6.4.2 配置DNS Mapping
内网用户可以通过NAT使用外网的DNS服务器访问外网的服务器,但如果内网用户通过外的的 DNS服务器访问内网服务器时就会失败。因为来自外网的DNS解析结果是内网服务器对外宣称的公网IP地址,并非内网服务器真实的私网IP地址。所以,如果没有内网的DNS服务顺,而且又有使用域名访问内网服务器的需求,这就要求企业内网用户必须使得外网的DNS服务器来实现 域名访问,这时就得配置DNS Mapping功能。
在配置静态地址转换时配置DNS Mapping,可以指明“域名-公网IP地址-公网端口-协议类型”映射表项。当DNS解析报文到达NAT设备时,NAT设备就会根据DNS Mapping建立的映射表项中的公网域名对应的公网IP地址查找静态地址表项,得到公网IP地址对就的私网 IP地址,再用该私网地址替换DNS的解析报文数据部分的内部服务器公网IP地址并转发给用户。但DNS报文必须与NAT ALG结合使用,不是则仍不能正常穿越NAT。具体的配置步骤如表6-7所示。
表6-7 DNSMapping的配置步骤
| 步骤 | 使命 | 说明 |
| 1 |
system-view 例如:<Huawei>system-view |
进入系统视图 |
| 2 |
nat dns map domain-name global-address global-port {tcp | udp} 例如:[Huawei]nat dns map www.test.com 20.1.1.1 2012 tcp |
配置域名到公网IP地址、端口号、协议类型的映射。命令中的参数和选项说明如下: domain-name:指定可被公网DNS服务器正确解析的合法域名,也就是内部服务器的域名 global-address:指定内部服务器提供给公网访问的公网IP地址 global-port:指定内部服务器提供给公网访问的服务端串口号,取值范围为1~65535的整数 tcp | udp:指定进行的网络应用所使用传输层通信协议类型 缺省情况下,系统未配置域名到公网IP地址、端口号、协议类型的映射,可用undo nat dns-map domain-name命令删除一条域名到公网IP地址、端口号、协议类型的映射。 |
| 3 |
nat alg dns enable 例如:[Huawei]nat alg dns enable |
(可选)便能DNS ALG功能,使DNS应答报文正常穿越NAT,否则内部主机无法使用域名访问内网服务器 如果已配置了NAT DNS ALG任务,则无需再重复配置本命令 缺省情况下,NAT DNA ALG 处于未使能状态,可用undo nat alg dns enable命令关闭NAT DNS ALG功能 |
server1ip :192.168.1.100/24
client2ip:192.168.1. 101/24
interface GigabitEthernet0/0/2 ip address 11.11.11.6 255.255.255.0 nat server protocol tcp global current-interface www inside 192.168.1.100 www nat outbound 3000 # acl number 3000 rule 5 permit ip source 192.168.1.0 0.0.0.255 <Huawei>display nat outbound NAT Outbound Information: -------------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type -------------------------------------------------------------------------- GigabitEthernet0/0/1 3000 11.11.11.6 easyip --------------------------------------------------------------------------<Huawei>display nat dns <Huawei>display nat dns-map NAT DNS mapping information: Domain-name : www.test.com Global IP : 11.11.11.6 Global port : 80 Protocol : tcp Total : 1 nat alg dns enable # nat dns-map www.test.com 11.11.11.6 80 tcp内网clietn2可以通过域名访问内网服务器
DNS服务器返回给client2的地址为192.168.1.100
原文链接:https://blog.csdn.net/tjjingpan/article/details/84387246
