一、问题场景
很高兴,与大家再次见面,用分享的方式与各位小伙伴互动、学习、成长,在此,感谢小伙伴们的支持,话不多说,进入今天的技术分享。
不知道,小伙伴们有没有遇到这样的业务访问场景:园区内网部署服务器业务,例如web业务,内外网用户都可通过域名访问此业务。
但问题来了,如何实现这种需求的?
问题拆解,先解决外网用户域名访问内网web业务需求。要解决这个问题,首先,域名需到对应的运营商进行备案,开通web服务80端口;其次,域名注册;最后,内网出口网关配置端口映射(即:目的地址转换)。
那么,内网用户如何才能域名访问内网web业务呢,下面让我们一起探讨学习。
二、解决之道-内网用户域名访问内网服务业务-内网DNS
内网用户域名访问内网服务业务,最简单的实现方式莫过于在园区内网搭建DNS服务。
即:内网DNS服务器配置web域名至内网服务器IP的A记录,解决内网用户解析域名访问内网web服务;内网DNS服务器配置转发器,解决内网用户解析域名访问外网资源。
这种解决方案,各位小伙伴应该都知道,那么为何还要浪费这么口舌来分享这篇文章呢?
三、解决之道-内网用户域名访问内网服务业务-无内网DNS
本期文章分享的核心是:无内网DNS服务的场景下, 如何解决内网用户域名访问内网服务业务?
1、DNS Mapping技术
2、DNS 代理技术
3、双向地址转换技术
以上三种技术都可实现无内网DNS服务的场景下, 解决内网用户域名访问内网服务业务需求。
四、DNS Mapping技术
DNS Mapping技术原理图
第1步:内网PC访问域名www.abc.com,首先内网PC经内网出口网关向域名服务商DNS服务器发送DNS请求解析报文。
第2步:域名服务商DNS服务器返回DNS应答报文给内网出口网关。
第3步:内网出口网关查询DNS Mapping映射表,拦截并修改域名服务商DNS服务器返回DNS应答报文 ,然后返回给内网PC。
第4步:内网PC根据内网出口网关返回的DNS报文中内网web服务器IP,通过内网路由方式,最终访问内网web服务器。
DNS Mapping技术核心是内网出口网关通过拦截修改域名服务商DNS服务器返回DNS报文中的IP地址。而DNS代理技术原理与DNS Mapping技术类似,只是不同厂商启用的名字不一样而已。
五、双向地址转换技术
双向地址转换技术原理图
第1步:内网PC访问域名www.abc.com,首先内网PC经内网出口网关向域名服务商DNS服务器发送DNS请求解析报文。
第2步:域名服务商DNS服务器返回DNS应答报文给内网出口网关,然后由内网出口网关转发给内网PC。
第3步:内网PC根据域名解析返回的地址,访问目标IP202.102.1.10,访问数据报文经内网出口网关双向地址转换最终返回给内网PC。
内网PC通过出口设备的双向地址转换,可实现域名访问内网web服务器,并且访问内网web服务器的流量都需经内网出口网关进行转发,而对于web服务器来说,访问web服务器的源地址是内网出口网关内网接口地址。
六、双向地址转换模拟实现
利用HCL模拟软件,模拟实现双向地址转换技术。
双向地址转换模拟网络架构
1、内网出口网关外网IP:202.102.1.1/24,运营商互联IP:202.102.1.254/24;
2、内网核心(10.10.100.2/30)与内网出口网关(10.10.100.1/30)互联地址段:10.10.100.0/30;
3、内网核心配置内网PC地址段:192.168.10.0/24,网关:192.168.10.254;配置内网web服务器地址段:172.16.2.0/24,网关:172.16.2.254;
4、内网PC通过交换机模拟,IP地址设置192.168.10.1/24;内网web服务器页通过交换机模拟,IP地址设置172.16.2.1/24,并且开启SSH服务器来模拟web服务。
5、内网出口网关配置针对内网web服务器的SSH服务双向地址转换。
6、实际测试,内网PC通过SSH 202.102.1.10来访问内网web服务器;
内网PC成功SSH登陆内网web服务器
查看内网出口网关nat 会话;
查看内网出口网关nat 会话 查看内网出口网关nat 会话
查看内网web服务器登陆日志,登陆内网web服务器的源地址是内网出口网关的内网接口IP地址。
查看内网web服务器登陆日志
7、设备关键配置
(1)、内网出口网关
#定义NAT地址池
nat address-group 1
address 202.102.1.2 202.102.1.9
#内网出口网关外网接口配置
interface GigabitEthernet0/0
port link-mode route
ip address 202.102.1.1 255.255.255.0
nat outbound 3000 address-group 1
nat server protocol tcp global 202.102.1.10 22 inside 172.16.2.1 22
#内网出口网关内网接口配置
interface GigabitEthernet0/1
port link-mode route
ip address 10.10.100.1 255.255.255.252
nat outbound 3001
nat server protocol tcp global 202.102.1.10 22 inside 172.16.2.1 22
#配置静态路由
ip route-static 0.0.0.0 0 202.102.1.254
ip route-static 172.16.2.0 24 10.10.100.2
ip route-static 192.168.10.0 24 10.10.100.2
#配置ACL 3000
acl advanced 3000
rule 0 permit ip source 172.16.2.0 0.0.0.255
rule 5 permit ip source 192.168.10.0 0.0.0.255
#配置ACL 3001
acl advanced 3001
rule 0 permit ip source 192.168.10.0 0.0.0.255
(2)、内网核心
#配置内网web服务器的vlan
vlan 2
#配置内网PC的vlan
vlan 10
#配置互联内网出口网关的vlan
vlan 100
#配置三层接口地址
interface Vlan-interface2
ip address 172.16.2.254 255.255.255.0
#
interface Vlan-interface10
ip address 192.168.10.254 255.255.255.0
#
interface Vlan-interface100
ip address 10.10.100.2 255.255.255.252
#接口配置
interface GigabitEthernet1/0/1
port link-mode bridge
port access vlan 100
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 2
#静态路由配置
ip route-static 0.0.0.0 0 10.10.100.1
六、总结
1、DNS Mapping技术及DNS代理技术是通过拦截修改域名服务商DNS服务器返回DNS报文中的IP地址,来实现内网PC域名访问内网web服务器,访问流量无需经过内网出口网关,并且对于内网web服务器来讲可真实记录访问的内网源地址。
2、双向地址转换技术是通过转换访问源地址和目标地址,来实现内网PC域名访问内网web服务器,访问流量需经内网出口网关,并且对于内网web服务器来讲不能真实记录访问的内网源地址。
