H3C 路由器内网用户通过域名访问内网服务器的配置方法

备注：按照第一种方案解决了问题。

// 注意dns-map 配置中对应的地址是公网地址而不是服务器的内网地址

以下红色字体为外网域名，公网IP，对应的端口号。

[Gateway] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port 8000

[Gateway] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp

最近遇见的一个问题，客户内部网络中没有部署DNS服务器，而用户访问内网服务器时，需要通过申请的公网域名（对应客户网络出口路由的公网IP地址）访问内网服务器。

最后查了手册，产品手册中讲解了一种方法，就是用DNS-MAP可以实现，下面把工程师发给我的这个文档分享一下，其中又讲解了另一种方法，最后我用了里面讲的“NAT 和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题，感谢提供这个文档的工程师，在此分享一下，希望对大家有所帮助。

一、 组网需求：

组网如图所示，内网中存在两台服务器分别对外提供www及ftp服务，网关路由器公网接口上已下发nat server 配置。DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址202.38.1.1上，公网用户可以通过域名访问服务器。

要求：内网用户可以使用域名访问内网的两台服务器。

涉及产品：SR6600路由器

二、 组网图：

方案一：DNS-mapping 方案：

在SR6600路由器上配置DNS map功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时，接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。

方案二：利用NAT 和NAT Server 下发在内网网关接口上，使内网主机通过公网地址去访问服务器。

在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址（202.38.1.1）去访问内网服务器。通过将NAT和NATServer 配置下发在内网网关接口上可以满足该应用（原先下发在公网接口上的nat server 配置是为了满足公网用户访问的，该部分配置不变）。

三、 配置步骤：

方案一配置

<H3C>system-view

[H3C]sysname Gateway

[Gateway]interface g0/1

[Gateway-GigabitEthernet0/1]ip address 202.38.1.1 24

[Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www

[Gateway-GigabitEthernet0/1]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp

[Gateway-GigabitEthernet0/1]quit

[Gateway]interface g0/0

[Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24

[Gateway-GigabitEthernet0/0]quit

// 注意dns-map 配置中对应的地址是公网地址而不是服务器的内网地址

[Gateway] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port www

[Gateway] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp

方案二配置

<H3C>system-view

[H3C]sysname Gateway

[Gateway]acl number 3000

//编写acl 匹配来自内网网段目的地址为两台server的数据流

[Gateway-acl-adv-3000]rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.1 0

[Gateway-acl-adv-3000] rule permit ip source 10.110.1.0 0.0.0.255 destination 10.110.1.2 0

[Gateway]interface g0/0

[Gateway-GigabitEthernet0/0]ip address 10.110.1.10 24

//将nat及nat server 配置下发在内网网关口上

[Gateway-GigabitEthernet0/0]nat server protocol tcp global 202.38.1.1 www inside 10.110.1.1 www

[Gateway-GigabitEthernet0/0]nat server protocol tcp global 202.38.1.1 ftp inside 10.110.1.2 ftp

[Gateway-GigabitEthernet0/0]nat outbound 3000

[Gateway-GigabitEthernet0/0]quit

//其它基础配置略

四、 配置关键点：

1．注意dns-map的配置中的ip地址应该配置公网出接口地址。

Nat server 的相关配置应该下发在公网出接口上。

2．在方案二中，nat server 及 nat outbound的配置应当配置在内网网关接口上。并且注意acl 规则中的目的地址应匹配服务器主机地址。

3. 在方案二中，可以使用 nat static 方式为私网server地址和公网地址间建立1对1转换。这一配置可以用来代替nat server 的相关配置。

引用地址：

http://blog.51cto.com/muyun/939757

H3C 路由器内网用户通过域名访问内网服务器的配置方法相关推荐

解决内网用户不能正常访问内部WEB服务器问题
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处.作者信息和本声明.否则将追究法律责任.[url]http://wwwcisco.blog.51cto.com/218089/5 ...
服务器php网站配置域名访问,phpstudy在服务器上配置域名
phpstudy在服务器上配置域名内容精选换一换可以.一个服务器上可以同时配置多个证书.证书是与域名或IP绑定的,对服务器的数量没有限制.如果您购买的证书绑定的域名用于多台服务器,则购买的证书需 ...
公司官网无法通过域名访问，原来是tomcat配置出了问题
今天同事说公司官网访问不了,只显示一片空白,真是见了鬼了了,前段时间还好好的. 不过ECS远程访问好像确实是一直用不了,也没花心思去琢磨.今天就一起收拾了. 首先解决远程访问问题. 正常操作是win+ ...
内网用户通过域名或公网IP访问内部服务器的解决办法
内网用户通过域名或公网IP访问内部服务器的解决办法原因-路由回流组网图解决方案内部NAT方案内网用户与服务器不同网段 E0/0和E0/2都需要做nat server 内网用户与服务器相同网段 ...
记录一次使用DDNS动态域名解析服务外网通过域名访问内网服务器服务的过程
DDNS概念 DDNS(Dynamic Domain Name Server)是动态域名服务的缩写. DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序就 ...
企业实战（17）记录一次使用DDNS动态域名解析服务外网通过域名访问内网服务器服务的过程
DDNS概念 DDNS(Dynamic Domain Name Server)是动态域名服务的缩写. DDNS是将用户的动态IP地址映射到一个固定的域名解析服务上,用户每次连接网络的时候客户端程序 ...
k8s内nginx设置dns无法访问外网
当upstream使用域名的时候, 需要指定: resolver 8.8.8.8; server { listen 8090; 设置8.8.8.8时不能访问内网地址.只能访问外网,不设置不能放外网. ...
在外网通过ssh连接访问内网教程
在外网通过ssh连接访问内网教程设置从A到B的免密登录在A上设置对B的ssh连接在B上设置端口转发定义内网机器为A(无公网IP),外网机器为B(有公网IP) 设置从A到B的免密登录在root ...
Retrofit用Interceptor实现内外网接口自动切换访问(在内网IP访问失败的时候.访问外网接口)
Retrofit用Interceptor实现内外网接口自动切换访问(在内网IP访问失败的时候.访问外网接口) 主要项目里面需求有2个baseurl,必须要能够根据用户的网络状况进行baseurl的重新 ...

H3C 路由器内网用户通过域名访问内网服务器的配置方法

H3C 路由器内网用户通过域名访问内网服务器的配置方法相关推荐

最新文章

热门文章