故障描述
内网PC与内网所在的SERVER 在同一个网段,现在内网SERVER 对公网用户提供WWW 和FTP 服务,在公网上有相应的域名。现在要求内网PC 可以同时通过公网域名、公网IP 和私网IP 来访问内网的这台SERVER。
故障分析
内网主机通过公网域名来访问映射的SERVER 在AR 路由器上都是通过NATDNS-MAP 来实现的,但不能同时通过公网IP 和私网IP 来访问SERVER。如果在设备内网口配置NAT SERVER 则可以把访问公网地址转换成私网地址,然后向SERVER 发起连接,但源地址还是内网主机的地址,此时SERVER 给PC 回应报文时就不会走路由器,直接发到了内网PC 上,内网PC 认为不是自己要访问的地址,会把这个报文丢弃,因此会导致连接中断。如果让SERVER 把报文回给路由器,路由器再根据NATSESSION 就可以正确转发给PC 了。
处理过程
在内网接口配置一个NAT OUTBOUND 3000 就可以了。具体配置如下:
acl number 2000 //定义要上网的流量
rule permit source 192.168.1.0 0.0.0.255
rule deny
quit
acl number 3000 //定义您内网访问服务器的流量
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0
rule deny ip
quit
interface Ethernet1/0 //您的内网接口,按照实际情况配置接口号
ip address 192.168.1.1 255.255.255.0
nat outbound 3000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
interface Ethernet2/0 //您的公网接口
ip address 200.0.0.2 255.255.255.0
nat outbound 2000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60
建议/总结
无