一、组网图
外网用户可以通过域名或者60.21.206.169访问WEB服务器。
内网用户10.50.200.43无法通过60.21.206.169访问WEB服务器。可以通过210.30.187.2访问。
三、问题分析如下
数据交互流程为:
1、10.50.200.43发起连接,TCP syn(S=10.50.200.43,D=60.21.206.169)
2、nat static 210.30.187.2 60.21.206.169
3、TCP syn(S=10.50.200.43,D=210.30.187.2)
4、TCP syn ack(S=210.30.187.2,D=10.50.200.43)
如此,内网PC就会把此次会话认为是非法。PC访问60.21.206.169,回来确认的确是210.30.187.2.这样PC就无法访问网站了。
究其原因:
由于内网服务器IP与用户PC同在S7506E网关下,内网服务器返回的数据不会经过防火墙就回到了PC。
改造思路:
1、 更改服务器的网关在防火墙上,但此种方式会改变网络结构,暂不采用,但也可以作为一种解决方案。
2、 通过防火墙转译内网PC用户的IP
此种方式就需要在内网PC IP数据包回到内网服务器之前改写,因此我们可以在内网接口上下手。
M9000内网接口IP为3.3.3.3,我们可以在数据从北至南的方向开始改写:
#
acl number 3011
description 从内网IP访问公网IP需要转译为接口地址
rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 210.30.187.2 0
#
interface Vlan-interface110
description trust-内联口
ip address 3.3.3.3 255.255.255.0
nat outbound 3011
#
同样在内网也要发布服务器
interface Vlan-interface110
nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www
此时数据流向为:
1、10.50.200.43发起连接,TCP syn(S=10.50.200.43,D=60.21.206.169)
2、nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www
3、TCP syn(S=10.50.200.43,D=210.30.187.2)
4、nat outbound 3011
5、TCP syn(S=3.3.3.3,D=210.30.187.2) 由于数据流匹配acl 3011源在此改写
6、TCP syn ack(S=210.30.187.2,D=3.3.3.3)
7、nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www
8、TCP syn ack(S=60.21.206.169,D=3.3.3.3)
9、nat outbound 3011最后 3.3.3.3--->10.50.200.43
8、如此TCP syn ack变为(S=60.21.206.169,D=10.50.100.43)
如此TCP握手便正常回来了。
如下为M9000上Session
dis session table source-ip 10.50.100.43 destination-ip
60.21.206.169 ver
Initiator:
Source IP/Port : 10.50.100.43/53357
Dest IP/Port : 60.21.206.169/80
VPN-Instance/VLAN ID/VLL ID:
Responder:
Source IP/Port : 210.30.187.2/80
Dest IP/Port : 3.3.3.3/41458
VPN-Instance/VLAN ID/VLL ID:
Pro: TCP(6) App: HTTP State: TCP-EST
Start time: 2014-02-24 11:30:53 TTL: 3584s
Root Zone(in): Trust
Zone(out): Trust
Received packet(s)(Init): 10 packet(s) 1363 byte(s)
Received packet(s)(Reply): 9 packet(s) 8892 byte(s)
四、解决方法
需要在内网接口做相应的配置:
1、 建立ACL用于匹配内网IP到内网服务器IP的访问流。
2、 在内网接口应用NAT将上述ACL转译成内网接口IP访问内部服务器。
3、 在内网接口作nat server outbound。
配置脚本如下:
#
acl number 3011 //ACL匹配数据流
rule 0 permit ip source 10.0.0.0 0.255.255.255 destination 210.30.187.2 0
#
interface Vlan-interface110 //内网三层接口
ip address 3.3.3.3 255.255.255.0
nat outbound 3011 //将acl 3011流量转译成接口地址
nat server protocol tcp global 60.21.206.169 www inside 210.30.187.2 www //发布服务器端口
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作