AR 内网用户无法通过公网地址访问内部服务器 另一种解决方案

发布时间:  2016-06-04 浏览次数:  357 下载次数:  0
问题描述


客户配置nat server,将公网地址111.111.111.111映射到内网服务器2.2.2.2上,通过公网访问正常,通过内网1.1.1.2访问公网接口地址111.111.111.111则无法访问到服务器2.2.2.2
处理过程
分析报文交互过程
根因

内网用户1.1.1.2访问公网地址111.111.111.111时候,报文被做了目的NAT,定向到服务器2.2.2.2。

服务器收到并回复报文,在经过三层交换机时,交换机发现目标地址1.1.1.2存在于自己的ARP里,直接做了转发,报文没有送到路由器。

此时PC1.1.1.2正等待源地址为111.111.111.111的TCP SYN ACK报文,而收到的却是源地址为2.2.2.2的TCP SYN ACK,直接丢弃。

解决方案

在路由器下联三层交换机的接口配置源NAT,使用接口地址,匹配ACL源为1.1.1.2,目的为2.2.2.2的流。
确保服务器回复PC的报文,送到路由器上将源地址更改为111.111.111.111。

acl number 3000  
 rule 5 permit ip source 1.1.1.2 0 destination 2.2.2.2 0 

interface GigabitEthernet0/0/3
 nat outbound 3000

END