【RG-NPE】RG-NPE如何IP映射（整机映射）

发布时间：2013-09-15

点击量：9006

应用场景

客户在内网部署了一台服务器，开放了若干个服务，由于服务器的地址属于私有地址，外网用户无法直接使用服务器地址访问服务器提供的服务。此时若开启端口映射，由于服务种类较多，涉及的端口数量比较庞大，此时可以考虑使用IP映射来满足客户需求。

比如服务器的地址为192.168.1.20，开放http、ftp、视频流媒体等服务，由于服务器地址属于一个私有地址且开放的服务种类比较多，外网用户无法直接访问服务器提供的各种服务，此时可以在出口NPE上，将服务器地址以IP映射的方式映射到公网地址上，即可实现外网用户对服务器的访问需求。

一、组网需求

1、外网线路是单根固定光纤电信线路10M。电信提供的地址：172.18.10.113 子网掩码 255.255.255.0，外网网关：172.18.10.1，DNS：218.85.157.99。

2、内网有一台WEB服务器，IP地址为10.10.10.2，需要将此服务器的所有端口都映射到外网。

二、配置要点

1、首先保证内网电脑可以正常访问到这台服务器，才说明服务器上对应的服务已正常开通；

2、这台服务器的IP地址，网关都有配置并且通过NPE连到外网；

3、在NPE上配置上对应的映射规则；

4、如果NPE上连接多条外网链路，为了避免服务器回应的数据包在运营商处被丢弃，必须保证数据包来回路径一致，此时需要在NPE上映射的外网线路接口开启“源进源出”功能

注意：

①为了使内网的用户能用映射的服务器公网IP地址访问内部服务器，映射命令最后需要加“permit-inside”；

permit-inside相当于对内网口进入访问映射IP的数据同时进行源地址和目的地址转换，将访问的源地址由内网地址转换为映射的公网IP地址，将访问的目的地址转换为实际的内网服务器地址；

②多链路情况下，permit-inside功能与策略路由存在冲突，需要在策略路由匹配的ACL中加一条禁止内网用户与服务器互访的数据走策略路由。

如策略路由调用的ACL为access-list 102 permit ip host 10.10.10.2 any：

ip access-list extended 102

10 permit ip host 10.10.10.2 any

内网的网段为10.0.0.0/8，则需要在此ACL条目之前再加一条阻断源为10.10.10.2，目的为10.0.0.0/8的条目：

Ruijie(config)#ip access-list extended 102

Ruijie(config-ext-nacl)#5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255

Ruijie(config-ext-nacl)#sh access-lists 102

ip access-list extended 102

5 deny ip host 10.10.10.2 10.0.0.0 0.255.255.255

10 permit ip host 10.10.10.2 any

③映射的优先关系：端口映射 > IP映射 > 源NAT转换。因此如果某个服务器使用IP映射，则其主动访问外网时，服务器地址也将转换成映射的公网IP地址连接外网，此时需要注意规划策略路由，使服务器只能从这条外网线路出去，如果服务器通过选路从其他外网线路出去，会导致服务器访问不了外网。

④IP映射相当于将服务器的所有开放端口都开放到公网上，存在安全风险，如果服务器上开放的端口不多，推荐优先使用端口映射替代IP映射；

⑤NPE不支持将内网某个IP地址全映射到不同的两个公网IP上，如果需要将服务器映射到不同链路IP，可以选择都使用端口映射；或者IP映射到某个公网IP，另外一条线路则使用端口映射。

⑥建议关闭DNS ALG功能，命令为：Ruijie(config)#no ip nat translation dns

设备默认开启DNS ALG，将智能分析DNS请求与应答报文，若应答报文中的服务器IP地址为本地映射出去的公网地址，则会将该公网地址修改为对应映射中的服务内网地址，但该应用在内网不同IP映射到同一个外网IP时存在问题：由于DNS解析报文只解析域名，不会带端口查询，当内网多个web服务器映射到同一个外网IP的不同端口时，DNS ALG只检查所配置的该公网地址第一个映射配置，造成内网解析到的地址可能与实际的不符，造成打开的网站错误或者网站打不开等问题。

三、配置步骤

1、进入菜单：网络配置>NAT配置>端口映射