AR3200 将内网的S5700交换机的web管理服务映射到公网不成功

发布时间:  2016-05-25 浏览次数:  197 下载次数:  0
问题描述

如图将S5700的http web网管端口通过AR3260映射映射到公网的X.X.X.X/24,但公网测试端口开放,但web访问提示“NOT FIND”

配置信息如下:

interface GigabitEthernet0/0/0
 tcp adjust-mss 1200
 ip address x.x.x.x 255.255.255.0
 combo-port fiber
 nat server protocol tcp global current-interface 8000 inside 192.168.254.1 www

处理过程

1.查看路由器侧的会话,端口转换正常

<ZJJ-SZYZ-AR3260>display nat session destination x.x.x.x 8000 verbose
  NAT Session Table Information:
     Protocol          : TCP(6)
     SrcAddr  Port Vpn : x.x.x.x 47676
     DestAddr Port Vpn : x.x.x.x 8000
     Time To Live      : 600 s
     NAT-Info
       New SrcAddr     : ----
       New SrcPort     : ----
       New DestAddr    : 192.168.254.1
       New DestPort    : 80

2.交换机侧查看tcp的连接状态,也有对应ip进行访问

<ZJJ-SZYZ-CORE-S5720>display tcp status

TCPCB    Tid/Soid Local Add:port        Foreign Add:port      VPNID  State

……

95d4451c 117/71   192.168.254.1:23      192.168.253.1:58016   0      Established

9188d32c 59 /71   192.168.254.1:80      x.x.x.x:47676   0      Established

3.通过对公网出口进行抓包查看分析,交换机的访问对80端口重定向到了443端口

4.根据以上分析,对交换机访问还需要映射443端口,所以路由器上执行undo http secure-server enable,并将443端口进行映射后解决





根因

在对交换机使用80端口进行web访问时,为了更加安全访问,交换机上会将http 的80端口重定向到https的443端口进行访问

解决方案

更改配置如下:

1.关闭路由器的https服务

undo http secure-server enable

2.公网接口下对443端口进行映射

interface GigabitEthernet0/0/0
 tcp adjust-mss 1200
 ip address x.x.x.x 255.255.255.0
 combo-port fiber
 nat server protocol tcp global current-interface 8000 inside 192.168.254.1 www

 nat server protocol tcp global current-interface 443 inside 192.168.254.1 443

END