内网通过域名及公网IP访问WWW服务器情况汇总

Posted 2020-10-22

一、网络环境及问题描述

网络环境：

  1、内部网络办公网划分VLAN10 网段：192.168.1.0/24 网关位于核心SWA

2、DMZ网络划分至VLAN20 网段：192.168.2.0/24  网关位于核心SWA

3、管理网段划分VLAN100 网段：192.168.100.0/24 网关位于核心SWA

   4、出口路由器RT：公网地址为111.111.111.2 ，E1口地址为192.168.100.2

5、web服务器www.abc.com，IP：192.168.2.2 并在出口RT上配置natserver

 

SWA配置：

<H3C>

#Jan 27 13:07:43:655 2018 H3C SHELL/4/LOGIN:

 Trap 1.3.6.1.4.1.25506.2.2.1.1.3.0.1<hh3cLogIn>: login from Console

%Jan 27 13:07:43:655 2018 H3C SHELL/5/SHELL_LOGIN: Console logged in from con0.

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C]vlan 10

[H3C-vlan10]int vlan 10

[H3C-Vlan-interface10]ip address 192.168.1.1 24

[H3C-Vlan-interface10]quit

[H3C]vlan 20

[H3C-vlan20]int vlan 20

[H3C-Vlan-interface20]ip address 192.168.2.1 24

[H3C-Vlan-interface20]quit

[H3C]vlan 100

[H3C-vlan100]int vlan 100

[H3C-Vlan-interface100]ip address 192.168.100.1 24

[H3C-Vlan-interface100]quit

[H3C]

[H3C]

[H3C]vlan 10

[H3C-vlan10]port Ethernet 0/4/1

[H3C-vlan10]

%Jan 27 13:10:46:785 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface10 link status is UP.

%Jan 27 13:10:46:785 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface10 is UP.

[H3C-vlan10]quit

[H3C]vlan 20

[H3C-vlan20]port Ethernet 0/4/2

[H3C-vlan20]

%Jan 27 13:11:15:271 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface20 link status is UP.

%Jan 27 13:11:15:271 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface20 is UP.

[H3C-vlan20]quit

[H3C]vlan 100

[H3C-vlan100]port Ethernet 0/4/0

[H3C-vlan100]

%Jan 27 13:11:51:510 2018 H3C IFNET/3/LINK_UPDOWN: Vlan-interface100 link status is UP.

%Jan 27 13:11:51:510 2018 H3C IFNET/5/LINEPROTO_UPDOWN: Line protocol on the interface Vlan-interface100 is UP.

[H3C-vlan100]quit

[H3C]ip route-static 0.0.0.0 0.0.0.0 192.168.100.2

 

 

RT配置：

<H3C>

<H3C>sys

System View: return to User View with Ctrl+Z.

[H3C] int e0/0/0

[H3C-Ethernet0/0/0]

[H3C-Ethernet0/0/0]ip address 111.111.111.2 24

[H3C]int e0/0/1

[H3C-Ethernet0/0/1]

[H3C-Ethernet0/0/1]ip address 192.168.100.2 24

[H3C-Ethernet0/0/1]

[H3C-Ethernet0/0/1]quit

[H3C]ping 111.111.111.1

  PING 111.111.111.1: 56  data bytes, press CTRL_C to break

    Reply from 111.111.111.1: bytes=56 Sequence=1 ttl=255 time=8 ms

    Reply from 111.111.111.1: bytes=56 Sequence=2 ttl=255 time=4 ms

    Reply from 111.111.111.1: bytes=56 Sequence=3 ttl=255 time=1 ms

    Reply from 111.111.111.1: bytes=56 Sequence=4 ttl=255 time=1 ms

    Reply from 111.111.111.1: bytes=56 Sequence=5 ttl=255 time=10 ms

 

  --- 111.111.111.1 ping statistics ---

    5 packet(s) transmitted

    5 packet(s) received

    0.00% packet loss

    round-trip min/avg/max = 1/4/10 ms

[H3C]ip route-static 192.168.0.0 255.255.0.0 192.168.100.1

[H3C]acl number 2222

[H3C-acl-basic-2222]rule 1 permit source any

[H3C-acl-basic-2222]

[H3C-acl-basic-2222]quit

[H3C]int e0/0/0

[H3C-Ethernet0/0/0]nat outbound 2222

[H3C-Ethernet0/0/0]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2

[H3C]ip route-static 0.0.0.0 0.0.0.0 11.111.111.1

 完成上述配置，则PC可正常访问公网，公网用户可正常访问www.abc.com；内网PC通过http://192.168.2.2 可以正常访问www服务器，

 问题：内网PC通过www.abc.com、http://111.111.111.2则无法访问www服务器。

问题原因分析：

Step1：PC访问www.abc.com，通过DNS解析，PC得到www.abc.com的IP地址为：111.111.111.2。

Step2：PC向网关SWA发出源IP为192.168.1.2 目的IP为111.111.111.2的数据包。

Step3:SWA接收到PC数据包，并转发至出口路由RT。

Step4：RT接收该数据包查看目的地址为自己接口地址，并有www的映射，会将该数据包打包成：源IP为192.168.1.2，目的IP为192.168.2.2的数据包并发送给SWA。

Step5：SWA接收数据包并转发给www服务器。

Step6：www服务器接收该数据包进行分析处理，并返回源IP为192.168.2.2，目的IP为：192.168.1.2的数据包，并发送给网关SWA。

Step7：SWA接收到该数据包，得知目的地址为192.168.1.2，则将该数据包直接发送给SWB，SWB发送到内网PC。

PC发送的数据包为 源IP：192.168.1.2 目的IP：111.111.111.2

PC接收的数据包为 源IP：192.168.2.2 目的IP：192.168.1.2

故PC对接收到的数据包会直接丢弃，所以无法PC无法打开www.abc.com的页面。

一、 解决方案

1、 仅通过域名：www.abc.com访问www服务器

原理：默认情况下，内网PC解析www.abc.com得到www服务器的公网地址111.111.111.2；将内网PC 在解析域名www.abc.com时，得到www的内网地址：192.168.2.2即可。

解决方案1、

内网仅有个别PC需要通过域名访问，大部分通过http://192.168.2.2访问，甚至大部分不需访问。

此情况可通过最简单的更改host文件实现：如图

解决方案2

内网所有用户都需要通过www.abc.com进行访问www服务器，而不需要通过http：//111.111.111.2进行访问。

通过nat dns mapping功能实现：

 在RT 上配置：nat dns-map domain www.abc.com protocol tcp ip 111.111.111.2 port www

解决方案3

通过架设内网的DNS服务器解决（此方案适合内网已有DNS服务器，若没有情况下单独架设，则成本较高，不适用）

 在内网架设DNS服务器（非面向公网权威解析的服务器，如IP：192.168.2.3） 配置域名abc.com；将www.abc.com  A记录解析为192.168.2.2 。同时支持递归解析公网域名（默认搭建完成，基本都支持）。内网PC配置DNS地址为：192.168.2.3即可。

2、 既需通过www.abc.com域名访问，又需要通过http://111.111.111.2访问

原理：使PC访问www服务器的请求数据包，及www服务器返回PC的应答数据包，保持往返路径一致即可。

解决方案4

若企业网规模较小，办公网与DMZ属于不同网段，且无核心交换情况下，可将两个网段的网关移至出口路由设备，如下图：

   解决方案5

  在路由器RT的E0口（外网口）、E1口（内网口）配置相同的natserver，及nat地址转换。

在RTE1口配置：

[H3C]acl number 2223

[H3C-acl-basic-2223]rule 1 permit source 192.168.1.0 0.0.0.255

[H3C-acl-basic-2223]rule 2 permit source 192.168.2.0 0.0.0.255

[H3C-acl-basic-2223]

[H3C-acl-basic-2223]quit

[H3C]int e0/0/1

[H3C-Ethernet0/0/1]nat outbound 2222

[H3C-Ethernet0/0/1]nat server protocol tcp global 111.111.111.2 www inside 192.168.2.2

通过上述配置可使PC到www.abc.com的数据包保持往返路径一致。