問題就出現在上面,內網erp伺服器做出的應答,內網pc收到後,發現應答的源位址是192.168.1.
100而不是202.103.100.
100,內網pc收到資料報後,會把資料報丟棄,然後內網pc會一直等啊等,等源位址為:202.103.
100.100,目標位址為自己ip:192.
168.1.10的資料報,但是一直到超時都等不到,最終結果可想而知。
同樣,192.168.1.100等待192.168.1.10的應答,也同樣等到超時也等不到應答。
http協議是基於tcp的,以上發生在tcp的三次握手階段,tcp三次握手無法完整的建立。
說明:後面的配置都以此拓撲圖為例。
已經知道了路由回流是造成內網使用者無法使用公網ip訪問erp系統的原因,那麼怎麼解決呢?解決方法有多種,下面分別介紹幾種解決方案。
3.1 內部nat解決方案
路由器上除了g0/0/1介面上配置埠對映(目標位址轉換),外網使用者通過訪問http:// 202.103.
100.100就可以訪問erp伺服器192.168.
100了,如果要內網使用者也可以通過http:// 202.103.
100.100訪問erp伺服器192.168.
100,還需要在路由器的g0/0/0介面上配置埠對映(目標位址轉換)。這裡以華為路由器為例,其它廠商的路由器請自己查詢相關資料配置。
[r1]aclnumber2000
[r1-acl-basic-2000]rule0permitsource192.168.1.00.0.0.255
[r1-acl-basic-2000]rule1deny
[r1-acl-basic-2000]quit
[r1]inte***cegigabitether***0/0/2
[r1-gigabitether***0/0/2]nat outbound 2000
[r1-gigabitether***0/0/2]natserverprotocoltcpglobal202.103.100.
10080inside192.168.1.
10080
[r1-gigabitether***0/0/2]quit
[r1]inte***cegigabitether***0/0/0
[r1-gigabitether***0/0/0]nat outbound 2000
[r1-gigabitether***0/0/0]natserverprotocoltcpglobal202.103.100.
10080inside192.168.1.
10080
紅色字型部門就是內部nat配置。
3.2 內網dns解決方案
按照我們一般的習慣,訪問**一般採用網域名稱,這樣方便記憶,同樣訪問明源erp系統的時候採用網域名稱比採用ip要方便,註冊網域名稱讓公網ip同網域名稱繫結,外網使用者就可以使用網域名稱訪問明源erp系統了。那麼內網使用者如何才能使用網域名稱正常的訪問明源erp系統呢?
內網使用者能否直接使用外網的網域名稱訪問明源的erp系統能,直接訪問是不行的,因為還是存在路由回流的問題,所以需要在內網配置一台dns伺服器,內網的所有客戶端的dns的ip都填寫這台內網的dns伺服器的ip位址,那麼問題來了,內網的使用者要想訪問外網像百度這樣的**該怎麼辦呢,這個很容易解決,只需要在內網dns伺服器上配置**器,**器中填寫公網上的運營商dns伺服器的ip位址就可以解決問題了。內網dns伺服器可以搭建在windows server 2003/2008上。
3.3 防火牆 dns mapping解決方案
dns mapping應用於內網使用者通過網域名稱訪問內網伺服器,設定dns mapping後,當內網使用者傳送dns請求的時候,防火牆裝置主動將網域名稱解析成伺服器的內網ip位址,返回給客戶端,客戶端實際是直接訪問伺服器的內網ip,不需要經過nat轉換。
網域名稱填寫:公網ip位址填寫:202.103.100.100,內網ip位址填寫:192.168.1.100。
如果公司內部沒有dns伺服器,如果有防火牆,防火牆支援dns mapping,也可以解決路由回流的問題。注意不是所有的防火牆都支援路由回流,購買前請諮詢防火牆廠商。
說明:該截圖為深信服防火牆的配置介面。
3.4 路由器 dns mapping解決方案
路由器的dns mapping 和防火牆的類似,只是將出口的防火牆換成路由器而已,配置略有差異,這裡以華為路由器為例,配置dns mapping,其中erp伺服器的網域名稱為:內網ip位址為:192.
168.1.100,80為erp伺服器的埠號,tcp是因為http協議是基於tcp的。
[r1]
3.5 其它解決方案
這種解決方案不是常規的解決方案,但是在某些情況可以考慮。一般伺服器有多塊網絡卡,此處是給伺服器另外一塊網絡卡配置公網的ip,但是該伺服器的這塊網絡卡不能直接配置閘道器,需要使用命令配置,同時該網絡卡的閘道器在核心交換機上。這樣使用公網的ip訪問erp伺服器的時候,不需要經過出口的防火牆或者路由器,直接通過核心交換機實現不同vlan之間的路由。
erp伺服器上,在命令列下輸入:
route add 192.168.1.0 mask 255.255.255.0 202.103.100.101 –p
核心交換機上的配置:
[switch]vlan100
[switch-vlan100]quit
[switch]inte***cegigabitether***0/0/1
[switch-gigabitether***0/0/1]portlink-typeaccess
[switch-port-group-defa]portdefaultvlan100
[switch-port-group-defa]quit
[switch]inte***cevlan100
[switch-vlanif100]ipaddress202.103.100.101255.255.255.0
[switch-vlanif100]quit
上述幾種解決方案中,內網dns解決方案最符合一般人的習慣,安裝配置也是最簡單的,但是需要一台dns伺服器,如果訪問量不大,可以考慮將dns伺服器和其他的伺服器合併,如果是域環境,首選內網dns解決方案,因為域控制器需要有dns支援。
內部nat解決方案在企業級的路由器或者防火牆上很容實現,但是難度比內網dns方案略大。
防火牆dns mapping和路由器dns mapping需要防火牆和路由器支援,目前大多數防火牆和路由器支援,但是購買前請諮詢廠商。
其它解決方案不是推薦的解決方案,一般要求erp伺服器要能連線到三層交換機上才能實現。
通過花生殼服務申請網域名稱
成功申請了花生護照後並不能馬上使用花生殼,因為此時使用者還沒有申請網域名稱記錄。只有在成功申請域後並啟用後才能享受動態網域名稱解析服務,操作步驟如下所述 第1步,在花生殼首頁使用註冊的花生護照登入 我的控制台 在左窗格中展開 網域名稱管理 目錄,然後單擊 申請免費網域名稱 按鈕,如圖 所示。圖200...
寬頻連線可以上網通過路由不能上網的解決方法
昨天遇到了乙個問題,好多人都沒有解決最後找到了我。問題如下 兩家人要同時上網買了新的路由配置正常,但是就是不能上網。但是通過貓可以正常上網。可能的原因是路由或是系統。但是路由是新買的tp link路由。這個路由我覺得質量不錯。不可能在一天之內就掛掉。下面就是找系統的原因了。有人說的直接重做系統不就完...