CISCO IOS NVI解决NAT回流问题

一般情况下将内网服务器地址(端口)映射到公网地址(端口),这样公网用户即可正常访问服务器,但是此时和服务器在同一内网的用户也访问公网地址(端口)将会不能正常访问。示意如下图:

一般的解决方法是:
1,公网用户使用公网地址访问,内网用户使用内网地址访问。这样访问需要记住两种访问方式,比较麻烦。
2,使用域名访问,公网使用公网DNS解析,内网使用内网DNS解析,分别为公网和内网解析两个地址。使用方便,实施麻烦。
3,使用支持NAT回流的设备。需要更换设备,成本大。
4,使用思科的NVI NAT解决NAT回流问题。

原有的端口映射为:

ip nat inside source static tcp 192.168.50.6 80 interface Dialer1 8000
ip nat inside source static tcp 192.168.50.8 9527 interface Dialer1 9527
ip nat inside source static udp 192.168.50.8 9527 interface Dialer1 9527
ip nat inside source route-map NAT interface Dialer1 overload
interface Dialer1
ip nat outside
interface F0/1
ip nat inside

更改为NVI NAT:

ip nat source static tcp 192.168.50.6 80 interface Dialer1 8000
ip nat source static tcp 192.168.50.8 9527 interface Dialer1 9527
ip nat source static udp 192.168.50.8 9527 interface Dialer1 9527
ip nat source route-map NAT interface Dialer1 overload
interface Dialer1
ip nat enable
interface F0/1
ip nat enable

更改为NVI NAT可能内网还是无法通过公网地址访问内网服务器,此时有个重要的一点是要关闭端口的重定向功能:

interface Dialer1
no ip redirects
interface F0/1
no ip redirects

这样配置即可完成,检查状态命令为:show ip nat nvi translations

#show ip nat nvi translations | in ---
tcp 180.109.84.181:8000   192.168.50.6:80       ---                   ---
tcp 180.109.84.181:9527   192.168.50.8:9527     ---                   ---
udp 180.109.84.181:9527   192.168.50.8:9527     ---                   ---

访问测试OK。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

答案 : *
23 − 12 =