源地址转换即内网地址向外访问时,发起访问的内网IP地址转换为指定的IP地址,这可以使内网中使用保留IP地址的主机访问外部网络,即内网的多部主机可以通过一个有效的公网IP地址访问外部网络。
目的地址转换一般用于将内网服务器映射到公网,常用于端口映射,实现在外网环境下通过公网地址直接访问内网服务器。
双向地址转换是指在一条地址转换规则中,同时包含源地址和目标地址的转换,匹配规则的数据流将被同时转换源IP地址和目标IP地址,常用于端口映射,实现在内网环境下通过公网地址直接访问内网服务器。
控制器源地址转换在【系统管理】-【网络管理】-【网络配置】-【地址转换】,新增源地址转换,一般配置入接口和出接口后即可,如有特殊需求,也可配置“更多选项”基于目的地址、目的端口、协议实现源地址转换。
在控制器上配置地址转换时,入接口是表示流量的下行,选择无线用户或者AP所在的接口,可以是三层口,也可以是VLAN接口或VPN接口,当没有VLAN接口时,可能是控制器上的VLAN没有添加;出接口是控制器的上联接口。
2.1.1配置步骤
1)第一步:在控制器上新增一个VLAN接口,截图如下(2-1)。
图2-1
2)第二步:新增源地址转换,如图2-2,出接口根据控制器连接外网的情况进行选择,如果连接外网的物理接口为三层接口,则选择对应的物理接口,如果为二层接口,选择对应的VLAN接口。
图2-2
2.1.2排查思路
1)如果上述配置完成,控制器配置源地址转换后还是无法上网,不生效排查思路:
①检查控制器是否可以正常访问外网,在【系统管理】-【故障排除】-【命令行控制台】ping外网域名测试是否可以通,如果不通,请先排查控制器无法上网问题。
②检查入接口的用户所在的VLAN“允许VLAN间路由”是否开启
③检查地址转换的入接口和出接口配置是否正确,入接口选择内网用户接口,出接口选择控制器的上联接口
目的地址转换一般用于将内网服务器映射到公网,实现在外网环境下通过公网地址直接访问内网服务器。
2.2.1配置步骤
1)第一步:在【系统管理】-【网络管理】-【网络配置】-【地址转换】中配置目的地址转换,实现把内网服务器映射到公网,详细请参见下图2-3:
图2-3
2.2.2排查思路
控制器上配置目的地址转换,将内网一台服务器等设备映射到公网不生效排查思路:
1)检查控制器到内网服务器是否可以ping通,在【系统管理】-【故障排除】-【命令行控制台】ping需要映射到公网的服务器IP地址
2)检查控制器到内网服务器的端口是否可以通,在【系统管理】-【故障排除】-【命令行控制台】使用tcpconnect/udpconnect测试是否open
3)检查VLAN的“允许VLAN间路由”是否启用
4)检查目的地址转换配置是否正确
5)检查控制器的出接口地址是否是真实的公网IP,是否被运营商网络做了NAT导致控制器外网地址不是真实的公网IP地址
6)更换映射后的目的端口测试
双向地址转换主要用于实现与服务器处于同一局域网的用户通过公网地址访问那台服务器。
2.3.1配置步骤
1)第一步:【系统管理】-【网络管理】-【网络配置】-【地址转换】中添加双向地址转换,截图如下(2-4):
图2-4
2.3.2排查思路
控制器配置双向地址转换,实现内网用户通过公网地址访问内网的一台服务器不生效:
1)检查控制器到内网服务器是否可以ping通,在【系统管理】-【故障排除】-【命令行控制台】ping需要映射的服务器IP地址
2)检查控制器到内网服务器的端口是否可以通,在【系统管理】-【故障排除】-【命令行控制台】使用tcpconnect/udpconnect测试是否open
3)检查VLAN的“允许VLAN间路由”是否启用
4)检查双向地址转换配置是否正确
5)检查控制器的出接口地址是否是真实的公网IP,是否被运营商网络做了NAT导致控制器外网地址不是真实的公网IP地址
6)更换映射后的目的端口测试