内网和外网用户使用同一个IP+Port访问服务
内网地址10.1.0.0/16服务器10.1.2.1,服务端口88
外网地址100.1.1.1
目的希望无论是内网用户还是外网用户都使用 https://100.1.1.1:88 访问服务
在边界路由器上做了
ip nat inside source static tcp 10.1.2.1 88 100.1.1.1 88 extendable
外网用户访问没问题了
内网用户却不行,只能靠内网服务器地址访问服务 https://10.1.2.1:88
请教一下怎么实现内网和外网用户使用同一个IP+Port访问服务
本帖最后由 layout102 于 2018-7-27 12:35 编辑
(一) 這是傳統NAT(inside/outside)的限制:
當感興趣流量進入 inside 端口時,會先Route 再 Translate;依目前的例子,封包會路由出去外部接口(Outside interfase)再將原地址轉為公開地址(Translate),之後...就沒了。
(二) NAT Virtual Interface:
移除原有的 Inside/Outside 端口配置。當感興趣流量進入NVI端口,會先經過
Routig --> Translation -->Routing
亦即,NVI會繞送兩次,各在每次轉換前後;就依剛剛的例子,封包繞送出去出口,又會再繞送回來內網給服務器。
Interface configure:
int f0/0ip nat inside -----> ip nat enable
int f0/1 ip nat outside -----> ip nat enable
Configure Mode :
ip natsource static tcp 10.1.2.1 88 100.1.1.1 88
ip nat source list 1 interface f0/1 overload
access-list 1 permit 10.1..0 0.0.255.255
***我先暫時把 extendable 配置移掉,不過應該不影響結果
layout102 发表于 2018-7-27 12:32
(一) 這是傳統NAT(inside/outside)的限制:
當感興趣流量進入 inside 端口時 ...
!
interface Ethernet0/0 //内网接口
ip address 10.2.10.2 255.255.255.0
ip nat enable
!
interface Ethernet0/1 //外网接口
ip address 172.16.1.2 255.255.255.0
ip nat enable
!
ip nat source list 1 interface Ethernet0/1 overload
ip nat source static tcp 10.2.12.2 23 172.16.1.2 88 extendable
!
access-list 1 permit 10.0.0.0 0.255.255.255
!
内网PC
PC#telnet 172.16.1.2 88
Trying 172.16.1.2, 88 ...
% Connection timed out; remote host not responding
PC#
!
边界路由器的debug ip nat tran
R2#
*Aug4 21:16:11.865: NAT: Allocated Port for 10.2.11.2 -> 172.16.1.2: wanted 47824 got 47824
*Aug4 21:16:11.865: NAT: i: tcp (10.2.11.2, 47824) -> (172.16.1.2, 88)
*Aug4 21:16:11.865: NAT: TCP s=47824, d=88->23
*Aug4 21:16:11.865: NAT: s=10.2.11.2->172.16.1.2, d=172.16.1.2
*Aug4 21:16:11.865: NAT: s=172.16.1.2, d=172.16.1.2->10.2.12.2
R2#
说明一下,是拿eve模拟器做的,不是真机
转换的对,但好像是没有回包,显示trying 本帖最后由 layout102 于 2018-8-5 22:01 编辑
IceFire_Ken 发表于 2018-8-4 21:42
!
interface Ethernet0/0 //内网接口
ip address 10.2.10.2 255.25 ...
檢查一下 是否 模擬 DMZ端 (sever端) 有無 配置 ip nat enable ~~(也就是 10.2.12.0/24這個接口 有沒有配置 nat ,抱歉 之前回覆太快 忘了這個網段接口)
我剛剛簡易模擬跑了一下:
R2(config-if)#do sh ip nat nvi tra
Pro Source global Source local Destinlocal Destinglobal
tcp 172.16.1.2:59333 10.2.10.1:59333 172.16.1.2:88 10.2.12.3:23 <-----
tcp 172.16.1.2:88 10.2.12.3:23 --- ---
內網 10.2.10.1 有確實轉換為 172.16.1.2 並 將目的地 轉至 10.2.12.3
InsideHost#telnet 172.16.1.2 88
Trying 172.16.1.2, 88 ... Open
Server#
Server#
Server#
Server#
layout102 发表于 2018-8-5 21:58
檢查一下 是否 模擬 DMZ端 (sever端) 有無 配置 ip nat enable ~~(也就是 10.2.12.0/24這個接口 有沒有 ...
ip nat enable
这个配置IOS XE版本应该是敲不上去了,应该是新版本的软件都不支持了
页:
[1]