取消
显示结果 
搜索替代 
您的意思是: 
cancel
11509
查看次数
14
有帮助
13
回复

内网用户使用外网地址访问内网服务的问题

IceFire_Ken
Level 1
Level 1
假设
内网服务器192.168.100.100,提供web服务,tcp 80
内网客户端192.168.1.1,需要正常访问互联网、使用1.1.1.1:80的形式访问内网服务
外网地址1.1.1.1
配置
内网客户端访问互联网的nat配置没问题
内网服务器映射到外网地址,让外网用户使用1.1.1.1:80的形式访问内网服务没问题
现在就是内网用户使用1.1.1.1:80的形式访问内网服务不好用
查过一些资料看到有说使用ip nat enable的形式配置,但是目前用的是ISR4331,IOS XE版本应该是不支持这种配置方式了
想请教一下有没有别的配置方法能解决这个问题?
1 个已接受解答

已接受的解答

alton.tang
Spotlight
Spotlight
另外一个帖子也有兄弟问到相同的问题了,我给出了一个配置范例,LZ可以参考一下!
帖子链接为:
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=985673&extra=&page=2

在原帖中查看解决方案

13 条回复13

alton.tang
Spotlight
Spotlight
另外一个帖子也有兄弟问到相同的问题了,我给出了一个配置范例,LZ可以参考一下!
帖子链接为:
http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=985673&extra=&page=2

cruiseluo
Spotlight
Spotlight
一般内网电脑访问内网地址,比如192.168.1.1访问192.168.100.100:80。内网电脑访问外网地址再通过nat进内网,没有这种用法

wenwen ji
Level 1
Level 1
这个技术ASA上叫双向NAT,(Twice NAT),你可以去官网找找类似技术

xiangge
Level 1
Level 1

Terence.Jh
Spotlight
Spotlight
NAT回流问题
TCP三次握手基本原理
第一次:内网用户访问服务器公网地址的数据包发送到nat设备发现访问的是内网服务器,则直接转发至内网服务器ip地址
第二次:内网服务器发现回复该数据包时发现源地址是私网地址,则直接走私网路由回复该数据包到内网PC
此时:内网PC发现该TCP会话原本该访问目的ip=公网地址,回复数据包却是服务器的私网ip,则不建立会话
第三次:数据包则不会发送,数据无法通信
推荐这个问题的解决办法是
1: DNS rewrite 思科,飞塔,PA都支持该功能
2:内网架设DNS服务器 内网用户解析内网 ip 公网解析公网 ip
前提:必须购买域名
当然,网络设备也有其他的解决办法,个人不推荐

wuhao0015
Spotlight
Spotlight
这个问题之前有过回答了~~!IOS XE不支持,ASA可以解决~!

IceFire_Ken
Level 1
Level 1
jiwenwen330015 发表于 2019-1-24 21:09
这个技术ASA上叫双向NAT,(Twice NAT),你可以去官网找找类似技术

嗯,这是个办法,但是目前网关是路由器

IceFire_Ken
Level 1
Level 1
wuhao0015 发表于 2019-1-25 10:23
这个问题之前有过回答了~~!IOS XE不支持,ASA可以解决~!

asa可以twice nat,路由器不知道可以不,有机会试一下
IOS XE现在不支持NVI了,遗憾

IceFire_Ken
Level 1
Level 1
terence 发表于 2019-1-25 10:06
NAT回流问题
TCP三次握手基本原理
第一次:内网用户访问服务器公网地址的数据包发送到nat设备发现访问的 ...

dns rewrite 不了解,查查看学习一下
内网架设DNS server是个办法,但不是每个用户都有DNS server,而且有的干脆没有域名,就是外网地址加端口

Terence.Jh
Spotlight
Spotlight
IceFire_Ken 发表于 2019-1-25 12:38
dns rewrite 不了解,查查看学习一下
内网架设DNS server是个办法,但不是每个用户都有DNS server,而且 ...

low成这样就不要提那么多需求嘛你说对不对
没钱 不付出 又要效果 要稳定 咋可能呢你说是不

IceFire_Ken
Level 1
Level 1
terence 发表于 2019-1-25 14:09
low成这样就不要提那么多需求嘛你说对不对
没钱 不付出 又要效果 要稳定 咋可能呢你说是不

;P
砍我别砍预算
哈哈

IceFire_Ken
Level 1
Level 1
ts1110 发表于 2019-1-25 17:41
另外一个帖子也有兄弟问到相同的问题了,我给出了一个配置范例,LZ可以参考一下!
帖子链接为:
http://b ...

:handshake
十分感谢

lizhicong2015
Level 1
Level 1
ts1110 发表于 2019-1-24 15:29
另外一个帖子也有兄弟问到相同的问题了,我给出了一个配置范例,LZ可以参考一下!
帖子链接为:
http://b ...

ISR4331
Cisco IOS XE Software, Version 16.06.04
Cisco IOS Software [Everest], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.6.4, RELEASE SOFTWARE (fc3)
同样的方法,做了不行,内网用户都无法上网了,有解决方法吗?
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接