state: tcp_establishedapplication: ftprule id: -/-/-rule name:start time: 2012-08-15 1429 ttl: 3597sinitiator->responder: 7 packets 308 bytesresponder->initiator: 5 packets 312 bytes total sessions found: 1 外网用户通过域名访问内网服务器配置举例(地址不重叠) 1.组网需求 某公司内部对外提供web服务,web服务器地址为10.110.10.2/24。
该公司在内网有一台dns服务器,ip地址为10.110.10.3/24,用于解析web服务器的域名。
该公司拥有两个外网ip地址:202.38.1.2和202.38.1.3。
需要实现,外网主机可以通过域名访问内网的web服务器。
2.组网图 外网用户通过域名访问内网服务器配置组网图(地址不重叠) 3.配置思路 外网主机通过域名访问web服务器,首先需要通过访问内网dns服务器获取web服务器的ip地址,因此需要通过配置nat内部服务器将dns服务器的内网ip地址和dns服务端口映射为一个外网地址和端口。
dns服务器回应给外网主机的dns报文载荷中携带了web服务器的内网ip地址,因此需要将dns报文载荷中的内网ip地址转换为一个外网ip地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过dns alg功能实现。
4.配置步骤 按照组网图配置各接口的ip地址,具体配置过程略。
开启dns协议的alg功能。
system-view[router] nat alg dns 配置acl 2000,允许对内部网络中10.110.10.2的报文进行地址转换。
[router] acl basic 2000[router-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0[router-acl-ipv4-basic-2000] quit 创建地址组1。
[router] nat address-group 1 添加地址组成员202.38.1.3。
[router-address-group-1] address 202.38.1.3 202.38.1.3[router-address-group-1] quit 在接口gigabitethernet1/0/2上配置nat内部服务器,允许外网主机使用地址202.38.1.2访问内网dns服务器。
[router] interface gigabitethernet 1/0/2[router-gigabitethernet1/0/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns 在接口gigabitethernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对dns应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[router-gigabitethernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible 5.验证配置 以上配置完成后,外网host能够通过域名访问内网web server。通过查看如下显示信息,可以验证以上配置成功。
[router] display nat allnat address group information:totally 1 nat address groups.address group id: 1port range: 1-65535address information:start address end address202.38.1.3 202.38.1.3 nat outbound information:totally 1 nat outbound rules.interface: gigabitethernet1/0/2acl: 2000address group id: 1port-preserved: n no-pat: y reversible: yservice card: slot 2config status: activeglobal flow-table status: active nat internal server information:totally 1 internal servers.interface: gigabitethernet1/0/2protocol: 17(udp)global ip/port: 202.38.1.2/53local ip/port : 10.110.10.3/53rule name : serverrule_1nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active nat logging:log enable : disabledflow-begin : disabledflow-end : disabledflow-active : disabledport-block-assign : disabledport-block-withdraw : disabledalarm : disabledno-pat ip usage : disabled nat mapping behavior:mapping mode : address and port-dependentacl : ---config status: active nat alg:dns : enabledftp : enabledh323 : enabledicmp-error : enabledils : enabledmgcp : enablednbt : enabledpptp : enabledrtsp : enabledrsh : enabledsccp : enabledsip : enabledsqlnet : enabledtftp : enabledxdmcp : enabled static nat load balancing: disabled 通过以下显示命令,可以看到host访问web server时生成nat会话信息。
[router] display nat session verboseslot 0:total sessions found: 0 slot 2:initiator:source ip/port: 200.1.1.2/1694destination ip/port: 202.38.1.3/8080ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/2responder:source ip/port: 10.110.10.2/8080destination ip/port: 200.1.1.2/1694ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/1state: tcp_establishedapplication: httprule id: -/-/-rule name:start time: 2012-08-15 1429 ttl: 3597sinitiator->responder: 7 packets 308 bytesresponder->initiator: 5 packets 312 bytes total sessions found: 1 外网用户通过域名访问内网服务器配置举例(地址重叠) 1.组网需求 某公司内网使用的ip地址为192.168.1.0/24。
该公司内部对外提供web服务,web服务器地址为192.168.1.2/24。
该公司在内网有一台dns服务器,ip地址为192.168.1.3/24,用于解析web服务器的域名。
该公司拥有三个外网ip地址:202.38.1.2、202.38.1.3和202.38.1.4。
需要实现,外网主机可以通过域名访问与其地址重叠的内网web服务器。
2.组网图 外网用户通过域名访问内网服务器配置组网图(地址重叠) 3.配置思路 这是一个典型的双向nat应用,具体配置思路如下。
外网主机通过域名访问web服务器,首先需要访问内部的dns服务器获取web服务器的ip地址,因此需要通过配置nat内部服务器将dns服务器的内网ip地址和dns服务端口映射为一个外网地址和端口。
dns服务器回应给外网主机的dns报文载荷中携带了web服务器的内网ip地址,该地址与外网主机地址重叠,因此在出方向上需要为内网web服务器动态分配一个nat地址,并将载荷中的地址转换为该地址。nat地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过dns alg功能实现。
外网主机得到内网web服务器的ip地址之后(该地址为nat地址),使用该地址访问内网web服务器,因为外网主机的地址与内网web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个nat地址,可以通过入方向动态地址转换实现。
nat设备上没有目的地址为外网主机对应nat地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机nat地址的报文的出接口为gigabitethernet1/0/2。
4.配置步骤 按照组网图配置各接口的ip地址,具体配置过程略。
开启dns协议的alg功能。
system-view[router] nat alg dns 配置acl 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
[router] acl basic 2000[router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255[router-acl-ipv4-basic-2000] quit 创建地址组1。
[router] nat address-group 1 添加地址组成员202.38.1.2。
[router-address-group-1] address 202.38.1.2 202.38.1.2[router-address-group-1] quit 创建地址组2。
[router] nat address-group 2 添加地址组成员202.38.1.3。
[router-address-group-2] address 202.38.1.3 202.38.1.3[router-address-group-2] quit 在接口gigabitethernet1/0/2上配置nat内部服务器,允许外网主机使用地址202.38.1.4访问内网dns服务器。
[router] interface gigabitethernet 1/0/2[router-gigabitethernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns 在接口gigabitethernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对dns应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[router-gigabitethernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible 在接口gigabitethernet1/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。
[router-gigabitethernet1/0/2] nat inbound 2000 address-group 2 配置到达202.38.1.3地址的静态路由,出接口为gigabitethernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[router] ip route-static 202.38.1.3 32 gigabitethernet 1/0/2 20.2.2.2 5.验证配置 以上配置完成后,外网host能够通过域名访问内网相同ip地址的web server。通过查看如下显示信息,可以验证以上配置成功。
[router] display nat allnat address group information:totally 2 nat address groups.address group id: 1port range: 1-65535address information:start address end address202.38.1.2 202.38.1.2 address group id: 2port range: 1-65535address information:start address end address202.38.1.3 202.38.1.3 nat inbound information:totally 1 nat inbound rules.interface: gigabitethernet1/0/2acl: 2000address group id: 2add route: n no-pat: n reversible: nservice card: slot 2config status: activeglobal flow-table status: active nat outbound information:totally 1 nat outbound rules.interface: gigabitethernet1/0/2acl: 2000address group id: 1port-preserved: n no-pat: y reversible: yservice card: slot 2config status: activeglobal flow-table status: active nat internal server information:totally 1 internal servers.interface: gigabitethernet1/0/2protocol: 17(udp)global ip/port: 202.38.1.4/53local ip/port : 200.1.1.3/53rule name : serverrule_1nat counting : 0service card : slot 2config status : activeglobal flow-table status: activelocal flow-table status: active nat logging:log enable : disabledflow-begin : disabledflow-end : disabledflow-active : disabledport-block-assign : disabledport-block-withdraw : disabledalarm : disabledno-pat ip usage : disabled nat mapping behavior:mapping mode : address and port-dependentacl : ---config status: active nat alg:dns : enabledftp : enabledh323 : enabledicmp-error : enabledils : enabledmgcp : enablednbt : enabledpptp : enabledrtsp : enabledrsh : enabledsccp : enabledsip : enabledsqlnet : enabledtftp : enabledxdmcp : enabled static nat load balancing: disabled 通过以下显示命令,可以看到host访问web server时生成nat会话信息。
[router] display nat session verboseslot 0:total sessions found: 0 slot 2:initiator:source ip/port: 192.168.1.2/1694destination ip/port: 202.38.1.2/8080ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/2responder:source ip/port: 192.168.1.2/8080destination ip/port: 202.38.1.3/1025ds-lite tunnel peer: -vpn instance/vlan id/inline id: -/-/-protocol: tcp(6)inbound interface: gigabitethernet1/0/1state: tcp_establishedapplication: httprule id: -/-/-rule name:start time: 2012-08-15 1429 ttl: 3597sinitiator->responder: 7 packets 308 bytesresponder->initiator: 5 packets 312 bytes total sessions found: 1
什么是编码器呢?如何测量旋转量和旋转速度?
怎么知道手表中框防水性能是否符合要求
工业物联网的构建需要注意什么问题
赵杰:国内的机器人产业过于关注价格,真正的高端机器人产品很少
拥抱2020年,控制中国互联网70%流量:“四巨头”鏖战产业互联网
外网用户通过外网地址访问内网服务器实验配置
库克智能MKC电子哨兵解决方案 助力疫情防控
高频电子变压器及其发展方向
一种基于DSP的视频图像压缩系统的设计
【格视野】模型圈资讯第四弹:徕卡推自研首款激光雷达无人机、第一个专业无人机试验测试基地投用…
区块链对于老百姓的理财有什么影响
工厂生产车间对讲广播系统
iPhone 12 mini或将采用残缺版A 14处理器,去掉耳机充电头设备
进博会现场买特斯拉有优惠 部分车型补贴25%关税
AirPods2到底买不买
苹果更新编程课程计划,面向更多中小学学生
设计模式行为型:模板方法模式
工地扬尘检测仪价格多少?我们如何选择生产商家
频谱仪与EMI接收机测量值解析
中科曙光CNAS质量检测中心再获认可