内网内网通过域名或公网IP访问ERP的解决专题方案

内网经过域名或公网IP访问ERP处理方案Nov 18,20XX

关键字

公网IP、路由回流、 NAT、 DNS、 DNSMapping。

1.需求分析

ERP系统安装布署完成后常常会碰到这么问题就是外网用户能够使用公网IP能正常访问ERP系统不过内网用户却无法使用公网IP访问ERP系统这个问题会常常碰到处理方法也有很多。那么为何会出现这么问题处理问题前首先介绍一下路由回流。

2.路由回流

当用路由器防火墙等设备将内网服务器公布到公网上供Internet用户访问过程中出现一个现象就是你发觉web服务器已经成功公布了 Internet用户也已经能够经过你路由器公网接口地址成功访问了而你却发觉自己在内网中和web服务器同网段主机上直接访问那个路由器公网地址是无法访问到web服务器页面内容这就是路由回流。

造成路由回流原因关键是出口设备路由器或是防火墙做了NAT/PAT 也被称作源地址转换和端口映射也被称为目标地址转换造成。

举例说明 内网PCIP地址为 192. 168. 1. 10 内网ERP服务器IP地址为 192. 168. 1. 100路由器外网接口IP地址为 202. 103. 100. 100外网经过 当然在出口设备上目标地址转换已经完成。

ERP服务器

当内网PC通源地址为 192. 168. 1. 10 目标地址为 202. 103. 100. 100内网PC发觉202. 103. 100. 100和自己IP地址192. 168. 1. 10不在一个网段会查找路由表将数据包发给路由器。当路由器接到请求后做目标地址转换此时源地址不变还是192. 168. 1. 10不过目标地址变为 192. 168. 1. 100。 内网WEB服务器会应答应答源地址为自己IP地址 192. 168. 1. 100 目标地址为 192. 168. 1. 10此时源地址和目标地址在同一个网段不需要查找路由表也就是说不需要经过路由器只需要在交换机上查找MAC地址表做转发就能够了。

问题就出现在上面 内网ERP服务器做出应答 内网PC收到后发觉应答源地址是192. 168. 1. 100而不是202. 103. 100. 100 内网PC收到数据包后会把数据包丢弃然后内网PC会一直等啊等等源地址为

202. 103. 100. 100 目标地址为自己IP 192. 168. 1. 10数据包不过一直到超时全部等不到最终止果可想而知。

一样 192. 168. 1. 100等候192. 168. 1. 10应答也一样等到超时也等不到应答。

HTTP协议是基于TCP 以上发生在TCP三次握手阶段 TCP三次握手无法完整建立。

说明后面配置全部以此拓扑图为例。

3.处理方案

已经知道了路由回流是造成内网用户无法使用公网IP访问ERP系统原因那么怎么处理呢处理方法有多个下面分别介绍多个处理方案。

3.1内部NAT处理方案

路由器上除了 g0/0/1接口上配置端口映射 目标地址转换  外网用户经过访问 http://

202. 103. 100. 100就能够访问 ERP服务器192. 168. 100 了假如要内网用户也能够经过http://

202. 103. 100. 100访问ERP服务器192. 168. 100还需要在路由器g0/0/0接口上配置端口映射目标地址转换。这里以华为路由器为例其它厂商路由器请自己查找相关资料配置。

[R1]acl number 20XX

[R1-acl-basic-20XX]rule 0 permit source 192. 168. 1.0 0.0.0.255

[R1-acl-basic-20XX]rule 1 deny

[R1-acl-basic-20XX]quit

[R1] interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2]nat outbound 20XX

[R1-GigabitEthernet0/0/2]nat server protocol tcp global 202. 103. 100. 100 80 inside 192. 168. 1. 100 80[R1-GigabitEthernet0/0/2]quit

[R1] interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 20XX

[R1-GigabitEthernet0/0/0]nat server protocol tcp global 202. 103. 100. 100 80 inside 192. 168. 1. 100 80

红色字体部门就是内部NAT配置。

3.2内网DNS处理方案

根据我们通常习惯访问网站通常采取域名这么方便记忆一样访问明源ERP系统时候采取域名比采取IP要方便注册域名让公网IP同域名绑定外网用户就能够使用域名访问明源ERP系统了。那么内网用户怎样才能使用域名正常访问明源ERP系统呢

ERP服务器

内网用户能否直接使用外网域名访问明源ERP系统能直接访问是不行 因为还是存在路由回流问题所以需要在内网配置一台DNS服务器内网全部用户端DNSIP全部填写这台内网DNS服务器IP地址那么问题来了 内网用户要想访问外网像百度这么网站该怎么办呢这个很轻易处理只需要在内网DNS服务器上配置转发器转发器中填写公网上运行商DNS服务器IP地址就能够处理问题了。内网DNS服务器能够搭建在Windows Server 20XX/20XX上。

3.3防火墙DNS Mapping处理方案

DNS Mapping应用于内网用户经过域名访问内网服务器设置DNS Mapping后 当内网用户发送DNS请求时候防火墙设备主动将域名解析成服务器内网IP地址返回给用户端用户端实际是直接访问服务器内网I P不需要经过NAT转换。

域名填写erp.mysoft.com.cn公网IP地址填写202. 103. 100. 100内网IP地址填写 192. 168. 1. 100。

假如企业内部没有DNS服务器假如有防火墙防火墙支持DNS Mapping也能够处理路由回流问题。注意不是全部防火墙全部支持路由回流购置前请咨询防火墙厂商。

说明该截图为深信服防火墙配置界面。

3.4路由器DNS Mapping处理方案

路由器DNS Mapping和防火墙类似只是将出口防火墙换成路由器而已配置略有差异这里以华为路由器为例配置DNS Mapping其中ERP服务器域名为 erp.mysoft.com.cn内网IP地址为 192. 168. 1. 10080为ERP服务器端口号 tcp是因为http协议是基于TCP。

[R1] nat dns-map erp.mysoft.com.cn 192. 168. 1. 100 80 tcp

3.5其它处理方案

这种处理方案不是常规处理方案不过在一些情况能够考虑。通常服务器有多块网卡此处是给服务器另外一块网卡配置公网IP不过该服务器这块网卡不能直接配置网关需要使用命令配置 同时该网卡网关在关键交换机上。这么使用公网IP访问ERP服务器时候不需要经过出口防火墙或路由器直接经过关键交换机实现不一样VLAN之间路由。

ERP服务器

ERP服务器上在命令行下输入route add 192. 168. 1.0 mask 255.255.255.0 202. 103. 100. 101 –p

关键交换机上配置

[switch]vlan 100

[switch-vlan100]quit

[switch] interface GigabitEthernet 0/0/1

[switch-GigabitEthernet0/0/1]port link-type access

[switch-port-group-defa]port default vlan 100

[switch-port-group-defa]quit

[switch] interface vlan 100

[switch-Vlanif100] ip address 202. 103. 100. 101 255.255.255.0

[switch-Vlanif100]quit

4.小结

上述多个处理方案中 内网DNS处理方案最符合通常人习惯安装配置也是最简单不过需要一台DNS服务器假如访问量不大能够考虑将DNS服务器和其它服务器合并假如是域环境首选内网DNS处理方案 因为域控制器需要有DNS支持。

内部NAT处理方案在企业级路由器或防火墙上很容实现不过难度比内网DNS方案略大。

防火墙DNS Mapping和路由器DNS Mapping需要防火墙和路由器支持现在大多数防火墙和路由器支持不过购置前请咨询厂商。

其它处理方案不是推荐处理方案通常要求ERP服务器要能连接到三层交换机上才能实现。