一、问题场景

很高兴，与大家再次见面，用分享的方式与各位小伙伴互动、学习、成长，在此，感谢小伙伴们的支持，话不多说，进入今天的技术分享。

不知道，小伙伴们有没有遇到这样的业务访问场景：园区内网部署服务器业务，例如web业务，内外网用户都可通过域名访问此业务。

但问题来了，如何实现这种需求的？

问题拆解，先解决外网用户域名访问内网web业务需求。要解决这个问题，首先，域名需到对应的运营商进行备案，开通web服务80端口；其次，域名注册；最后，内网出口网关配置端口映射（即：目的地址转换）。

那么，内网用户如何才能域名访问内网web业务呢，下面让我们一起探讨学习。

二、解决之道-内网用户域名访问内网服务业务-内网DNS

内网用户域名访问内网服务业务，最简单的实现方式莫过于在园区内网搭建DNS服务。

即：内网DNS服务器配置web域名至内网服务器IP的A记录，解决内网用户解析域名访问内网web服务；内网DNS服务器配置转发器，解决内网用户解析域名访问外网资源。

这种解决方案，各位小伙伴应该都知道，那么为何还要浪费这么口舌来分享这篇文章呢？

三、解决之道-内网用户域名访问内网服务业务-无内网DNS

本期文章分享的核心是：无内网DNS服务的场景下， 如何解决内网用户域名访问内网服务业务？

1、DNS Mapping技术

2、DNS 代理技术

3、双向地址转换技术

以上三种技术都可实现无内网DNS服务的场景下， 解决内网用户域名访问内网服务业务需求。

四、DNS Mapping技术

DNS Mapping技术原理图

第1步：内网PC访问域名www.abc.com,首先内网PC经内网出口网关向域名服务商DNS服务器发送DNS请求解析报文。

第2步：域名服务商DNS服务器返回DNS应答报文给内网出口网关。

第3步：内网出口网关查询DNS Mapping映射表，拦截并修改域名服务商DNS服务器返回DNS应答报文 ，然后返回给内网PC。

第4步：内网PC根据内网出口网关返回的DNS报文中内网web服务器IP，通过内网路由方式，最终访问内网web服务器。

DNS Mapping技术核心是内网出口网关通过拦截修改域名服务商DNS服务器返回DNS报文中的IP地址。而DNS代理技术原理与DNS Mapping技术类似，只是不同厂商启用的名字不一样而已。

五、双向地址转换技术

双向地址转换技术原理图

第1步：内网PC访问域名www.abc.com,首先内网PC经内网出口网关向域名服务商DNS服务器发送DNS请求解析报文。

第2步：域名服务商DNS服务器返回DNS应答报文给内网出口网关，然后由内网出口网关转发给内网PC。

第3步：内网PC根据域名解析返回的地址，访问目标IP202.102.1.10，访问数据报文经内网出口网关双向地址转换最终返回给内网PC。

内网PC通过出口设备的双向地址转换，可实现域名访问内网web服务器，并且访问内网web服务器的流量都需经内网出口网关进行转发，而对于web服务器来说，访问web服务器的源地址是内网出口网关内网接口地址。

六、双向地址转换模拟实现

利用HCL模拟软件，模拟实现双向地址转换技术。

双向地址转换模拟网络架构

1、内网出口网关外网IP：202.102.1.1/24，运营商互联IP：202.102.1.254/24；

2、内网核心（10.10.100.2/30）与内网出口网关（10.10.100.1/30）互联地址段：10.10.100.0/30；

3、内网核心配置内网PC地址段：192.168.10.0/24，网关：192.168.10.254；配置内网web服务器地址段：172.16.2.0/24，网关：172.16.2.254；

4、内网PC通过交换机模拟，IP地址设置192.168.10.1/24；内网web服务器页通过交换机模拟，IP地址设置172.16.2.1/24，并且开启SSH服务器来模拟web服务。

5、内网出口网关配置针对内网web服务器的SSH服务双向地址转换。

6、实际测试，内网PC通过SSH 202.102.1.10来访问内网web服务器；

内网PC成功SSH登陆内网web服务器

查看内网出口网关nat 会话；

查看内网出口网关nat 会话 查看内网出口网关nat 会话

查看内网web服务器登陆日志，登陆内网web服务器的源地址是内网出口网关的内网接口IP地址。

查看内网web服务器登陆日志

7、设备关键配置

（1）、内网出口网关

#定义NAT地址池

nat address-group 1

address 202.102.1.2 202.102.1.9

#内网出口网关外网接口配置

interface GigabitEthernet0/0

port link-mode route

ip address 202.102.1.1 255.255.255.0

nat outbound 3000 address-group 1

nat server protocol tcp global 202.102.1.10 22 inside 172.16.2.1 22

#内网出口网关内网接口配置

interface GigabitEthernet0/1

port link-mode route

ip address 10.10.100.1 255.255.255.252

nat outbound 3001

nat server protocol tcp global 202.102.1.10 22 inside 172.16.2.1 22

#配置静态路由

ip route-static 0.0.0.0 0 202.102.1.254

ip route-static 172.16.2.0 24 10.10.100.2

ip route-static 192.168.10.0 24 10.10.100.2

#配置ACL 3000

acl advanced 3000

rule 0 permit ip source 172.16.2.0 0.0.0.255

rule 5 permit ip source 192.168.10.0 0.0.0.255

#配置ACL 3001

acl advanced 3001

rule 0 permit ip source 192.168.10.0 0.0.0.255

（2）、内网核心

#配置内网web服务器的vlan

vlan 2

#配置内网PC的vlan

vlan 10

#配置互联内网出口网关的vlan

vlan 100

#配置三层接口地址

interface Vlan-interface2

ip address 172.16.2.254 255.255.255.0

#

interface Vlan-interface10

ip address 192.168.10.254 255.255.255.0

#

interface Vlan-interface100

ip address 10.10.100.2 255.255.255.252

#接口配置

interface GigabitEthernet1/0/1

port link-mode bridge

port access vlan 100

#

interface GigabitEthernet1/0/2

port link-mode bridge

port access vlan 10

#

interface GigabitEthernet1/0/3

port link-mode bridge

port access vlan 2

#静态路由配置

ip route-static 0.0.0.0 0 10.10.100.1

六、总结

1、DNS Mapping技术及DNS代理技术是通过拦截修改域名服务商DNS服务器返回DNS报文中的IP地址，来实现内网PC域名访问内网web服务器，访问流量无需经过内网出口网关，并且对于内网web服务器来讲可真实记录访问的内网源地址。

2、双向地址转换技术是通过转换访问源地址和目标地址，来实现内网PC域名访问内网web服务器，访问流量需经内网出口网关，并且对于内网web服务器来讲不能真实记录访问的内网源地址。