內網PC與內網所在的SERVER 在同一個網段,現在內網SERVER 對公網用戶提供WWW 和FTP 服務,在公網上有相應的域名。現在要求內網PC 可以同時通過公網域名、公網IP 和私網IP 來訪問內網的這臺SERVER。
內網主機通過公網域名來訪問映射的SERVER 在AR 路由器上都是通過NATDNS-MAP 來實現的,但不能同時通過公網IP 和私網IP 來訪問SERVER。如果在設備內網口配置NAT SERVER 則可以把訪問公網地址轉換成私網地址,然后向SERVER 發起連接,但源地址還是內網主機的地址,此時SERVER 給PC 回應報文時就不會走路由器,直接發到了內網PC 上,內網PC 認為不是自己要訪問的地址,會把這個報文丟棄,因此會導致連接中斷。如果讓SERVER 把報文回給路由器,路由器再根據NATSESSION 就可以正確轉發給PC 了。
在內網接口配置一個NAT OUTBOUND 3000 就可以了。具體配置如下:
acl number 2000 //定義要上網的流量
rule permit source 192.168.1.0 0.0.0.255
rule deny
quit
acl number 3000 //定義您內網訪問服務器的流量
rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0
rule deny ip
quit
interface Ethernet1/0 //您的內網接口,按照實際情況配置接口號
ip address 192.168.1.1 255.255.255.0
nat outbound 3000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
interface Ethernet2/0 //您的公網接口
ip address 200.0.0.2 255.255.255.0
nat outbound 2000
nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp
quit
ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60
無