故障描述
內(nèi)網(wǎng)PC與內(nèi)網(wǎng)所在的SERVER 在同一個(gè)網(wǎng)段,現(xiàn)在內(nèi)網(wǎng)SERVER 對(duì)公網(wǎng)用戶提供WWW 和FTP 服務(wù),在公網(wǎng)上有相應(yīng)的域名。現(xiàn)在要求內(nèi)網(wǎng)PC 可以同時(shí)通過公網(wǎng)域名、公網(wǎng)IP 和私網(wǎng)IP 來訪問內(nèi)網(wǎng)的這臺(tái)SERVER。
故障分析
內(nèi)網(wǎng)主機(jī)通過公網(wǎng)域名來訪問映射的SERVER 在AR 路由器上都是通過NATDNS-MAP 來實(shí)現(xiàn)的,但不能同時(shí)通過公網(wǎng)IP 和私網(wǎng)IP 來訪問SERVER。如果在設(shè)備內(nèi)網(wǎng)口配置NAT SERVER 則可以把訪問公網(wǎng)地址轉(zhuǎn)換成私網(wǎng)地址,然后向SERVER 發(fā)起連接,但源地址還是內(nèi)網(wǎng)主機(jī)的地址,此時(shí)SERVER 給PC 回應(yīng)報(bào)文時(shí)就不會(huì)走路由器,直接發(fā)到了內(nèi)網(wǎng)PC 上,內(nèi)網(wǎng)PC 認(rèn)為不是自己要訪問的地址,會(huì)把這個(gè)報(bào)文丟棄,因此會(huì)導(dǎo)致連接中斷。如果讓SERVER 把報(bào)文回給路由器,路由器再根據(jù)NATSESSION 就可以正確轉(zhuǎn)發(fā)給PC 了。
處理過程
在內(nèi)網(wǎng)接口配置一個(gè)NAT OUTBOUND 3000 就可以了。具體配置如下:
acl number 2000 //定義要上網(wǎng)的流量
rule permit source 192.168.1.0 0.0.0.255
rule deny
quit
acl number 3000 //定義您內(nèi)網(wǎng)訪問服務(wù)器的流量
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0
rule deny ip
quit
interface Ethernet1/0 //您的內(nèi)網(wǎng)接口,按照實(shí)際情況配置接口號(hào)
ip address 192.168.1.1 255.255.255.0
nat outbound 3000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
interface Ethernet2/0 //您的公網(wǎng)接口
ip address 200.0.0.2 255.255.255.0
nat outbound 2000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60
建議/總結(jié)
無