中小型企业出口路由配置实例(三)-内部服务器的对外服务设置

在中小型企业中,经常会遇到以下场景,外出办公人员需要访问总部的办公OA网,或者存在其它机构需要访问自己单位中的某个系统和业务,这种情况下,我们如何实现外部人员访问单位内部网络的相关业务系统呢?今天,就给朋友们简单介绍此问题的解决办法。

要解决这个问题,首先要知道产生这种情况的根源。大家都知道,由于IP地址前期规划的问题,IPv4地址已经处于耗尽的边缘,为了缓解该问题,我们提出了私网地址的概念,即机构内部局域网使用私网地址,在机构接入公网的边界路由器上,由运营商提供若干个公网IP地址,并使用NAT网络地址转换技术将机构的私网地址转换为公网地址,实现对外部网络的访问。这样一来,机构内部的私网地址虽然可以实现访问公网地址了, 但是机构内部的业务系统服务器由于使用的是私网地址,在外部机构需要访问该业务时,由于公网不认识私网地址,造成了业务无法访问的问题,也就是我们今天问题的核心。

如何解决这个问题呢?机构接入公网的边界路由器有运营商提供的公网IP地址,而且这些IP地址在公网上是可以被任何一个现网用户访问到的,把内部业务服务器的私网地址和对应服务端口映射到边界路由器的公网IP地址上,将能够实现外部机构用户对业务的访问,该方式的实现原理也是NAT网络地址转换应用的一部分。

今天示例选用的是H3C MSR3011E路由器,使用该路由器模拟机构边界出口路由器,该路由器软件版本为V5版本,现在H3C的路由器基本上已经全面升级为V7版本,但是路由器的配置命令大同小异,大家在实际应用时根据自己选用设备的配置手册进行适当变更。

H3C MSR3011E外观如下图:

为了配置示例直观,我们假设内部服务器的私网IP地址为192.168.88.88,服务端口为1433和8080,机构边界路由器公网IP地址为60.34.22.2,且运营商仅为我们提供了唯一的公网地址,边界路由器去往公网方向的接口为ETH0/1。

具体配置如下:

interface Ethernet0/1

//进入接口ETH0/1视图

nat server protocol tcp global 60.34.22.2 1433 inside 192.168.88.88 1433

//此命令的意思为:将192.168.88.88的1433端口映射至60.34.22.2的1433端口上

nat server protocol tcp global 60.34.22.2 8080 inside 192.168.88.88 8080

//此命令的意思为:将192.168.88.88的8080端口映射至60.34.22.2的8080端口上

在一定情况下,会产生内部业务服务器端口与映射至边界路由器出口端口不一致的需求,在这里给朋友们提供两个产生该场景的示例,方便大家理解。

场景一:通常情况下,运营商给各机构提供的专线中默认禁止了1433端口,在机构内部业务服务器的业务端口有1433端口时,需要将该端口映射为其它端口,比如9100端口。

具体配置如下:

interface Ethernet0/1

//进入接口ETH0/1视图

nat server protocol tcp global 60.34.22.2 9100 inside 192.168.88.88 1433

//此命令的意思为:将192.168.88.88的1433端口映射至60.34.22.2的9100端口上

场景二:机构内部有两套业务系统,均使用了业务端口8080,如业务服务器1的IP地址为192.168.88.88,业务服务器2的IP地址为192.168.88.90,在这两个地址均向外部出口映射时,需要分别设置一个业务端口,防止冲突,如9200端口和9300端口。

具体配置如下:

interface Ethernet0/1

//进入接口ETH0/1视图

nat server protocol tcp global 60.34.22.2 9200 inside 192.168.88.88 8080

//此命令的意思为:将192.168.88.88的8080端口映射至60.34.22.2的9200端口上

nat server protocol tcp global 60.34.22.2 9300 inside 192.168.88.90 8080

//此命令的意思为:将192.168.88.90的8080端口映射至60.34.22.2的9300端口上

通过以上设置后,外部机构或者外出办公人员,可以直接访问60.34.22.2的对应端口来访问机构内部的192.168.88.88的相关业务,当然了,在对外开放相关服务端口时,要做好相关的安全防护。朋友们有环境了可以自己尝试,有疑问的话可以留言,或者关注以下公众号直接提问,醋小西随时恭候大家。

1

网络案例

全真机环境

配合测试

2

机房案例

实地勘察

用心服务

3

故障分析

专业化指引

快速定位

长按识别二维码,了解更多精彩IT分享

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180425G198BO00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券