内网通过域名或公网ip访问erp的解决方案.pdfVIP

内网通过域名或公网 IP 访问 ERP 的解决方案 Nov 18, 2014 关键字 公网 IP、路由回流、NAT、DNS、DNS Mapping。 1. 需求分析 ERP 系统安装部署完毕后，经常会遇到这样的问题，就是外网用户可以使用公网 IP 能正常访问 ERP 系统， 但是内网用户却无法使用公网 IP 访问 ERP 系统，这个问题会经常遇到，解决的方法也有很多。那么为什么会 出现这样的问题？解决问题前，首先介绍一下路由回流。 2. 路由回流 当用路由器防火墙等设备将内网服务器发布到公网上，供 Internet 用户访问的过程中出现的一种现象， 就是你发现 web 服务器已经成功发布了，Internet 用户也已经可以通过你路由器公网接口地址成功访问了， 而你却发现自己在内网中与 web 服务器同网段的主机上直接访问那个路由器公网地址是无法访问到 web 服务 器的页面内容的，这就是路由回流。 造成路由回流的原因主要是出口设备路由器或者是防火墙做了 NAT/PAT （也被称作源地址转换）和端口 映射（也被称为目标地址转换）造成的。 举例说明，内网 PC 的 IP 地址为：0，内网ERP 服务器的 IP 地址为：00，路由 器外网接口 IP 地址为：00，外网通过00 就可以访问内网的 ERP 服务器 00，当然在出口设备上目标地址转换已经完成。 第 1 页 共 5 页 核心交换机 VPN 路由器 G0/0/0 G0/0/1 Internet 防火墙 分部用户 00 以太网 运营商DNS服务器 0 00 客户端 ERP 服务器 当内网 PC 通 00 访问内网服务 ERP 服务器的时候，源地址为：0，目 标地址为：00，内网PC 发现 00 和自己的 IP 地址 0 不在一个网段， 会查找路由表，将数据包发给路由器。当路由器接到请求后，做目标地址转换，此时源地址不变，还是 0，但是目标地址变为：00。内网WEB 服务器会应答，应答的源地址为自己的 IP 地 址：00，目标地址为：0，此时源地址和目标地址在同一个网段，不需要查找路由表， 也就是说不需要经过路由器，只需要在交换机上查找 MAC 地址表，做转发就可以了。 问题就出现在上面，内网ERP 服务器做出的应答，内网 PC 收到后，发现应答的源地址是 00 而不是 00，内网PC 收到数据包后，会把数据包丢弃，然后内网 PC 会一直等啊等，等源地址 为：00，目标地址为自己 IP：0 的数据包，但是一直到超时都等不到，最终结果 可想而知。 同样，00 等待 0 的应答，也同样等到超时也等不到应答。 HTTP 协议是基于 TCP 的，以上发生在TCP 的三次握手阶段，TCP 三次握手无法完整的建立。 说明：后面的配置都以此拓扑图为例。 3. 解决方案 已经知道了路由回流是造成内网用户无法使用公网 IP 访问 ERP 系统的原因，那么怎么解决呢？解决方法 有多种，下面分别介绍几种解决方案。 3.1 内部NAT 解决方案 第 2 页 共 5 页 路由器上除了 g0/0/1 接