内网使用公网地址访问内部服务器需求的实现 - 华为技术及认证 :::.. - 华为、Cis...

内网使用公网地址访问内部服务器需求的实现
内网使用公网地址访问内部服务器需求的实现
产品型号：100V
方法一、R002版本支持。
方法二、使用下面的配置进行规避：
100V不支持NAT DNS MAP，但可以通过下面的配置来规避。
----+-------公网
|
|
+-------+--------------+
|     g0/1     1.0.0.1 |
|                      |
| SevcPath1000F        |
|                      |
|   g0/0    2.0.0.1 sub|
|        10.153.98.150 |
+-------+--------------+
|  模拟1.0.0.3 地址 Nat server
|
-----+-------+----------+-----内网
|                  |
|                  |
+-----+---------+   +----+---------------+
| Nat server    |   |  PC client         |
|   2.0.0.2     |   |   10.153.98.118    |
|               |   |                    |
| route 2.0.0.1 |   | route 10.153.98.150|
|               |   |                    |
+---------------+   +--------------------+
Nat server设备，只要缺省路由指向2.0.0.1就可以。
PC  client设备，只要缺省路由指向10.153.98.150 就可以。
这两个 next hop，恰好是 secpath 1000F的内网接口的地址。
为了一个接口支持2个IP地址，使用副IP地址。
然后在"内网的接口"上，配置 nat server即可
nat outbound根本不需要。
[1KF.1225.SP03-GigabitEthernet0/0]dis this
#
interface GigabitEthernet0/0
ip address 10.153.98.150 255.255.255.0
ip address 2.0.0.1 255.0.0.0 sub
nat server protocol udp global 1.0.0.3 any inside 2.0.0.2 any
nat server protocol icmp global 1.0.0.3 inside 2.0.0.2
nat server protocol tcp global 1.0.0.3 any inside 2.0.0.2 any
#
return
[1KF.1225.SP03-GigabitEthernet0/0]
然后，PC client就可以正常访问1.0.0.3 地址，好像这个地址在公网上存在一样。
其实这个地址同样出在内网。SecPath1000F的公网口，根本没有任何包发出。
SecPath1000F / SecPath1000 设备都可以成功。
没有发现差别。
说明：这里分为2个网段最主要是让局网的数据走了路由器。
[ 本帖最后由 lvshujian 于 2006-5-27 11:56 编辑 ]
一种狂热的爱好，让我改掉了懒惰。当我执着于技术的时刻，我清楚的认识了自己----技术疯子！冷静。发挥IT头脑。

2# 大 中 小 发表于 2006-5-10 07:56 只看该作者
先要说明2点
1必须WAN口封上PPP链路或HDLC之类但广播和多点都不成，要不目标转换就不要用地址池，因为源地质转换首先进行的是路由查找，如果路由都没那直接就失败了。而目标的就没事因为目标地址转换时是先查NAT，再路由这是有区别的，也是问题的起因之一。
2必须让服务器与你本地的的其他PC处于2个网段要不请求根本不会经过路由器处理了。这是问题的关键。
在E口上做一个NAT 的目标地址转换就可以了，不要做源地质转换， 当E口接到了一个 目标为本设备公有IP的包时 就会
先进行NAT进程的工作，从而把目标替换成已经影射的 本地服务器IP 注意此时的源没有经过改变所以 服务器回复的时候依然回复的IP为当时发此请求的源局网IP ，这样服务器响应的时候会以目标为当时发请求的那个局网IP封装数据包发到路由器，路由器进行常规的路由转发就可以了。
至于外部访问内部的，值得提及的是千万不能做ip nat insdide source 的源转换因为这样就是在inside接口上使用 了源地质转换从而问题又回去了，服务器响应时发的目标就是源，由于源就是本接口从而路由处理时根本不会进行下去，而是不知道如何处理了，因该是交给自循环了，矛盾。因该定义为ip nat outside source 这样源依然写本地网段的这样数据只有在经过WAN口时才做转换，也就正常了只有外访问内时和内部正常出去时 WAN口上有数据，局网的数据最多也是在E口上发了发。
补充点经典内容：源地址转换时如果使用了地址迟，那外面是否可以直接ping地址池的内容，这是有条件的，必须内部IP先ping通外部的一个地址，之后该地址可以ping刚才经过转换的源地址，这是因为在源地址转换时回途中也要进行目标转换，会暂存一个NAT表，有刚才出去时的映射关系，因此回来时候NAT就依靠了它来对数据进行NAT匹配，而后路由转发。NAT可以做很多文章，挺难理解的。关于CISCO的4地址超灵活。
希望看的懂的朋友帮忙实践思路是有了根据原理这绝对是可行的仅3步
设置seconde IP 在E口上2个IP可以正常转发，之后把服务器网关指向其中一个。其他PC都指向另一个。
ip nat outside source 做源转换移到WAN口上了。源随写ANY最好呵呵因为服务器是另一个段的，与外通信方便点。
ip nat inside destination 目标转换，这个会吧目标是WAN口IP 转是转给pool注意这里不要写type ra,,,轮训了。写1个单IPPOOL就是
这样一来内网数据仅仅是在E口处做了目标地址转换，和WAN口没任何关系，目标是WAN口就立即被NAT进程接待了。
返回时前面已经介绍了。不多说了！
[ 本帖最后由 lvshujian 于 2006-5-27 12:02 编辑 ]