为了保护内网服务器的IP,内网用户去访问服务器时,也需要使用公网IP,此时需要配置域内NAT功能。AR路由器域内NAT(也可称为NAT回流)实现内网用户通过公网IP访问内网服务器,详细配置分为如下两个场景。
说明:如果不清楚内网PC与映射服务器是否在同一个网段,可直接参考场景二进行配置即可。
l 场景一:内网PC和内网服务器不在同一网段
公网口IP为202.100.1.10,将内网服务器192.168.1.100通过该公网IP进行映射。
配置步骤
set workmode lan-card l3centralize —如果是在24GE或者8FE上单板上部署的话需要配置
#
interface GigabitEthernet0/0/1 ————公网口
ip address 202.100.1.10 255.255.255.0
nat static protocol tcp global current-interface 8080 inside 192.168.1.100 8080
#
interface Vlanif100 ————–连接内网服务器的接口
ip address 192.168.1.1 255.255.255.0
#
interface Vlanif200 —————连接内网PC的接口
ip address 192.168.2.1 255.255.255.0
nat static protocol tcp global interface G0/0/1 8080 inside 192.168.1.100 8080 —-配置Nat Server
说明:内网访问流量目的IP是公网地址,直接在Vlanif200接口命中Nat static,做目的地址替换,然后查路由到Vlanif100接口出去,服务器回包后做nat static的反向替换
l 场景二:内网PC和内网服务器在同一网段
公网口IP为202.100.1.10,将内网服务器192.168.1.100通过该公网IP进行映射。
配置步骤
set workmode lan-card l3centralize —如果是在24GE或者8FE上部署的话需要配置
#
acl name neiwang_nat 3001 –nat outbound使用的acl
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 202.100.1.10 0.0.0.0
只有内网的PC去访问公网202.100.1.10的IP时,才会进行后面的NAT outbound的转换
#
interface GigabitEthernet0/0/1 —公网口
ip address 202.100.1.10 255.255.255.0
nat server protocol tcp global current-interface 8080 inside 192.168.1.100 8080
#
interface Vlanif100 —内网口
ip address 192.168.1.1 255.255.255.0
nat server protocol tcp global interface G0/0/1 8080 inside 192.168.1.100 8080 —-配置Nat Server
nat outbound 3001 —-同时要配置一个Nat Outbound
说明:如果不在内网口配置Nat Outbound,那么就会出现这种情况,假设组网为:AR路由–交换机—PC,内网PC访问内网服务器,不做源替换,服务器回包的时候就直接在交换机上进行转发(内网服务器和PC在同一网段),此时映射访问就会出现问题,因为服务器回应报文没有做nat的反向替换。内网口配置Nat Outbound之后就不会有这个问题,回包直接回给网关,就是AR路由器。
详细的原理说明可参考:AR路由器配置域内NAT时内网口配置nat outbound的原因(内网PC与映射服务器在同一个网段)。