问

H3C MSR36-40 NAT后用户通过外网口访问内网服务器的端口

1天前提问

2关注
0收藏，164浏览

zhiliao_QnJCba

zhiliao_QnJCba 零段

粉丝：0人关注：1人

问题描述：

1.用户PC地址192.168.20.12/24，服务器地址192.168.20.11/24 2.用户PC可以访问服务内网口的48000端口 3.互联网用户可以访问183.234.247.226的48000端口 4.用户PC无法访问183.234.247.226的48000口。路由器设备是H3C MSR36-40，版本是Version 7.1.064, Release 0821P13

组网及组网描述：

1.用户PC和服务器接在核心交换机同一网段192.168.20.0/24 2.核心交换机三层口192.168.2.1/24与路由器内网口192.168.2.2/24互联 3.路由器外网口为G1/0/1 interface GigabitEthernet1/0/1 port link-mode route combo enable copper ip address 183.234.247.226 255.255.255.248 dns server 114.114.114.114 dns server 211.136.192.6 tcp mss 1280 ip last-hop hold nat outbound 2000 address-group 1 nat server protocol tcp global 183.234.247.226 48000 inside 192.168.20.11 48000 内网口G1/0/1 interface GigabitEthernet1/0/0 port link-mode route combo enable copper ip address 192.168.2.2 255.255.255.0 nat hairpin enable nat address-group 1 address 183.234.247.226 183.234.247.226

4 个回答

按时间按赞数

zl_Yulenka

zl_Yulenka 八段

粉丝：21人关注：0人

是不是内网用户通过公网地址访问内部服务器，在内网接口开启nat hairpin enable 功能即可

zhiliao_QnJCba

zhiliao_QnJCba 知了小白

粉丝：0人关注：1人

内网口G1/0/0开启nat hairpin enable了，不行。是不是跟版本有关系

回复zl_Yulenka:

内网口配置是这样的# interface GigabitEthernet1/0/0 port link-mode route combo enable copper ip address 192.168.2.2 255.255.255.0 nat hairpin enable #

zhiliao_QnJCba 发表时间：1天前 更多>>

内网接口下配置的nat取消

zl_Yulenka 发表时间：1天前

回复zl_Yulenka:

内网口配置是这样的# interface GigabitEthernet1/0/0 port link-mode route combo enable copper ip address 192.168.2.2 255.255.255.0 nat hairpin enable #

zhiliao_QnJCba 发表时间：1天前

鸭鸭同学

鸭鸭同学知了小白

粉丝：0人关注：0人

1. 深度原因分析

你的 PC 和服务器虽然在同一网段（192.168.20.0/24），但网关在核心交换机上。当你访问公网 IP 时：

数据包去程： PC -> 核心交换机 -> 路由器（192.168.2.2）。
路由器处理： 匹配 nat server，目标地址由 183.x.x.226 转换为 192.168.20.11。
关键点： 路由器将包发回核心交换机，核心交换机转发给服务器。
回包失败： 服务器收到包时，源 IP 是 PC 的内网 IP（192.168.20.x）。由于服务器和 PC 在同一二层网段，服务器会直接回包给 PC（不经过路由器）。PC 期待收到来自公网 IP 的回包，结果收到一个私网 IP 的包，直接丢弃，连接失败。

2. 核心解决方案：内网口强制 SNAT

要解决此问题，必须强制让进入路由器的流量在经过 nat server 转换目标地址的同时，也转换源地址（SNAT），使服务器认为请求来自路由器，从而将回包发还给路由器。请按以下步骤修改路由器配置：

第一步：创建针对内网回流流量的 ACL

需要匹配“源地址是内网、目的地址也是内网”的流量。

acl advanced 3000
 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255
quit

第二步：在内网接口（G1/0/0）配置双向 NAT

在原本只有 nat hairpin enable 的内网口，增加一条 nat outbound。

bash

interface GigabitEthernet1/0/0
 # 原有配置保留
 ip address 192.168.2.2 255.255.255.0
 nat hairpin enable
 # 新增配置：将回流流量的源地址伪装成路由器内网口 IP
 nat outbound 3000
quit

内网口G1/0/0配置如下： interface GigabitEthernet1/0/0 port link-mode route combo enable copper ip address 192.168.2.2 255.255.255.0 nat hairpin enable nat outbound 3000 # #ACL配置 acl number 2000 rule 10 permit source 192.168.0.0 0.0.255.255 # acl advanced 3000 rule 5 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.20.0 0.0.0.255 # 做了以上配置，用户还是不能telnet到183.234.247.226 48000端口

zhiliao_QnJCba 发表时间：1天前 更多>>

zhiliao_QnJCba 发表时间：1天前