內網通過域名及公網IP訪問WWW服務器情況匯總
網絡環境:
1、內部網絡辦公網劃分VLAN10 網段:192.168.1.0/24 網關位於核心SWA
2、DMZ網絡劃分至VLAN20 網段:192.168.2.0/24 網關位於核心SWA
3、管理網段劃分VLAN100 網段:192.168.100.0/24 網關位於核心SWA
4、出口路由器RT:公網地址為111.111.111.2 ,E1口地址為192.168.100.2
5、web服務器www.abc.com,IP:192.168.2.2 並在出口RT上配置natserver
SWA配置:
<H3C>
#Jan 27 13:07:43:655 2018 H3C SHELL/4/LOGIN:
Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console
%Jan 27 13:07:43:655 2018 H3C SHELL/5/SHELL_LOGIN: Console logged in from con0.
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C]vlan 10
[H3C-vlan10]int vlan 10
[H3C-Vlan-interface10]ip address 192.168.1.1 24
[H3C-Vlan-interface10]quit
[H3C]vlan 20
[H3C-vlan20]int vlan 20
[H3C-Vlan-interface20]ip address 192.168.2.1 24
[H3C-Vlan-interface20]quit
[H3C]vlan 100
[H3C-vlan100]int vlan 100
[H3C-Vlan-interface100]ip address 192.168.100.1 24
[H3C-Vlan-interface100]quit
[H3C]
[H3C]
[H3C]vlan 10
[H3C-vlan10]port Ethernet 0/4/1
[H3C-vlan10]
%Jan 27 13:10:46:785 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface10 link status is UP.
%Jan 27 13:10:46:785 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface10 is UP.
[H3C-vlan10]quit
[H3C]vlan 20
[H3C-vlan20]port Ethernet 0/4/2
[H3C-vlan20]
%Jan 27 13:11:15:271 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface20 link status is UP.
%Jan 27 13:11:15:271 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface20 is UP.
[H3C-vlan20]quit
[H3C]vlan 100
[H3C-vlan100]port Ethernet 0/4/0
[H3C-vlan100]
%Jan 27 13:11:51:510 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface100 link status is UP.
%Jan 27 13:11:51:510 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface100 is UP.
[H3C-vlan100]quit
[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2
RT配置:
<H3C>
<H3C>sys
System View: return to User View with Ctrl+Z.
[H3C] int e0/0/0
[H3C-Ethernet0/0/0]
[H3C-Ethernet0/0/0]ip address 111.111.111.2 24
[H3C]int e0/0/1
[H3C-Ethernet0/0/1]
[H3C-Ethernet0/0/1]ip address 192.168.100.2 24
[H3C-Ethernet0/0/1]
[H3C-Ethernet0/0/1]quit
[H3C]ping 111.111.111.1
PING 111.111.111.1: 56 data bytes, press CTRL_C to break
Reply from 111.111.111.1: bytes=56 Sequence=1 ttl=255 time=8 ms
Reply from 111.111.111.1: bytes=56 Sequence=2 ttl=255 time=4 ms
Reply from 111.111.111.1: bytes=56 Sequence=3 ttl=255 time=1 ms
Reply from 111.111.111.1: bytes=56 Sequence=4 ttl=255 time=1 ms
Reply from 111.111.111.1: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 111.111.111.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/4/10 ms
[H3C]ip route-static 192.168.0.0 255.255.0.0 192.168.100.1
[H3C]acl number 2222
[H3C-acl-basic-2222]rule 1 permit source any
[H3C-acl-basic-2222]
[H3C-acl-basic-2222]quit
[H3C]int e0/0/0
[H3C-Ethernet0/0/0]nat outbound 2222
[H3C-Ethernet0/0/0]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2
[H3C]ip route-static 0.0.0.0 0.0.0.0 11.111.111.1
完成上述配置,則PC可正常訪問公網,公網用戶可正常訪問www.abc.com;內網PC通過http://192.168.2.2 可以正常訪問www服務器,
問題:內網PC通過www.abc.com、http://111.111.111.2則無法訪問www服務器。
問題原因分析:
Step1:PC訪問www.abc.com,通過DNS解析,PC得到www.abc.com的IP地址為:111.111.111.2。
Step2:PC向網關SWA發出源IP為192.168.1.2 目的IP為111.111.111.2的數據包。
Step3:SWA接收到PC數據包,並轉發至出口路由RT。
Step4:RT接收該數據包查看目的地址為自己接口地址,並有www的映射,會將該數據包打包成:源IP為192.168.1.2,目的IP為192.168.2.2的數據包並發送給SWA。
Step5:SWA接收數據包並轉發給www服務器。
Step6:www服務器接收該數據包進行分析處理,並返回源IP為192.168.2.2,目的IP為:192.168.1.2的數據包,並發送給網關SWA。
Step7:SWA接收到該數據包,得知目的地址為192.168.1.2,則將該數據包直接發送給SWB,SWB發送到內網PC。
PC發送的數據包為 源IP:192.168.1.2 目的IP:111.111.111.2
PC接收的數據包為 源IP:192.168.2.2 目的IP:192.168.1.2
故PC對接收到的數據包會直接丟棄,所以無法PC無法打開www.abc.com的頁面。
一、 解決方案
1、 僅通過域名:www.abc.com訪問www服務器
原理:默認情況下,內網PC解析www.abc.com得到www服務器的公網地址111.111.111.2;將內網PC 在解析域名www.abc.com時,得到www的內網地址:192.168.2.2即可。
解決方案1、
內網僅有個別PC需要通過域名訪問,大部分通過http://192.168.2.2訪問,甚至大部分不需訪問。
此情況可通過最簡單的更改host文件實現:如圖
解決方案2
內網所有用戶都需要通過www.abc.com進行訪問www服務器,而不需要通過http://111.111.111.2進行訪問。
通過nat dns mapping功能實現:
在RT 上配置:nat dns-map domain www.abc.com protocol tcp ip 111.111.111.2 port www
解決方案3
通過架設內網的DNS服務器解決(此方案適合內網已有DNS服務器,若沒有情況下單獨架設,則成本較高,不適用)
在內網架設DNS服務器(非面向公網權威解析的服務器,如IP:192.168.2.3) 配置域名abc.com;將www.abc.com A記錄解析為192.168.2.2 。同時支持遞歸解析公網域名(默認搭建完成,基本都支持)。內網PC配置DNS地址為:192.168.2.3即可。
2、 既需通過www.abc.com域名訪問,又需要通過http://111.111.111.2訪問
原理:使PC訪問www服務器的請求數據包,及www服務器返回PC的應答數據包,保持往返路徑一致即可。
解決方案4
若企業網規模較小,辦公網與DMZ屬於不同網段,且無核心交換情況下,可將兩個網段的網關移至出口路由設備,如下圖:
解決方案5
在路由器RT的E0口(外網口)、E1口(內網口)配置相同的natserver,及nat地址轉換。
在RTE1口配置:
[H3C]acl number 2223
[H3C-acl-basic-2223]rule 1 permit source 192.168.1.0 0.0.0.255
[H3C-acl-basic-2223]rule 2 permit source 192.168.2.0 0.0.0.255
[H3C-acl-basic-2223]
[H3C-acl-basic-2223]quit
[H3C]int e0/0/1
[H3C-Ethernet0/0/1]nat outbound 2222
[H3C-Ethernet0/0/1]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2
通過上述配置可使PC到www.abc.com的數據包保持往返路徑一致。
內網通過域名及公網IP訪問WWW服務器情況匯總