AR 配置NAT Server后内网用户不能通过公网IP访问内部服务器的一种解决方法

发布时间:  2015-11-19 浏览次数:  274 下载次数:  0
问题描述

示意拓扑如图:

AR2200 GE5/0/0端口通过公网IPInternet ISP互联,并提供用于公网服务的公网IP配置了NAT Server

#

interface GigabitEthernet5/0/0

 ip address *.*.201.154 255.255.255.248

 trust dscp

 nat server global *.*.201.155 inside 172.16.252.4 description ** Server

 nat outbound 3001

#

    此时,在Internet可以通过公网IP *.*.201.155访问内部服务器,但是内部的客户端不能够通过公网IP访问内部的服务器。

处理过程

1,  NAT Server的配置在与公网互联的GE5/0/0端口下,内部客户端访问内部服务器的流量不会通过这个端口,不会匹配NAT Server映射到私网地址。

2,  AR2200连接私网的接口上同步做NAT Server的配置,使从私网过来的目的IP *.*.201.155的访问映射为服务器的私网IP 172.16.252.4

#

interface GigabitEthernet0/0/1

ip address 172.16.254.5 255.255.255.252

 trust dscp

nat server global *.*.201.155 inside 172.16.252.4 description ** Server-Intra

#

根因

NAT Server的配置在与Internet互联的公网接口下,内部客户端访问内部服务器的流量不会通过这个端口,不会匹配NAT Server映射到私网地址。

解决方案

在与私网互联的接口下同步添加NAT Server的配置。

END