在 Cisco 871 IOS 12.4(15)T4 上配置发夹结构?

在 Cisco 871 IOS 12.4(15)T4 上配置发夹结构?

我是 IOS 新手。过去我使用过消费级路由器,它们似乎很智能,可以自动将对内部主机的请求路由回内部网络,这些主机通过其公共名称寻址。我认为这叫做发夹路由。

我需要这样做,以便办公室笔记本电脑可以从办公室外部和内部通过其公共名称访问我们办公室网络上的服务器。

这件事让我很困惑,但我确信对于网络专家来说这是小菜一碟。

注意:我们没有内部 DNS(我们只有 4 台机器)。

答案1

假设...

  1. 我对这个问题的理解是正确的(请参阅评论@petrus)
  2. 并且你是暴露使用静止的nat 使用如下命令:

    (配置)# ip nat inside 源静态 PRIVATE-IP PUBLIC-IP 可扩展

拍,只有朴素、陈旧、无聊的静态自然),则任何在有效负载中引用 PUBLIC-IP(与静态 NAT 中使用的相同)的 DNS 回复都将被重写为 PRIVATE-IP。

因此,如果满足先决条件(即使用静态 NAT),当您的用户向外部 DNS 服务器查询您的主机名时,他们将收到重写的 DNS 答案(PRIVATE_IP),并且应该可以毫无问题地连接到您的服务器。

您的外部用户将像往常一样连接到您的服务器,即使用您服务器的 PUBLIC-IP 地址。

您可能需要查看以下文档:DNS 响应的网络地址转换

答案2

您要做的就是执行反向端口地址转换。

人们给它起了各种疯狂的名字,例如:NAT Hairpinning、NAT-on-a-stick、NAT 反射和 NAT 环回。

澄清一下,发夹式连接是 NAT-on-a-stick 配置中使用的一种技术,它涉及让 NAT“回送”流量。这听起来像是您想要的,但很可能不是您想要的。这些配置的简单形式只有一个接口。它们实际上将路由器变成了交换网络的 NAT 服务器。

使用 Google 很难找到此类问题,因此我将重新表述:

如果您无法使用全局 IP 地址和端口访问内部服务器,那么本篇文章正适合您!

您必须配置另一种称为 NVI 的 NAT,而不是传统的 NAT。

要配置 NAT NVI,您可以替换:

在接口配置模式(config-if)

代替:

ip nat outside and/or ip nat inside

和:

ip nat enable

代替:

  ip nat inside source static a.b.c.d xx int fa0 yy

With:

  ip nat source static a.b.c.d xx int fa0 yy

在全局配置模式(config)

代替:

  ip nat source route-map NAT_MAP interface Dialer1 overload

和:

  ip nat inside source route-map NAT_MAP interface Dialer1 overload

现在,您应该能够使用全局 IP 地址从 LAN 访问您的 Web 服务器。

这很棒,对吧?!如果你有一个动态 IP 地址,那就不是这样了,因为路由器一重新启动,它就会启动,NAT 条目将是经典的 NAT 条目,而不是 NVI 条目。这通常会破坏“端口转发”,所以我写了一个脚本,一旦接口处于启动状态,就重新输入语句。我打算把它留在这里,如果有人需要帮助,请随时询问。

(顺便说一句,如果您在 show ip nat Translations 而不是 ip nat nvi Translations 的输出中看到 ip nat source static ... 语句,您就可以知道这种情况正在发生在您身上。)

该脚本可以在这里获取:

https://github.com/vittorio88/cisco-scripts/blob/master/fix_nvi.tcl

保存并复制到路由器。查看文件内部如何配置 IOS 以使用该脚本。

祝你好运!

PS 启用 NVI 会使路由器的性能略有下降。这在较旧的路由器或 800 系列上可能更为明显。

答案3

如果你问的话,那么我猜困扰你的是 NAT(嗯,实际上是 pat)配置。

如果是的话,请看以下示例:

ip nat inside source static tcp 172.22.151.10 22 interface FastEthernet1/0 22

此线路将把 FastEthernet1/0(WAN 接口)、tcp 端口 22 上的所有传入请求转发到内部主机 172.22.151.10(也在 tcp 端口 22 上)。

如果您在内部,则无需在路由器上进行任何配置,您应该能够直接访问服务器。

相关内容