设为首页收藏本站
开启辅助访问

【RG

 您所在的位置:网站首页 锐捷路由器RG-MA2820说明书 【RG

【RG

2023-09-16 20:54| 来源: 网络整理| 查看: 265

应用场景

客户在内网部署了一台服务器,开放了http或者其他服务,由于服务器的地址属于私有地址,外网用户无法直接访问该地址,也无法访问服务器提供的服务,此时可以开启端口映射功能,实现外网用户访问内网服务器的需求。

比如服务器的地址为192.168.1.20,开放http访问,由于服务器地址属于一个私有地址,外网用户无法直接访问服务器提供的http服务,此时可以在出口NPE上,将服务器地址以及服务端口映射到公网地址上,即可访问服务器提供的http服务。

 

一、组网需求

1、外网线路是单根固定光纤电信线路10M。电信提供的地址:172.18.10.113 子网掩码 255.255.255.0,外网网关:172.18.10.1,DNS:218.85.157.99。

2、内网有一台WEB服务器,IP地址为10.10.10.2,需要实现内外网用户均能通过 172.18.10.113这个地址访问到内网的服务器。

 

二、配置要点

1、首先保证内网电脑可以正常访问到这台服务器,才说明服务器上对应的服务已正常开通;

2、这台服务器的IP地址,网关都有配置并且通过NPE连到外网;

3、确定好这台服务器需要对外映射多少个端口,是UDP还是TCP协议;

4、在NPE上配置上对应的映射规则;

5、如果NPE上连接多条外网链路,为了避免服务器回应的数据包在运营商处被丢弃,必须保证数据包来回路径一致,此时需要在NPE映射的外网线路接口上开启“源进源出”功能

 注意:

①为了使内网的用户能用映射的服务器公网IP地址访问内部服务器,映射命令最后需要加“permit-inside”;

permit-inside相当于对内网口进入访问映射IP的数据同时进行源地址和目的地址转换,将访问的源地址由内网地址转换为映射的公网IP地址,将访问的目的地址转换为实际的内网服务器地址;

②多链路情况下,permit-inside功能与策略路由存在冲突,需要在策略路由匹配的ACL中加一条禁止内网用户与服务器互访的数据走策略路由。

      如策略路由调用的ACL为access-list 102 permit ip host 10.10.10.2 any:

ip access-list extended 102

 10 permit ip host 10.10.10.2 any 

      内网的网段为10.0.0.0/8,则需要在此ACL条目之前再加一条阻断源为10.10.10.2,目的为10.0.0.0/8的条目:

Ruijie(config)#ip access-list extended 102

Ruijie(config-ext-nacl)#5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255

Ruijie(config-ext-nacl)#sh access-lists 102

ip access-list extended 102

  5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255

 10 permit ip host 10.10.10.2 any 

③建议关闭DNS ALG功能,命令为:Ruijie(config)#no ip nat translation dns

设备默认开启DNS ALG,若DNS应答报文中的服务器IP地址为本地映射出去的公网地址,则会将该公网地址修改为对应映射中的服务内网地址,但该功能在内网不同IP映射到同一个外网IP时存在问题:由于DNS解析报文只解析域名,不会带端口查询,当内网多个web服务器映射到同一个外网IP的不同端口时,DNS ALG只检查所配置的该公网地址第一个映射配置,因此内网解析到的地址可能与实际的不符,造成打开的网站错误或者网站打不开等问题。

 

三、配置步骤

1、确认只需要把服务器的TCP 80端口映射出去就可以。

                      进入菜单:网络配置>NAT配置>端口映射

a 映射关系:选择为端口映射 表示要把内网服务器的某个端口映射出去

b 内网ip:指服务器的ip地址

c 内网端口:指服务器上实际开放的服务端口

d 外网ip:指映射后的公网IP地址,可以输入外网接口的IP地址 (选择“使用接口地址”的情况:仅在外网线路IP为ADSL或者DHCP获取时使用)

e 外网端口:指映射到外网IP的服务端口,可以与服务器上实际开放的端口不一致;如此例如果改用8088端口,则外网访问时需要使用172.18.10.113:8088来访问

f 协议类型:根据服务器提供服务的协议类型选择

2、命令行对应生成的命令:

            ip nat inside source static tcp 10.10.10.2 80 172.18.10.113 80 permit-inside

3、如果客户是多出口的网络环境,此时需要开启外网接口的“源进源出”功能。

            进入菜单 网络配置 >接口配置 单击选择对应的外网口

生成的命令如下:

interface GigabitEthernet 0/1

ip nat outside

  ip address 172.18.10.113 255.255.255.0

reverse-path                    -----源进源出

   nexthop 172.18.10.1

 

五、配置验证

1、内网或者外网的任意IP访问映射的公网IP,可以打开对应的应用。



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3