H3C路由器内网用户通过域名访问内网服务器方法

H3C路由器内网用户通过域名访问内网服务器方法最近遇见的一个问题，客户内部网络中没有部署DNS服务器，而用户访问内网服务器时，需要通过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。最后查了手册，产品手册中讲解了一种方法，就是用DNS-MAP可以实现，下面把工程师发给我的这个文档分享一下，其中又讲解了另一种方法，最后我用了里面讲的“NAT

和NATServer

下发在内网网关接口”的这种方法给客户解决了问题，感谢提供这个文档的工程师，在此分享一下，希望对大家有所帮助。一、

组网需求：组网如图所示，内网中存在两台服务器分别对外提供www及ftp服务，网关路由器公网接口上已下发natserver

配置。DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址上，公网用户可以通过域名访问服务器。要求：内网用户可以使用域名访问内网的两台服务器。涉及产品：H3C

SR6600路由器二、

组网图：方案一：DNS-mapping

方案：在SR6600路由器上配置DNSmap功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。当内网用户发出的DNS解析请求得到的DNSServer响应到达配置了NATserver

的公网出接口时，接口上查找到DNSmap表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。方案二：利用NAT

和NATServer

下发在内网网关接口上，使内网主机通过公网地址去访问服务器。在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址()去访问内网服务器。通过将NAT和NATServer

配置下发在内网网关接口上可以满足该应用(原先下发在公网接口上的natserver

配置是为了满足公网用户访问的，该部分配置不变)。三、

配置步骤：方案一配置system-view[H3C]sysnameGateway[Gateway]interfaceg0/1[Gateway-GigabitEthernet0/1]ipaddress24[Gateway-GigabitEthernet0/1]natserverprotocoltcpglobalwwwinsidewww[Gateway-GigabitEthernet0/1]natserverprotocoltcpglobalftpinsideftp[Gateway-GigabitEthernet0/1]quit[Gateway]interfaceg0/0[Gateway-GigabitEthernet0/0]ipaddress024[Gateway-GigabitEthernet0/0]quit//

注意dns-map

配置中对应的地址是公网地址而不是服务器的内网地址[Gateway]natdns-mapdomainprotocoltcpipportwww[Gateway]natdns-mapdomainprotocoltcpipportftp方案二配置system-view[H3C]sysnameGateway[Gateway]aclnumber3000//编写acl

匹配来自内网网段目的地址为两台server的数据流[Gateway-acl-adv-3000]rulepermitipsource

55destination0[Gateway-acl-adv-3000]rulepermitipsource

55destination0[Gateway]interfaceg0/0[Gateway-GigabitEthernet0/0]ipaddress024//将nat及natserver

配置下发在内网网关口上[Gateway-GigabitEthernet0/0]natserverprotocoltcpglobalwwwinsidewww[Gateway-GigabitEthernet0/0]natserverprotocoltcpglobalftpinsideftp[Gateway-GigabitEthernet0/0]natoutbound3000[Gateway-GigabitEthernet0/0]quit//其它基础配置略四、

配置关键点：1.注意dns-map的配置中的ip地址应该配置公网出接口地址。Natserver

的相关配置应该下发在公网出接口上。2.在方案二中，natserver

及

natoutbound的配置应当配置在内网网关接口上。并且注意acl

规则中的目的地址应匹