公网内网通过域名或公网IP访问ERP的项目解决方案

网通过域名或公网IP访问ERP的解决方案Nov 18,2014

关键字

公网IP、路由回流、 NAT、 DNS、 DNSMapping。

1 .需求分析

ERP系统安装部署完毕后经常会遇到这样的问题就是外网用户可以使用公网IP能正常访问ERP系统但是网用户却无法使用公网IP访问ERP系统这个问题会经常遇到解决的方法也有很多。那么为什么会出现这样的问题解决问题前首先介绍一下路由回流。

2.路由回流

当用路由器防火墙等设备将网服务器发布到公网上供Internet用户访问的过程中出现的一种现象就是你发现web服务器已经成功发布了 Internet用户也已经可以通过你路由器公网接口地址成功访问了而你却发现自己在网中与we b服务器同网段的主机上直接访问那个路由器公网地址是无法访问到we b服务器的页面容的这就是路由回流。

造成路由回流的原因主要是出口设备路由器或者是防火墙做了N AT/PAT也被称作源地址转换和端口映射也被称为目标地址转换造成的。

举例说明网PC的IP地址为 192.168.1 .10 网ERP服务器的IP地址为 192.168.1.100路由器外网接口IP地址为202.103.100.100 外网通过202.103.100.100就可以访问网的ERP服务器192.168.1 .100 

当然在出口设备上目标地址转换已经完成。

ERP服务器

当网PC通202.103.100.100访问网服务ERP服务器的时候源地址为 192.168.1 .10  目标地址为

202.103.100.100 网PC发现202.103.100.100和自己的IP地址192.168.1 .10不在一个网段会查找路由表将数据包发给路由器。当路由器接到请求后做目标地址转换此时源地址不变还是192.168.1 .10 但是目标地址变为192.168.1 .100。网WEB服务器会应答应答的源地址为自己的IP地址192.168.1 .100 目标地址为 192.168.1 .10 此时源地址和目标地址在同一个网段不需要查找路由表也就是说不需要经过路由器只需要在交换机上查找MAC地址表做转发就可以了。

问题就出现在上面网ERP服务器做出的应答网PC收到后发现应答的源地址是192.168.1 .100而不是202.103.100.100 网PC收到数据包后会把数据包丢弃然后网PC会一直等啊等等源地址为

202.103.100.100  目标地址为自己IP 192.168.1 .10的数据包但是一直到超时都等不到最终结果可想而知。

同样 192.168.1 .100等待192.168.1 .10的应答也同样等到超时也等不到应答。

HTTP协议是基于TCP的以上发生在TCP的三次握手阶段TCP三次握手无法完整的建立。

说明后面的配置都以此拓扑图为例。

3.解决方案

已经知道了路由回流是造成网用户无法使用公网IP访问ERP系统的原因那么怎么解决呢解决方法有多种下面分别介绍几种解决方案。

3.1部NAT解决方案

路由器上除了g0/0/1接口上配置端口映射 目标地址转换 外网用户通过访问202.103.100.100就可以访问 ERP服务器192.168.100 了 如果要网用户也可以通过202.103.100.100访问 ERP服务器

192.168.100 还需要在路由器的g0/0/0接口上配置端口映射 目标地址转换。这里以华为路由器为例其它厂商的路由器请自己查找相关资料配置。

[R1]acl number2000

[R1-acl-basic-2000]rule 0 permitsource 1921681 0000255

[R1-acl-basic-2000]rule 1 deny

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2]nat outbound 2000

[R1-GigabitEthernet0/0/2]nat server protocol tcp global 20210310010080 inside 1921681 10080

[R1-GigabitEthernet0/0/2]quit

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]nat outbound 2000

[R1-GigabitEthernet0/0/0]nat server protocol tcp global 20210310010080 inside 1921681 10080

红色字体部门就是部NAT配置。

3.2网DNS解决方案

按照我们一般的习惯访问一般采用域名这样方便记忆同样访问明源ERP系统的时候采用域名比采用IP要方便注册域名让公网IP同域名绑定外网用户就可以使用域名访问明源ERP系统了。那么网用户

如何才能使用域名正常的访问明源ERP系统呢

ERP服务器

网用户能否直接使用外网的域名访问明源的ERP系统能直接访问是不行的因为还是存在路由回流的问题所以需要在网配置一台DNS服务器网的所有客户端的DNS的IP都填写这台网的DNS服务器的IP地址那么问题来了网的用户要想访问外网像百度这样的该怎么办呢这个很容易解决只需要在网DNS服务器上配置转发器转发器中填写公网上的运营商DNS服务器的IP地址就可以解决问题了。网DNS服务器可以搭建在Windows Server 2003/2008上。

3.3防火墙DNS Mapping解决方案

DNS Mapping应用于网用户通过域名访问网服务器设置DNS Mapping后当网用户发送DNS请求的时候防火墙设备主动将域名解析成服务器的网IP地址返回给客户端客户端实际是直接访问服务器的网IP不需要经过NAT转换。

域名填写 erp.mysoft. .cn 公网IP地址填写 202.103.100.100 网IP地址填写 192.168.1 .100。

如果公司部没有DNS服务器如果有防火墙防火墙支持DNSMapping 也可以解决路由回流的问题。注意不是所有的防火墙都支持路由回流购买前请咨询防火墙厂商。

说明该截图为深信服防火墙的配置界面。

3.4路由器DNS Mapping解决方案

路由器的DNS Mapping和防火墙的类似只是将出口的防火墙换成路由器而已配置略有差异这里以华为路由器为例配置DNS Mapping 其中 ERP服务器的域名为 erp.mysoft. .cn 网 IP地址为

192.168.1 .100 80为ERP服务器的端口号 tcp是因为http协议是基于TCP的。

[R1]natdns-map erpmysoft cn 1921681 10080tcp

3.5其它解决方案

这种解决方案不是常规的解决方案但是在某些情况可以考虑。一般服务器有多块网卡此处是给服务器另外一块网卡配置公网的IP但是该服务器的这块网卡不能直接配置网关需要使用命令配置同时该网卡的网关在核心交换机上。这样使用公网的IP访问ERP服务器的时候不需要经过出口的防火墙或者路由器直接通过核心交换机实现不同VLAN之间的路由。

ERP服务器

ERP服务器上在命令行下输入route add 1921681 0 mask2552552550202103100101 –p

核心交换机上的配置

[switch]vlan 100

[switch-vlan100]quit

[switch]interface GigabitEthernet 0/0/1

[switch-GigabitEthernet0/0/1]port l ink-type access

[switch-port-group-defa]port default vlan 100

[switch-port-g rou p-defa]q u it

[switch]interface vlan 100

[switch-Vlanif100]ip address 202103100101 2552552550

[switch-Vlanif100]quit

4.小结

上述几种解决方案中网DNS解决方案最符合一般人的习惯安装配置也是最简单的但是需要一台DNS服务器如果访问量不大可以考虑将DNS服务器和其他的服务器合并如果是域环境首选网DNS解决方案因为域控制器需要有DNS支持。

部NAT解决方案在企业级的路由器或者防火墙上很容实现但是难度比网DNS方案略大。

防火墙DNSMapping和路由器DNSMapping需要防火墙和路由器支持目前大多数防火墙和路由器支持但是购买前请咨询厂商。

其它解决方案不是推荐的解决方案一般要求ERP服务器要能连接到三层交换机上才能实现。