H3C 路由器內網用戶經過域名訪問內網服務器的配置方法

        最近碰見的一個問題，客戶內部網絡中沒有部署DNS服務器，而用戶訪問內網服務器時，須要經過申請的公網域名（對應客戶網絡出口路由的公網IP地址）訪問內網服務器。

        最後查了手冊，產品手冊中講解了一種方法，就是用DNS-MAP能夠實現，下面把工程師發給個人這個文檔分享一下，其中又講解了另外一種方法，最後我用了裏面講的「NAT 和NAT Server 下發在內網網關接口」的這種方法給客戶解決了問題，感謝提供這個文檔的工程師，在此分享一下，但願對你們有所幫助。

         

1、  組網需求：

組網如圖所示，內網中存在兩臺服務器分別對外提供 www及ftp服務，網關路由器公網接口上已下發nat server 配置。DNS服務器位於公網，將兩臺服務器的對應的域名映射到公網出口地址202.38.1.1上，公網用戶能夠經過域名訪問服務器。

要求：內網用戶可使用域名訪問內網的兩臺服務器。

涉及產品： SR6600路由器

 

2、  組網圖：

 

方案一：DNS-mapping 方案：

    在 SR6600路由器上配置DNS map功能，能夠創建域名-公網地址-公網端口號-服務協議的匹配表項。當內網用戶發出的DNS解析請求獲得的DNS Server響應到達配置了NAT server 的公網出接口時，接口上查找到DNS map表項後會將內網服務器的地址替換解析到的公網地址，主機就可使用內網地址直接訪問服務器。

 

方案二 ： 利用 NAT 和 NAT Server 下發在內網網關接口上，使內網主機經過公網地址去訪問服務器。

   在不使用 DNS-mapping的狀況下，主機用域名訪問服務器意味着主機必須能使用公網地址（202.38.1.1）去訪問內網服務器。經過將NAT和NATServer 配置下發在內網網關接口上能夠知足該應用（原先下發在公網接口上的nat server 配置是爲了知足公網用戶訪問的，該部分配置不變）。

 

3、  配置步驟：

方案一配置

<H3C>system-view [H3C]sysname Gateway [Gateway]interface g0/1 [Gateway-GigabitEthernet0/1]ip address 202.38.1.1 24 [Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www [Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp [Gateway-GigabitEthernet0/1]quit [Gateway]interface g0/0 [Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24 [Gateway-GigabitEthernet0/0]quit // 注意dns-map 配置中對應的地址是公網地址而不是服務器的內網地址 [Gateway] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port www [Gateway] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp

 

方案二配置

<H3C>system-view [H3C]sysname Gateway [Gateway]acl number 3000 //編寫acl 匹配來自內網網段目的地址爲兩臺server的數據流 [Gateway-acl-adv-3000]rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.1 0 [Gateway-acl-adv-3000] rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.2 0 [Gateway]interface g0/0 [Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24 //將nat及nat server 配置下發在內網網關口上 [Gateway-GigabitEthernet0/0 ]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www [Gateway-GigabitEthernet0/0] nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp [Gateway-GigabitEthernet0/0] nat outbound 3000 [Gateway-GigabitEthernet0/0]quit        //其它基礎配置略

 

 

4、  配置關鍵點：

1．注意 dns-map的配置中的ip地址應該配置公網出接口地址。

Nat server 的相關配置應該下發在公網出接口上。

2．在方案二中， nat server 及 nat outbound的配置應當配置在內網網關接口上。而且注意acl 規則中的目的地址應匹配服務器主機地址。

3. 在方案二中，可使用 nat static 方式爲私網server地址和公網地址間創建1對1轉換。 這一配置能夠用來代替nat server 的相關配置。