【RG-NPE】RG-NPE如何IP映射(整机映射)

发布时间: 2013-09-15 点击量:3929 打印 字体:

应用场景

客户在内网部署了一台服务器,开放了若干个服务,由于服务器的地址属于私有地址,外网用户无法直接使用服务器地址访问服务器提供的服务。此时若开启端口映射,由于服务种类较多,涉及的端口数量比较庞大,此时可以考虑使用IP映射来满足客户需求。

比如服务器的地址为192.168.1.20,开放http、ftp、视频流媒体等服务,由于服务器地址属于一个私有地址且开放的服务种类比较多,外网用户无法直接访问服务器提供的各种服务,此时可以在出口NPE上,将服务器地址以IP映射的方式映射到公网地址上,即可实现外网用户对服务器的访问需求。

 

一、组网需求

1、外网线路是单根固定光纤电信线路10M。电信提供的地址:172.18.10.113 子网掩码 255.255.255.0,外网网关:172.18.10.1,DNS:218.85.157.99。

2、内网有一台WEB服务器,IP地址为10.10.10.2,需要将此服务器的所有端口都映射到外网。

 

二、配置要点

1、首先保证内网电脑可以正常访问到这台服务器,才说明服务器上对应的服务已正常开通;

2、这台服务器的IP地址,网关都有配置并且通过NPE连到外网;

3、在NPE上配置上对应的映射规则;

4、如果NPE上连接多条外网链路,为了避免服务器回应的数据包在运营商处被丢弃,必须保证数据包来回路径一致,此时需要在NPE上映射的外网线路接口开启“源进源出”功能

 注意:

①为了使内网的用户能用映射的服务器公网IP地址访问内部服务器,映射命令最后需要加“permit-inside”;

permit-inside相当于对内网口进入访问映射IP的数据同时进行源地址和目的地址转换,将访问的源地址由内网地址转换为映射的公网IP地址,将访问的目的地址转换为实际的内网服务器地址;

②多链路情况下,permit-inside功能与策略路由存在冲突,需要在策略路由匹配的ACL中加一条禁止内网用户与服务器互访的数据走策略路由。

      如策略路由调用的ACL为access-list 102 permit ip host 10.10.10.2 any:

ip access-list extended 102

 10 permit ip host 10.10.10.2 any 

      内网的网段为10.0.0.0/8,则需要在此ACL条目之前再加一条阻断源为10.10.10.2,目的为10.0.0.0/8的条目:

Ruijie(config)#ip access-list extended 102

Ruijie(config-ext-nacl)#5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255

Ruijie(config-ext-nacl)#sh access-lists 102

ip access-list extended 102

  5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255

 10 permit ip host 10.10.10.2 any 

③映射的优先关系:端口映射 > IP映射 > 源NAT转换。因此如果某个服务器使用IP映射,则其主动访问外网时,服务器地址也将转换成映射的公网IP地址连接外网,此时需要注意规划策略路由,使服务器只能从这条外网线路出去,如果服务器通过选路从其他外网线路出去,会导致服务器访问不了外网。

       ④IP映射相当于将服务器的所有开放端口都开放到公网上,存在安全风险,如果服务器上开放的端口不多,推荐优先使用端口映射替代IP映射;

⑤NPE不支持将内网某个IP地址全映射到不同的两个公网IP上,如果需要将服务器映射到不同链路IP,可以选择都使用端口映射;或者IP映射到某个公网IP,另外一条线路则使用端口映射。

⑥建议关闭DNS ALG功能,命令为:Ruijie(config)#no ip nat translation dns

设备默认开启DNS ALG,将智能分析DNS请求与应答报文,若应答报文中的服务器IP地址为本地映射出去的公网地址,则会将该公网地址修改为对应映射中的服务内网地址,但该应用在内网不同IP映射到同一个外网IP时存在问题:由于DNS解析报文只解析域名,不会带端口查询,当内网多个web服务器映射到同一个外网IP的不同端口时,DNS ALG只检查所配置的该公网地址第一个映射配置,造成内网解析到的地址可能与实际的不符,造成打开的网站错误或者网站打不开等问题。

 

三、配置步骤

1、进入菜单:网络配置>NAT配置>端口映射

a 映射关系:选择为整机映射(DMZ主机),表示要把服务器的所有端口映射出去

b 内网IP:指服务器的实际IP地址

c 内网端口:指服务器上实际开放的服务端口

d 外网IP:指映射后的公网IP地址,可以输入外网接口的IP地址 (选择“使用接口地址”的情况:仅在外网线路IP为ADSL或者DHCP获取时使用)

 

2、命令行对应生成的命令:

            ip nat inside source static 10.10.10.2 172.18.10.113 permit-inside

 

3、如果客户是多出口的网络环境,此时需要开启外网接口的“源进源出”功能。

            在接口配置---点击外网口

生成的命令如下:

interface GigabitEthernet 0/1

ip nat outside

  ip address 172.18.10.113 255.255.255.0

reverse-path                    -----源进源出

   nexthop 172.18.10.1

 

五、配置验证

1、内网或者外网的任意IP访问映射的公网IP,可以打开对应的应用。

 

00 分享 纠错
相关条目