内网和外网用户使用同一个IP+Port访问服务

IceFire_Ken · 发表于 2018-7-27 10:08:49

内网地址10.1.0.0/16
服务器10.1.2.1，服务端口88
外网地址100.1.1.1

目的希望无论是内网用户还是外网用户都使用 https://100.1.1.1:88 访问服务

在边界路由器上做了
ip nat inside source static tcp 10.1.2.1 88 100.1.1.1 88 extendable
外网用户访问没问题了

内网用户却不行，只能靠内网服务器地址访问服务 https://10.1.2.1:88

请教一下怎么实现内网和外网用户使用同一个IP+Port访问服务

layout102 · 发表于 2018-7-27 10:08:50

本帖最后由 layout102 于 2018-7-27 12:35 编辑

（一）　這是傳統ＮＡＴ（inside/outside）的限制:
                  當感興趣流量進入 inside 端口時，會先Route 再 Translate；依目前的例子，封包會路由出去外部接口(Outside interfase)再將原地址轉為公開地址(Translate)，之後...就沒了。

(二) NAT Virtual Interface:
            移除原有的 Inside/Outside 端口配置。當感興趣流量進入NVI端口，會先經過
         Routig --> Translation -->Routing
亦即，NVI會繞送兩次，各在每次轉換前後；就依剛剛的例子，封包繞送出去出口，又會再繞送回來內網給服務器。
Interface configure:
      int f0/0  ip nat inside -----> ip nat enable
      int f0/1 ip nat outside -----> ip nat enable

Configure Mode :
      ip nat  source static tcp 10.1.2.1 88 100.1.1.1 88
      ip nat source list 1 interface f0/1 overload
      access-list 1 permit 10.1..0 0.0.255.255

***我先暫時把 extendable 配置移掉，不過應該不影響結果

IceFire_Ken · 发表于 2018-8-4 21:42:24

layout102 发表于 2018-7-27 12:32
（一）　這是傳統ＮＡＴ（inside/outside）的限制:
當感興趣流量進入 inside 端口時 ...

!
interface Ethernet0/0                               //内网接口
ip address 10.2.10.2 255.255.255.0
ip nat enable
!
interface Ethernet0/1                               //外网接口
ip address 172.16.1.2 255.255.255.0
ip nat enable
!
ip nat source list 1 interface Ethernet0/1 overload
ip nat source static tcp 10.2.12.2 23 172.16.1.2 88 extendable
!
access-list 1 permit 10.0.0.0 0.255.255.255
!

内网PC
PC#telnet 172.16.1.2 88
Trying 172.16.1.2, 88 ...
% Connection timed out; remote host not responding

PC#
!

边界路由器的debug ip nat tran
R2#
*Aug  4 21:16:11.865: NAT: [0] Allocated Port for 10.2.11.2 -> 172.16.1.2: wanted 47824 got 47824
*Aug  4 21:16:11.865: NAT: i: tcp (10.2.11.2, 47824) -> (172.16.1.2, 88) [35140]
*Aug  4 21:16:11.865: NAT: TCP s=47824, d=88->23
*Aug  4 21:16:11.865: NAT: s=10.2.11.2->172.16.1.2, d=172.16.1.2 [35140]
*Aug  4 21:16:11.865: NAT: s=172.16.1.2, d=172.16.1.2->10.2.12.2 [35140]
R2#

说明一下，是拿eve模拟器做的，不是真机

转换的对，但好像是没有回包，显示trying

layout102 · 发表于 2018-8-5 21:58:10

本帖最后由 layout102 于 2018-8-5 22:01 编辑

IceFire_Ken 发表于 2018-8-4 21:42
!
interface Ethernet0/0 //内网接口
ip address 10.2.10.2 255.25 ...

檢查一下是否模擬 DMZ端 (sever端) 有無配置 ip nat enable ~~(也就是 10.2.12.0/24  這個接口有沒有配置 nat ，抱歉之前回覆太快忘了這個網段接口)
我剛剛簡易模擬跑了一下:
R2(config-if)#do sh ip nat nvi tra
Pro Source global    Source local    Destin  local    Destin  global
tcp 172.16.1.2:59333 10.2.10.1:59333 172.16.1.2:88    10.2.12.3:23    <-----
tcp 172.16.1.2:88    10.2.12.3:23    ---             ---

內網 10.2.10.1 有確實轉換為 172.16.1.2 並將目的地轉至 10.2.12.3

InsideHost#telnet 172.16.1.2 88
Trying 172.16.1.2, 88 ... Open
Server#
Server#
Server#
Server#

IceFire_Ken · 发表于 2019-1-24 12:59:01

layout102 发表于 2018-8-5 21:58
檢查一下是否模擬 DMZ端 (sever端) 有無配置 ip nat enable ~~(也就是 10.2.12.0/24 這個接口有沒有 ...

ip nat enable
这个配置IOS XE版本应该是敲不上去了，应该是新版本的软件都不支持了

账号		自动登录	找回密码
密码			论坛注册

[求助] 内网和外网用户使用同一个IP+Port访问服务

最佳答案

客服中心

投诉建议