FAQ:AR系列路由器配置内网用户通过公网地址访问内部服务器配置方法及注意事项

发布时间:  2014-12-29 浏览次数:  259 下载次数:  0
问题描述
AR路由器做内网出口设备时,如何实现内网用户通过公网地址访问内部服务器
解决方案
一、V200R003C00及之前版本:
由于该版本不支持在内网侧接口下配置nat server,需通过重定向的方式来实现
# 创建ACL,匹配内网用户到服务器的流量
acl 3001
rule permit ip source x.x.x.x(内网网段) x.x.x.x(反掩码) destination x.x.x.x(服务器内网地址) 0
# 流分类c1,匹配ACL3001
traffic classifier c1
if-match acl 3001
quit
# 创建流行为b1,重定向到下一跳(静态IP配置公网网关,拨号配置拨号口)
traffic behavior b1
redirect ip-nexthop x.x.x.x(网关地址)或redirect interface dialer0
quit
# 创建流策略p1,将流分类和对应的流行为进行绑定。
traffic policy p1
classifier c1 behavior b1
quit
# 将流策略p1应用到VLAN或接口(内网侧)
vlan x
traffic-policy p1 inbound
quit
二、V200R003C01及以后版本:
通过在内网接口(三层接口或VLANIF接口)配置nat server的方式实现
内网侧接口配置:
nat server protocol tcp/udp global x.x.x.x(服务器公网地址) x(外部端口号) inside x.x.x.x(服务器内网IP) x(内部端口号)
注意事项:
1)如果以外网接口地址作为服务器映射的公网地址,需配置为:
nat server protocol tcp/udp global interface g0/0/x(公网口物理接口号) x(外部端口号) inside x.x.x.x(服务器内网IP) x(内部端口号)
2)如果内网用户和服务器属于同一网段或者属于不同网段但网关都不在AR上(内网用户和服务器可以不经过AR直接通信)的情况下,需在内网口添加如下配置:
nat outbound x(ACL编号)
ACL规则可配置为允许源IP为内网用户网段,目的地址为服务器内网地址的数据流。

END