《内网通过域名或公网IP访问ERP的项目解决方案.docx》由会员分享,可在线阅读,更多相关《内网通过域名或公网IP访问ERP的项目解决方案.docx(5页珍藏版)》请在三一办公上搜索。
1、网通过域名或公网IP访问ERP的解决方案Nov 18,2014关键字公网 IP、路由回流、NAT、DNS、DNS Mappingo1. 需求分析ERP系统安装部署完毕后,经常会遇到这样的问题,就是外网用户可以使用公网IP能正常访问ERP系 统,但是网用户却无法使用公网IP访问ERP系统,这个问题会经常遇到,解决的方法也有很多。那么为什 么会出现这样的问题?解决问题前,首先介绍一下路由回流。2. 路由回流当用路由器防火墙等设备将网服务器发布到公网上,供Internet用户访问的过程中出现的一种现象,就 是你发现web服务器已经成功发布7,Internet用户也已经可以通过你路由器公网接口地址成功
2、访问了,而 你却发现自己在网中与web服务器同网段的主机上直接访问那个路由器公网地址是无法访问到web服务器 的页面容的,这就是路由回流。造成路由回流的原因主要是出口设备路由器或者是防火墙做了 NAT/PAT (也被称作源地址转换)和端 口映射(也被称为目标地址转换)造成的。举例说明,网PC的IP地址为:192.168.1.10,网ERP服务器的IP地址为:192.168.1.100,路由 器外网接口 IP地址为:202.103.100.100,外网通过202.103.100.100就可以访问网的ERP服务器 192.168.1.100,当然在出口设备上目标地址转换已经完成。运营商DNS服务器
3、客户端ERP服务器当网PC通202.103.100.100访问网服务ERP服务器的时候,源地址为:192.168.1.10,目标地址 为:202.103.100.100,网 PC 发现 202.103.100.100和自己的 IP 地址 192.168.1.10 不在一个网段, 会查找路由表,将数据包发给路由器。当路由器接到请求后,做目标地址转换,此时源地址不变,还是 192.168.1.10,但是目标地址变为:192.168.1.100。网WEB服务器会应答,应答的源地址为自己的IP 地址:192.168.1.100,目标地址为:192.168.1.10,此时源地址和目标地址在同一个网段,不
4、需要查找 路由表,也就是说不需要经过路由器,只需要在交换机上查找MAC地址表,做转发就可以了。问题就出现在上面,网ERP服务器做出的应答,网PC收到后,发现应答的源地址是192.168.1.100 而不是202.103.100.100,网PC收到数据包后,会把数据包丢弃,然后网PC会一直等啊等,等源地址为: 202.103.100.100,目标地址为自己IP:192.168.1.10的数据包,但是一直到超时都等不到,最终结果可 想而知。同样,192.168.1.100等待192.168.1.10的应答,也同样等到超时也等不到应答。HTTP协议是基于TCP的,以上发生在TCP的三次握手阶段,TC
5、P三次握手无法完整的建立。说明:后面的配置都以此拓扑图为例。3. 解决方案已经知道了路由回流是造成网用户无法使用公网IP访问ERP系统的原因,那么怎么解决呢?解决方法 有多种,下面分别介绍几种解决方案。3.1 部NAT解决方案路由器上除了 g0/0/1接口上配置端口映射(目标地址转换),外网用户通过访问202.103.100.100 就可以访问ERP服务器192.168.100 了,如果要网用户也可以通过202.103.100.100访问ERP服务器 192.168.100,还需要在路由器的g0/0/0接口上配置端口映射(目标地址转换)。这里以华为路由器为例, 其它厂商的路由器请自己查找相关资
6、料配置。R1acl number 2000R1-acl-basic-2000rule 0 permit source 192.168.1.0 0.0.0.255R1-acl-basic-2000rule 1 denyR1-acl-basic-2000quitR1interface GigabitEthernet 0/0/2R1-GigabitEthernet0/0/2nat outbound 2000R1-GigabitEthernet0/0/2nat server protocol tcp global 202.103.100.100 80 inside 192.168.1.100 80 R
7、1-GigabitEthernet0/0/2quitR1interface GigabitEthernet 0/0/0R1-GigabitEthernet0/0/0nat outbound 2000R1-GigabitEthernet0/0/0nat server protocol tcp global 202.103.100.100 80 inside 192.168.1.100 80红色字体部门就是部NAT配置。3.2 网DNS解决方案按照我们一般的习惯,访问一般采用域名,这样方便记忆,同样访问明源ERP系统的时候采用域名比采 用IP要方便,注册域名让公网IP同域名绑定,外网用户就可以使用
8、域名访问明源ERP系统了。那么网用户 如何才能使用域名正常的访问明源ERP系统呢?客户端ERP服务器网用户能否直接使用外网的域名访问明源的ERP系统能,直接访问是不行的,因为还是存在路由回流的 问题,所以需要在网配置一台DNS服务器,网的所有客户端的DNS的IP都填写这台网的DNS服务器的 IP地址,那么问题来了,网的用户要想访问外网像百度这样的该怎么办呢,这个很容易解决,只需要在网 DNS服务器上配置转发器,转发器中填写公网上的运营商DNS服务器的IP地址就可以解决问题了。网DNS 服务器可以搭建在Windows Server 2003/2008上。3.3 防火墙DNS Mapping解决方
9、案DNS Mapping应用于网用户通过域名访问网服务器,设置DNS Mapping后,当网用户发送DNS请 求的时候,防火墙设备主动将域名解析成服务器的网IP地址,返回给客户端,客户端实际是直接访问服务器 的网IP,不需要经过NAT转换。域名填写:,公网 IP地址填写:202.103.100.100,网 IP地址填写:192.168.1.100。如果公司部没有DNS服务器,如果有防火墙,防火墙支持DNS Mapping,也可以解决路由回流的问 题。注意不是所有的防火墙都支持路由回流,购买前请咨询防火墙厂商。说明:该截图为深信服防火墙的配置界面。3.4 路由器DNS Mapping解决方案路由
10、器的DNS Mapping和防火墙的类似,只是将出口的防火墙换成路由器而已,配置略有差异,这里 以华为路由器为例,配置DNS Mapping,其中ERP服务器的域名为:,网IP地址为: 192.168.1.100,80为ERP服务器的端口号,tcp是因为http协议是基于TCP的。R1 nat dns-map 192.168.1.100 80 tcp3.5 其它解决方案这种解决方案不是常规的解决方案,但是在某些情况可以考虑。一般服务器有多块网卡,此处是给服务 器另外一块网卡配置公网的ip,但是该服务器的这块网卡不能直接配置网关,需要使用命令配置,同时该网 卡的网关在核心交换机上。这样使用公网的
11、IP访问ERP服务器的时候,不需要经过出口的防火墙或者路由 器,直接通过核心交换机实现不同VLAN之间的路由。客户端ERP服务器ERP服务器上,在命令行下输入:route add 192.168.1.0 mask 255.255.255.0 202.103.100.101 -p核心交换机上的配置:switchvlan 100switch-vlan100quitswitchinterface GigabitEthernet 0/0/1switch-GigabitEthernet0/0/1port link-type accessswitch-port-group-defaport default
12、 vlan 100switch-port-group-defaquitswitchinterface vlan 100switch-Vlanif100ip address 202.103.100.101 255.255.255.0switch-Vlanif100quit4. 小结上述几种解决方案中,网DNS解决方案最符合一般人的习惯,安装配置也是最简单的,但是需要一台 DNS服务器,如果访问量不大,可以考虑将DNS服务器和其他的服务器合并,如果是域环境,首选网DNS 解决方案,因为域控制器需要有DNS支持。部NAT解决方案在企业级的路由器或者防火墙上很容实现,但是难度比网DNS方案略大。防火墙DNS Mapping和路由器DNS Mapping需要防火墙和路由器支持,目前大多数防火墙和路由器 支持,但是购买前请咨询厂商。其它解决方案不是推荐的解决方案,一般要求ERP服务器要能连接到三层交换机上才能实现。
