请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 574|回复: 12

内网用户使用外网地址访问内网服务的问题

[复制链接]
发表于 2019-1-24 15:29:42 | 显示全部楼层 |阅读模式
2可用金钱
假设
内网服务器192.168.100.100,提供web服务,tcp 80
内网客户端192.168.1.1,需要正常访问互联网、使用1.1.1.1:80的形式访问内网服务
外网地址1.1.1.1

配置
内网客户端访问互联网的nat配置没问题
内网服务器映射到外网地址,让外网用户使用1.1.1.1:80的形式访问内网服务没问题

现在就是内网用户使用1.1.1.1:80的形式访问内网服务不好用

查过一些资料看到有说使用ip nat enable的形式配置,但是目前用的是ISR4331,IOS XE版本应该是不支持这种配置方式了

想请教一下有没有别的配置方法能解决这个问题?

最佳答案

查看完整内容

另外一个帖子也有兄弟问到相同的问题了,我给出了一个配置范例,LZ可以参考一下! 帖子链接为: http://bbs.csc-china.com.cn/forum.php?mod=viewthread&tid=985673&extra=&page=2
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-24 15:29:43 | 显示全部楼层
另外一个帖子也有兄弟问到相同的问题了,我给出了一个配置范例,LZ可以参考一下!
帖子链接为:
http://bbs.csc-china.com.cn/foru ... p;extra=&page=2
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-24 17:19:49 | 显示全部楼层
一般内网电脑访问内网地址,比如192.168.1.1访问192.168.100.100:80。内网电脑访问外网地址再通过nat进内网,没有这种用法
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-24 21:09:35 | 显示全部楼层
这个技术ASA上叫双向NAT,(Twice NAT),你可以去官网找找类似技术
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-25 09:53:24 | 显示全部楼层
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分3 (2 评价)
发表于 2019-1-25 10:06:46 | 显示全部楼层
NAT回流问题
TCP三次握手基本原理
第一次:内网用户访问服务器公网地址的数据包发送到nat设备发现访问的是内网服务器,则直接转发至内网服务器ip地址
第二次:内网服务器发现回复该数据包时发现源地址是私网地址,则直接走私网路由回复该数据包到内网PC
此时:内网PC发现该TCP会话原本该访问目的ip=公网地址,回复数据包却是服务器的私网ip,则不建立会话
第三次:数据包则不会发送,数据无法通信

推荐这个问题的解决办法是

1: DNS rewrite  思科,飞塔,PA都支持该功能
2:内网架设DNS服务器 内网用户解析内网 ip 公网解析公网 ip

前提:必须购买域名

当然,网络设备也有其他的解决办法,个人不推荐
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2019-1-25 10:23:05 | 显示全部楼层
这个问题之前有过回答了~~!IOS XE不支持,ASA可以解决~!
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分1 (1 评价)
 楼主| 发表于 2019-1-25 12:34:52 | 显示全部楼层
jiwenwen330015 发表于 2019-1-24 21:09
这个技术ASA上叫双向NAT,(Twice NAT),你可以去官网找找类似技术

嗯,这是个办法,但是目前网关是路由器
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-25 12:36:03 | 显示全部楼层
wuhao0015 发表于 2019-1-25 10:23
这个问题之前有过回答了~~!IOS XE不支持,ASA可以解决~!

asa可以twice nat,路由器不知道可以不,有机会试一下
IOS XE现在不支持NVI了,遗憾
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
 楼主| 发表于 2019-1-25 12:38:25 | 显示全部楼层
terence 发表于 2019-1-25 10:06
NAT回流问题
TCP三次握手基本原理
第一次:内网用户访问服务器公网地址的数据包发送到nat设备发现访问的 ...

dns rewrite 不了解,查查看学习一下
内网架设DNS server是个办法,但不是每个用户都有DNS server,而且有的干脆没有域名,就是外网地址加端口
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-4-25 18:41 , Processed in 0.109994 second(s), 54 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表