華為路由器學習指南第6章easyip內網伺服器配置_dns mapping配置
6.4.2 配置DNS Mapping
內網使用者可以通過NAT使用外網的DNS伺服器訪問外網的伺服器,但如果內網使用者通過外的的 DNS伺服器訪問內網伺服器時就會失敗。因為來自外網的DNS解析結果是內網伺服器對外宣稱的公網IP地址,並非內網伺服器真實的私網IP地址。所以,如果沒有內網的DNS服務順,而且又有使用域名訪問內網伺服器的需求,這就要求企業內網使用者必須使得外網的DNS伺服器來實現 域名訪問,這時就得配置DNS Mapping功能。
在配置靜態地址轉換時配置DNS Mapping,可以指明“域名-公網IP地址-公網埠-協議型別”對映表項。當DNS解析報文到達NAT裝置時,NAT裝置就會根據DNS Mapping建立的對映表項中的公網域名對應的公網IP地址查詢靜態地址表項,得到公網IP地址對就的私網 IP地址,再用該私網地址替換DNS的解析報文資料部分的內部伺服器公網IP地址並轉發給使用者。但DNS報文必須與NAT ALG結合使用,不是則仍不能正常穿越NAT。具體的配置步驟如表6-7所示。
表6-7 DNSMapping的配置步驟
步驟 | 使命 | 說明 |
1 | system-view 例如:<Huawei>system-view |
進入系統檢視 |
2 | nat dns map domain-name global-address global-port {tcp | udp} 例如:[Huawei]nat dns map www.test.com 20.1.1.1 2012 tcp |
配置域名到公網IP地址、埠號、協議型別的對映。命令中的引數和選項說明如下: domain-name:指定可被公網DNS伺服器正確解析的合法域名,也就是內部伺服器的域名 global-address:指定內部伺服器提供給公網訪問的公網IP地址 global-port:指定內部伺服器提供給公網訪問的服務端串列埠號,取值範圍為1~65535的整數 tcp | udp:指定進行的網路應用所使用傳輸層通訊協議型別 預設情況下,系統未配置域名到公網IP地址、埠號、協議型別的對映,可用undo nat dns-map domain-name命令刪除一條域名到公網IP地址、埠號、協議型別的對映。
|
3 | nat alg dns enable 例如:[Huawei]nat alg dns enable |
(可選)便能DNS ALG功能,使DNS應答報文正常穿越NAT,否則內部主機無法使用域名訪問內網伺服器 如果已配置了NAT DNS ALG任務,則無需再重複配置本命令 預設情況下,NAT DNA ALG 處於未使能狀態,可用undo nat alg dns enable命令關閉NAT DNS ALG功能 |
server1ip :192.168.1.100/24
client2ip:192.168.1. 101/24
interface GigabitEthernet0/0/2
ip address 11.11.11.6 255.255.255.0
nat server protocol tcp global current-interface www inside 192.168.1.100 www
nat outbound 3000
#
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255
<Huawei>display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/1 3000 11.11.11.6 easyip
--------------------------------------------------------------------------
<Huawei>display nat dns
<Huawei>display nat dns-map
NAT DNS mapping information:
Domain-name : www.test.com
Global IP : 11.11.11.6
Global port : 80
Protocol : tcp
Total : 1
nat alg dns enable
#
nat dns-map www.test.com 11.11.11.6 80 tcp
內網clietn2可以通過域名訪問內網伺服器
DNS伺服器返回給client2的地址為192.168.1.100