內網通過域名或公網IP訪問ERP的解決方案_第1頁
內網通過域名或公網IP訪問ERP的解決方案_第2頁
內網通過域名或公網IP訪問ERP的解決方案_第3頁
內網通過域名或公網IP訪問ERP的解決方案_第4頁
內網通過域名或公網IP訪問ERP的解決方案_第5頁
全文預覽已結束

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

內網通過域名或公網IP訪問ERP的解決方案第1頁共5頁內網通過域名或公網IP訪問ERP的解決方案Nov18,2023關鍵字公網IP、路由回流、NAT、DNS、DNSMapping。需求分析ERP系統(tǒng)安裝部署完畢后,經常會遇到這樣的問題,就是外網用戶可以使用公網IP能正常訪問ERP系統(tǒng),但是內網用戶卻無法使用公網IP訪問ERP系統(tǒng),這個問題會經常遇到,解決的方法也有很多。那么為什么會出現(xiàn)這樣的問題?解決問題前,首先介紹一下路由回流。路由回流當用路由器防火墻等設備將內網效勞器發(fā)布到公網上,供Internet用戶訪問的過程中出現(xiàn)的一種現(xiàn)象,就是你發(fā)現(xiàn)web效勞器已經成功發(fā)布了,Internet用戶也已經可以通過你路由器公網接口地址成功訪問了,而你卻發(fā)現(xiàn)自己在內網中與web效勞器同網段的主機上直接訪問那個路由器公網地址是無法訪問到web效勞器的頁面內容的,這就是路由回流。造成路由回流的原因主要是出口設備路由器或者是防火墻做了NAT/PAT〔也被稱作源地址轉換〕和端口映射〔也被稱為目標地址轉換〕造成的。舉例說明,內網PC的IP地址為:0,內網ERP效勞器的IP地址為:00,路由器外網接口IP地址為:00,外網通過00就可以訪問內網的ERP效勞器00,當然在出口設備上目標地址轉換已經完成。 當內網PC通00訪問內網效勞ERP效勞器的時候,源地址為:0,目標地址為:00,內網PC發(fā)現(xiàn)00和自己的IP地址0不在一個網段,會查找路由表,將數(shù)據(jù)包發(fā)給路由器。當路由器接到請求后,做目標地址轉換,此時源地址不變,還是0,但是目標地址變?yōu)椋?0。內網WEB效勞器會應答,應答的源地址為自己的IP地址:00,目標地址為:0,此時源地址和目標地址在同一個網段,不需要查找路由表,也就是說不需要經過路由器,只需要在交換機上查找MAC地址表,做轉發(fā)就可以了。問題就出現(xiàn)在上面,內網ERP效勞器做出的應答,內網PC收到后,發(fā)現(xiàn)應答的源地址是00而不是00,內網PC收到數(shù)據(jù)包后,會把數(shù)據(jù)包丟棄,然后內網PC會一直等啊等,等源地址為:00,目標地址為自己IP:0的數(shù)據(jù)包,但是一直到超時都等不到,最終結果可想而知。同樣,00等待0的應答,也同樣等到超時也等不到應答。HTTP協(xié)議是基于TCP的,以上發(fā)生在TCP的三次握手階段,TCP三次握手無法完整的建立。說明:后面的配置都以此拓撲圖為例。解決方案已經知道了路由回流是造成內網用戶無法使用公網IP訪問ERP系統(tǒng)的原因,那么怎么解決呢?解決方法有多種,下面分別介紹幾種解決方案。內部NAT解決方案路由器上除了g0/0/1接口上配置端口映射〔目標地址轉換〕,外網用戶通過訪問http://00就可以訪問ERP效勞器192.168.100了,如果要內網用戶也可以通過http://00訪問ERP效勞器192.168.100,還需要在路由器的g0/0/0接口上配置端口映射〔目標地址轉換〕。這里以華為路由器為例,其它廠商的路由器請自己查找相關資料配置。[R1]acl

number

2000

[R1-acl-basic-2000]rule

0

permit

source

55

[R1-acl-basic-2000]rule

1

deny

[R1-acl-basic-2000]quit

[R1]interface

GigabitEthernet

0/0/2[R1-GigabitEthernet0/0/2]natoutbound2000[R1-GigabitEthernet0/0/2]nat

server

protocol

tcp

global

00

80

inside

00

80[R1-GigabitEthernet0/0/2]quit[R1]interface

GigabitEthernet

0/0/0[R1-GigabitEthernet0/0/0]natoutbound2000[R1-GigabitEthernet0/0/0]nat

server

protocol

tcp

global

00

80

inside

00

80紅色字體部門就是內部NAT配置。內網DNS解決方案按照我們一般的習慣,訪問網站一般采用域名,這樣方便記憶,同樣訪問明源ERP系統(tǒng)的時候采用域名比采用IP要方便,注冊域名讓公網IP同域名綁定,外網用戶就可以使用域名訪問明源ERP系統(tǒng)了。那么內網用戶如何才能使用域名正常的訪問明源ERP系統(tǒng)呢?內網用戶能否直接使用外網的域名訪問明源的ERP系統(tǒng)能,直接訪問是不行的,因為還是存在路由回流的問題,所以需要在內網配置一臺DNS效勞器,內網的所有客戶端的DNS的IP都填寫這臺內網的DNS效勞器的IP地址,那么問題來了,內網的用戶要想訪問外網像百度這樣的網站該怎么辦呢,這個很容易解決,只需要在內網DNS效勞器上配置轉發(fā)器,轉發(fā)器中填寫公網上的運營商DNS效勞器的IP地址就可以解決問題了。內網DNS效勞器可以搭建在WindowsServer2023/2023上。防火墻DNSMapping解決方案DNSMapping應用于內網用戶通過域名訪問內網效勞器,設置DNSMapping后,當內網用戶發(fā)送DNS請求的時候,防火墻設備主動將域名解析成效勞器的內網IP地址,返回給客戶端,客戶端實際是直接訪問效勞器的內網IP,不需要經過NAT轉換。域名填寫:,公網IP地址填寫:00,內網IP地址填寫:00。如果公司內部沒有DNS效勞器,如果有防火墻,防火墻支持DNSMapping,也可以解決路由回流的問題。注意不是所有的防火墻都支持路由回流,購置前請咨詢防火墻廠商。說明:該截圖為深信服防火墻的配置界面。路由器DNSMapping解決方案路由器的DNSMapping和防火墻的類似,只是將出口的防火墻換成路由器而已,配置略有差異,這里以華為路由器為例,配置DNSMapping,其中ERP效勞器的域名為:,內網IP地址為:00,80為ERP效勞器的端口號,tcp是因為http協(xié)議是基于TCP的。[R1]nat

dns-map

00

80

tcp其它解決方案這種解決方案不是常規(guī)的解決方案,但是在某些情況可以考慮。一般效勞器有多塊網卡,此處是給效勞器另外一塊網卡配置公網的IP,但是該效勞器的這塊網卡不能直接配置網關,需要使用命令配置,同時該網卡的網關在核心交換機上。這樣使用公網的IP訪問ERP效勞器的時候,不需要經過出口的防火墻或者路由器,直接通過核心交換機實現(xiàn)不同VLAN之間的路由。ERP效勞器上,在命令行下輸入:routeaddmask01–p核心交換機上的配置:[switch]vlan

100

[switch-vlan100]quit

[switch]interface

GigabitEthernet

0/0/1

[switch-GigabitEthernet0/0/1]port

link-type

access

[switch-port-group-defa]port

default

vlan

100

[switch-port-group-defa]quit

[switch]interface

vlan

100

[switch-Vlanif100]ip

address

01

[switch-Vlanif100]quit小結上述幾種解決方案中,內網DNS解決方案最符合一般人的習慣,安裝配置也是最簡單的,但是需要一臺DNS效勞器,如果訪問量不大,可以考慮將DNS效勞器和其他的效勞器合并,如果是域環(huán)境,首選內網DNS解決方案,因

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論