有些單位的内網服務器上的隻配置了IP地址和子網掩碼,并沒有配默認網關,但從外網上還是可以訪問該服務器,是怎麼做到的呢?
對于單位的内網服務器配置了私網IP地址、子網掩碼和默認網關,外網用戶訪問内網服務器的情形,在以前的《華為路由器利用公網IP和NAT接入互聯網典型方式模拟實驗》中寫過關于外用戶訪問内網服務器所需的nat——華為技術文檔中的NAT Server方式。
内部服務器不配置默認網關的話,則需要在配置NAT Server基礎上,增加源NAT配置——隻是和我們經常用的内網訪問外網時用到的源NAT的方向相反。
下面以一個簡單實驗進行模拟,實驗拓撲如圖1所示:
圖1
一、實驗内容
模拟某單位的網絡場景:單位内部是一個簡單的局域網(圖1黃色矩形區),其中服務器Srv1對外提供www服務,該服務器隻配置了IP地址:10.1.1.1和子網掩碼:255.255.255.0,未配置默認網關(路由器R1的局域網端口地址:10.1.1.254),如圖2所示:
圖2
單位的路由器R1連接互聯網的外網口,配置了靜态公網IP地址:12.12.12.2。
client1則用來模拟外網用戶(圖1紅色橢圓區)。
本次實驗将主要配置:
1、R1接口IP地址;
2、R1到外網的默認路由;
3、R1上的NAT Server;
4、R1上互聯網用戶訪問内網服務器所需的源NAT。
其中1~3是很多中小單位的常見配置,4是解決内部服務器不配默認網關的情況下外部互聯網用戶也可以訪問的情形。
其原理是:在互聯網用戶client1(源)訪問内網服務器Srv1(目的)時,不僅将IP報文頭的目的IP地址進行了替換,而且将其中的源IP地址也進行了替換——替換後的IP地址與Srv1在同一個網段。當内網服務器Srv1回應外網用戶的訪問請求時,發現自己的地址和目的地址在同一網段,此時Srv1就不會去查找路由表,而是發送ARP廣播報文詢問目的地址對應的MAC地址。路由器會将連接内網服務器的接口的MAC地址發給Srv1,Srv1将回應報文發送至路由器,路由器再對其進行後續處理。
二、實驗配置
(一) R1接口IP地址配置
[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]ip address 12.12.12.2 24
[R1-GigabitEthernet0/0/0]interface g0/0/1
[R1-GigabitEthernet0/0/0]ip address 10.1.1.254 24
[R1-GigabitEthernet0/0/1]quit
(二) R1到外網的默認路由配置
[R1]ip route-static 0.0.0.0 0.0.0.0 12.12.12.1
(三) R1上的NAT Server配置
[R1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface www inside 10.1.1.1 www
[R1-GigabitEthernet0/0/0]quit
(四) R1上外網用戶訪問内網服務器所需的源NAT配置
[R1]nat address-group 1 10.1.1.10 10.1.1.10
[R1]acl 3001
[R1-acl-adv-3001]rule 5 permit tcp destination 12.12.12.2 0
[R1-acl-adv-3001]quit
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 3001 address-group 1
注:
這裡的關鍵點是:
1. 把外網用戶client1(源)訪問内網服務器Srv1(目的)時的IP報文頭的源地址進行替換時的訪問表的匹配,在進入R1中後Srv1的IP地址還是12.12.12.2——還未被替換成10.1.1.1,因此acl 3001的規則匹配的IP報文的目的是12.12.12.2。
2. 用于源NAT地址池中的IP地址要與Srv1在同一網段。
3. 在接口上應用地址池時是在R1連接内網口的outbound方向。
三、配置驗證
(一) 外網用戶client1訪問單位内部WWW服務器Srv1
用Http Client模拟外網用戶以IP 12.12.12.2 方式訪問單位内部WWW服務器Srv1,如圖3
圖3
可以成功訪問。
(二) 查看R1的接口NAT地址轉換情況
結果如圖4,IP報文頭的源地址和目的地址均被進行了替換。
圖4
外網用戶訪問内網服務器的IP報文頭的源地址和目的地址均被進行了替換。
至此,實驗結束。
以上輸入和描述可能有疏漏、錯誤,歡迎大家在下方評論區留言指正!
另外以上實驗如有幫助,望不吝轉發!
,更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!