内网通过域名或公网IP访问ERP的解决方案

内网通过域名或公网IP访问ERP的解决方案第1页共5页内网通过域名或公网IP访问ERP的解决方案Nov18,2023关键字公网IP、路由回流、NAT、DNS、DNSMapping。需求分析ERP系统安装部署完毕后，经常会遇到这样的问题，就是外网用户可以使用公网IP能正常访问ERP系统，但是内网用户却无法使用公网IP访问ERP系统，这个问题会经常遇到，解决的方法也有很多。那么为什么会出现这样的问题？解决问题前，首先介绍一下路由回流。路由回流当用路由器防火墙等设备将内网效劳器发布到公网上，供Internet用户访问的过程中出现的一种现象，就是你发现web效劳器已经成功发布了，Internet用户也已经可以通过你路由器公网接口地址成功访问了，而你却发现自己在内网中与web效劳器同网段的主机上直接访问那个路由器公网地址是无法访问到web效劳器的页面内容的，这就是路由回流。造成路由回流的原因主要是出口设备路由器或者是防火墙做了NAT/PAT〔也被称作源地址转换〕和端口映射〔也被称为目标地址转换〕造成的。举例说明，内网PC的IP地址为：0，内网ERP效劳器的IP地址为：00，路由器外网接口IP地址为：00，外网通过00就可以访问内网的ERP效劳器00，当然在出口设备上目标地址转换已经完成。 当内网PC通00访问内网效劳ERP效劳器的时候，源地址为：0，目标地址为：00，内网PC发现00和自己的IP地址0不在一个网段，会查找路由表，将数据包发给路由器。当路由器接到请求后，做目标地址转换，此时源地址不变，还是0，但是目标地址变为：00。内网WEB效劳器会应答，应答的源地址为自己的IP地址：00，目标地址为：0，此时源地址和目标地址在同一个网段，不需要查找路由表，也就是说不需要经过路由器，只需要在交换机上查找MAC地址表，做转发就可以了。问题就出现在上面，内网ERP效劳器做出的应答，内网PC收到后，发现应答的源地址是00而不是00，内网PC收到数据包后，会把数据包丢弃，然后内网PC会一直等啊等，等源地址为：00，目标地址为自己IP：0的数据包，但是一直到超时都等不到，最终结果可想而知。同样，00等待0的应答，也同样等到超时也等不到应答。HTTP协议是基于TCP的，以上发生在TCP的三次握手阶段，TCP三次握手无法完整的建立。说明：后面的配置都以此拓扑图为例。解决方案已经知道了路由回流是造成内网用户无法使用公网IP访问ERP系统的原因，那么怎么解决呢？解决方法有多种，下面分别介绍几种解决方案。内部NAT解决方案路由器上除了g0/0/1接口上配置端口映射〔目标地址转换〕，外网用户通过访问http://00就可以访问ERP效劳器192.168.100了，如果要内网用户也可以通过http://00访问ERP效劳器192.168.100，还需要在路由器的g0/0/0接口上配置端口映射〔目标地址转换〕。这里以华为路由器为例，其它厂商的路由器请自己查找相关资料配置。[R1]acl

number

2000

[R1-acl-basic-2000]rule

0

permit

source

55

[R1-acl-basic-2000]rule

1

deny

[R1-acl-basic-2000]quit

[R1]interface

GigabitEthernet

0/0/2[R1-GigabitEthernet0/0/2]natoutbound2000[R1-GigabitEthernet0/0/2]nat

server

protocol

tcp

global

00

80

inside

00

80[R1-GigabitEthernet0/0/2]quit[R1]interface

GigabitEthernet

0/0/0[R1-GigabitEthernet0/0/0]natoutbound2000[R1-GigabitEthernet0/0/0]nat

server

protocol

tcp

global

00

80

inside

00

80红色字体部门就是内部NAT配置。内网DNS解决方案按照我们一般的习惯，访问网站一般采用域名，这样方便记忆，同样访问明源ERP系统的时候采用域名比采用IP要方便，注册域名让公网IP同域名绑定，外网用户就可以使用域名访问明源ERP系统了。那么内网用户如何才能使用域名正常的访问明源ERP系统呢？内网用户能否直接使用外网的域名访问明源的ERP系统能，直接访问是不行的，因为还是存在路由回流的问题，所以需要在内网配置一台DNS效劳器，内网的所有客户端的DNS的IP都填写这台内网的DNS效劳器的IP地址，那么问题来了，内网的用户要想访问外网像百度这样的网站该怎么办呢，这个很容易解决，只需要在内网DNS效劳器上配置转发器，转发器中填写公网上的运营商DNS效劳器的IP地址就可以解决问题了。内网DNS效劳器可以搭建在WindowsServer2023/2023上。防火墙DNSMapping解决方案DNSMapping应用于内网用户通过域名访问内网效劳器，设置DNSMapping后，当内网用户发送DNS请求的时候，防火墙设备主动将域名解析成效劳器的内网IP地址，返回给客户端，客户端实际是直接访问效劳器的内网IP，不需要经过NAT转换。域名填写：，公网IP地址填写：00，内网IP地址填写：00。如果公司内部没有DNS效劳器，如果有防火墙，防火墙支持DNSMapping，也可以解决路由回流的问题。注意不是所有的防火墙都支持路由回流，购置前请咨询防火墙厂商。说明：该截图为深信服防火墙的配置界面。路由器DNSMapping解决方案路由器的DNSMapping和防火墙的类似，只是将出口的防火墙换成路由器而已，配置略有差异，这里以华为路由器为例，配置DNSMapping，其中ERP效劳器的域名为：，内网IP地址为：00，80为ERP效劳器的端口号，tcp是因为http协议是基于TCP的。[R1]nat

dns-map

00

80

tcp其它解决方案这种解决方案不是常规的解决方案，但是在某些情况可以考虑。一般效劳器有多块网卡，此处是给效劳器另外一块网卡配置公网的IP，但是该效劳器的这块网卡不能直接配置网关，需要使用命令配置，同时该网卡的网关在核心交换机上。这样使用公网的IP访问ERP效劳器的时候，不需要经过出口的防火墙或者路由器，直接通过核心交换机实现不同VLAN之间的路由。ERP效劳器上，在命令行下输入：routeaddmask01–p核心交换机上的配置：[switch]vlan

100

[switch-vlan100]quit

[switch]interface

GigabitEthernet

0/0/1

[switch-GigabitEthernet0/0/1]port

link-type

access

[switch-port-group-defa]port

default

vlan

100

[switch-port-group-defa]quit

[switch]interface

vlan

100

[switch-Vlanif100]ip

address

01

[switch-Vlanif100]quit小结上述几种解决方案中，内网DNS解决方案最符合一般人的习惯，安装配置也是最简单的，但是需要一台DNS效劳器，如果访问量不大，可以考虑将DNS效劳器和其他的效劳器合并，如果是域环境，首选内网DNS解决方案，因