内网内网通过域名或公网IP访问ERP的解决方案

内网经过域名或公网IP访问ERP的解决方案Nov18,

关键字

公网IP、 路由回流、 NAT、 DNS、 DNSMapping。

1.需求分析

ERP系统安装部署完毕后,经常会遇到这样的问题,就是外网用户能够使用公网IP能正常访问ERP系统,可是内网用户却无法使用公网IP访问ERP系统,这个问题会经常遇到,解决的方法也有很多。那么为什么会出现这样的问题?解决问题前,首先介绍一下路由回流。

2.路由回流

当用路由器防火墙等设备将内网服务器发布到公网上,供Internet用户访问的过程中出现的一种现象,就是你发现web服务器已经成功发布了, Internet用户也已经能够经过你路由器公网接口地址成功访问了,而你却发现自己在内网中与web服务器同网段的主机上直接访问那个路由器公网地址是无法访问到web服务器的页面内容的,这就是路由回流。

造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT(也被称作源地址转换)和端口映射(也被称为目标地址转换)造成的。

举例说明, 内网PC的IP地址为: 192. 168. 1. 10, 内网ERP服务器的IP地址为: 192. 168. 1. 100,路由器外网接口IP地址为: 202. 103. 100. 100,外网经过, 当然在出口设备上目标地址转换已经完成。

ERP服务器

当内网 PC通, 源地址为: 192. 168. 1. 10, 目标地址为: 202. 103. 100. 100, 内网 PC发现

202. 103. 100. 100和自己的IP地址192. 168. 1. 10不在一个网段,会查找路由表,将数据包发给路由器。当路由器接到请求后, 做目标地址转换, 此时源地址不变, 还是192. 168. 1. 10, 可是目标地址变为:

192. 168. 1. 100。 内网WEB服务器会应答,应答的源地址为自己的IP地址: 192. 168. 1. 100, 目标地址为:

192. 168. 1. 10,此时源地址和目标地址在同一个网段,不需要查找路由表,也就是说不需要经过路由器, 只需要在交换机上查找MAC地址表,做转发就能够了。

问题就出现在上面, 内网ERP服务器做出的应答, 内网PC收到后,发现应答的源地址是192. 168. 1. 100而不是202. 103. 100. 100, 内网PC收到数据包后,会把数据包丢弃,然后内网PC会一直等啊等, 等源地址为: 202. 103. 100. 100, 目标地址为自己IP: 192. 168. 1. 10的数据包,可是一直到超时都等不到,最终结果可想而知。

同样, 192. 168. 1. 100等待192. 168. 1. 10的应答,也同样等到超时也等不到应答。

HTTP协议是基于TCP的, 以上发生在TCP的三次握手阶段, TCP三次握手无法完整的建立。

说明:后面的配置都以此拓扑图为例。

3.解决方案

已经知道了路由回流是造成内网用户无法使用公网IP访问ERP系统的原因,那么怎么解决呢?解决方法有多种,下面分别介绍几种解决方案。

3.1内部NAT解决方案

路由器上除了 g0/0/1接口上配置端口映射( 目标地址转换) , 外网用户经过访问 http://

202. 103. 100. 100就能够访问 ERP服务器192. 168. 100 了, 如果要内网用户也能够经过http://

202. 103. 100. 100访问ERP服务器192. 168. 100,还需要在路由器的g0/0/0接口上配置端口映射( 目标地址转换) 。这里以华为路由器为例,其它厂商的路由器请自己查找相关资料配置。

[R1]acl number

[R1-acl-basic- ]rule 0 permit source 192. 168. 1.0 0.0.0.255

[R1-acl-basic- ]rule 1 deny

[R1-acl-basic- ]quit

[R1] interface GigabitEthernet 0/0/2

[R1-GigabitEthernet0/0/2]nat outbound

[R1-GigabitEthernet0/0/2]nat server protocol tcp global 202. 103. 100. 100 80 inside 192. 168. 1. 100 80[R1-GigabitEthernet0/0/2]quit

[R1] interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]nat outbound

[R1-GigabitEthernet0/0/0]nat server protocol tcp global 202. 103. 100. 100 80 inside 192. 168. 1. 100 80

红色字体部门就是内部NAT配置。

3.2内网DNS解决方案

按照我们一般的习惯,访问网站一般采用域名,这样方便记忆, 同样访问明源ERP系统的时候采用域名比采用IP要方便,注册域名让公网IP同域名绑定,外网用户就能够使用域名访问明源ERP系统了。那么内网用户如何才能使用域名正常的访问明源ERP系统呢?

ERP服务器

内网用户能否直接使用外网的域名访问明源的ERP系统能,直接访问是不行的, 因为还是存在路由回流的问题, 因此需要在内网配置一台DNS服务器, 内网的所有客户端的DNS的IP都填写这台内网的DNS服务器的IP地址,那么问题来了, 内网的用户要想访问外网像百度这样的网站该怎么办呢,这个很容易解决, 只需要在内网DNS服务器上配置转发器,转发器中填写公网上的运营商DNS服务器的IP地址就能够解决问题了。内网DNS服务器能够搭建在Windows Server /上。

3.3防火墙DNS Mapping解决方案

DNS Mapping应用于内网用户经过域名访问内网服务器,设置DNS Mapping后, 当内网用户发送DNS请求的时候, 防火墙设备主动将域名解析成服务器的内网IP地址,返回给客户端,客户端实际是直接访问服务器的内网I P,不需要经过NAT转换。

域名填写: erp.mysoft.com.cn, 公网 IP地址填写: 202. 103. 100. 100, 内网 IP地址填写:

192. 168. 1. 100。

如果公司内部没有DNS服务器,如果有防火墙, 防火墙支持DNS Mapping,也能够解决路由回流的问题。注意不是所有的防火墙都支持路由回流,购买前请咨询防火墙厂商。

说明:该截图为深信服防火墙的配置界面。

3.4路由器DNS Mapping解决方案

路由器的DNS Mapping和防火墙的类似, 只是将出口的防火墙换成路由器而已,配置略有差异,这里以华为路由器为例,配置DNS Mapping, 其中ERP服务器的域名为: erp.mysoft.com.cn, 内网IP地址为:

192. 168. 1. 100, 80为ERP服务器的端口号, tcp是因为http协议是基于TCP的。

[R1] nat dns-map erp.mysoft.com.cn 192. 168. 1. 100 80 tcp

3.5其它解决方案

这种解决方案不是常规的解决方案,可是在某些情况能够考虑。一般服务器有多块网卡,此处是给服务器另外一块网卡配置公网的IP, 可是该服务器的这块网卡不能直接配置网关, 需要使用命令配置, 同时该网卡的网关在核心交换机上。这样使用公网的IP访问ERP服务器的时候,不需要经过出口的防火墙或者路由器,直接经过核心交换机实现不同VLAN之间的路由。

ERP服务器

ERP服务器上,在命令行下输入:route add 192. 168. 1.0 mask 255.255.255.0 202. 103. 100. 101 –p

核心交换机上的配置:

[switch]vlan 100

[switch-vlan100]quit

[switch] interface GigabitEthernet 0/0/1

[switch-GigabitEthernet0/0/1]port link-type access

[switch-port-group-defa]port default vlan 100

[switch-port-group-defa]quit

[switch] interface vlan 100

[switch-Vlanif100] ip address 202. 103. 100. 101 255.255.255.0

[switch-Vlanif100]quit

4.小结

上述几种解决方案中, 内网DNS解决方案最符合一般人的习惯,安装配置也是最简单的,可是需要一台DNS服务器,如果访问量不大, 能够考虑将DNS服务器和其它的服务器合并,如果是域环境,首选内网DNS解决方案, 因为域控制器需要有DNS支持。

内部NAT解决方案在企业级的路由器或者防火墙上很容实现,可是难度比内网DNS方案略大。

防火墙DNS Mapping和路由器DNS Mapping需要防火墙和路由器支持, 当前大多数防火墙和路由器支持,可是购买前请咨询厂商。

其它解决方案不是推荐的解决方案,一般要求ERP服务器要能连接到三层交换机上才能实现。