|
方案一: 如果WEB服务器可以通过域名(www.abc.com)访问,且私网中有DNS服务器,可以在DNS服务器上写入“www.abc.com 192.168.1.100”的A记录。 这样,当内网用户通过域名访问内网服务器时,会先向DNS服务器请求域名对应的IP地址,这样DNS服务器就会把服务器地址解析为私网IP地址。 方案二: 如果WEB服务器可以通过域名(www.abc.com)访问,但是私网中没有DNS服务器,可以通过在AR上配置DNS的NAT ALG功能和DNS Mapping功能来实现。 配置如下: nat alg dns enablenat dns-map www.abc.com 202.12.111.1 80 tcp 这样,当内网用户通过域名访问内网服务器时,会向公网DNS服务器请求域名对应的IP地址。由于公网DNS服务器上记录的域名对应的IP地址为公网IP,当AR收到DNS响应报文后,先根据域名查找DNS Mapping映射表的公网地址,在根据公网地址查找WEB服务器,然后将DNS响应报文中的公网IP地址替换成WEB服务器的私网IP地址。这样,内网用户根据收到响应报文中的携带的私网IP地址,就可以实现通过域名访问WEB服务器了。 方案三: 如果私网内有大量的用户需要通过域名访问WEB服务器,会容易导致设备CPU占用率高。因为NAT ALG功能是在控制面做的,使能NAT ALG后,所有DNS报文都会上送给ALG模块处理,如果DNS报文多了,就会导致CPU占用率高。这种情况下,不建议配置NAT ALG和DNS Mapping,推荐采用NAT Outbound和NAT Server的方式来规避此问题。 配置如下: # acl number 3000 rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 202.12.111.1 0 # interface GigabitEthernet1/0/0 ip address 192.168.1.1 255.255.255.0 nat outbound 3000 //内网主机直接访问202.12.111.1时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和内网主机间的交互都经过Router转发 nat server protocol tcp global 202.12.111.1 www inside 192.168.1.100 www //内网主机直接访问202.12.111.1时,将目的地址改为私网地址 方案四: 如果WEB服务器没有域名,只能通过IP地址访问,需要使用策略路由将内网PC访问WEB服务器公网IP地址的流量重定向到与AR直连的运营商设备上。这样,源地址转换为公网IP,运营商设备再将数据流量发回到AR。数据流达到AR后, NAT Server生效,目的地址转换为WEB服务器私网地址。WEB服务器回应报文达到AR后,根据NAT Server表项将数据流的源地址转换为WEB服务器的公网地址,运营商设备会再将数据流发回到AR,AR根据之前的NAT表项将数据流的目的地址转换为私网IP,再将数据流发送给内网用户PC。流量的地址转换过程如下图所示:  配置如下(假设与AR直连的运营商设备IP地址为202.12.111.2): acl number 3000rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 202.12.111.1 0rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 202.12.111.1 0#traffic classifier redirect operator orif-match acl 3000#traffic behavior redirectredirect ip-nexthop 202.12.111.2#traffic policy redirectclassifier redirect behavior redirect#interface GigabitEthernet1/0/0traffic-policy redirect inbound#interface GigabitEthernet2/0/0traffic-policy redirect inbound |
|
|
来自: 昵称11935121 > 《未命名》
