NAT实现外网对内网服务器的访问

南华大学
计算机科学与技术学院
实验报告
（2014~2015学年度第2学期）
课程名称路由与交换
题目NAT实现内外网通信姓名周露学号20124360222 专业网络工程班级12级2班
地点8栋实验室教师夏石莹
1. 实验目的及要求
1.熟悉掌握PC、路由器等设备的基本配置
2.进一步理解OSPF协议的工作过程
3.熟悉并掌握NAT，实现内网和外网通信
2. 实验软硬件环境
XP PC机一台，packet tracer
3.实验内容
1.网络拓扑结构：
2. 配置路由信息（从左往右）
包括IP的基本配置，OSPF配置，实现内网能相互Ping通
4.配置NAT，实现内网间的通信在R3上配置NAT转换:
在R4上配置NAT转换:
5.实验结果:
内网之间相互通信: PC0 ping PC1
PC0 ping 服务器
外网间通信
PC0 Ping PC3：
PC3 访问PC1
PC3访问服务器
4. 总结分析:
通过这次实验，对OSPF的配置有了更深的了解，同时熟悉并掌握了NAT的配置，虽然在做的过程中遇到些问题，但通过查资料把问题解决了。

通过这次实验让我掌握了对
NAT的配置。

复杂网络NAT综合应用及GNS3模拟验证摘要：为解决IPV4地址资源紧张问题，NAT技术应运而生。

NAT技术将内网的私有地址转换为外网的公有地址，从而实现和Internet用户的通信，在解决IP地址不足问题的同时，隐藏了内部网络的细节，防止了部分来自网络外部的攻击，具有一定的安全作用。

由于NAT 技术的复杂多样性，造成复杂网络中应用的复杂性，NAT技术的综合使用要兼顾内外网各种要素，周密计划，严密组织，避免网络漏洞，对此进行了论述。

关键词：网络地址转换；复杂网络；模拟验证0引言一个复杂网络的大致结构概述如下：内部有多台路由器Rx，向下连接各部门交换机，部门之间按照职能分工不同划分为不同的VLAN，VLAN间通信使用单臂路由；VLAN1为关键部门，禁止内、外网对该网段的访问；R3通过串行口与外网连接，内部主机可以通过唯一分配的一个公网IP地址访问外网；内网地址为192.168.4.8的WWW服务器作为企业对外宣传的窗口，允许外网访问其WWW服务。

企业内部复杂网络结构如图1所示。

1目标分析和初步实现方案1.1目标分析首先，该网络要实现内部相互访问，必须在内部启用动态路由协议，由于私有地址非常充分，在内网地址划分上可以不用太苛求。

鉴于目前动态路由协议的性能，结合考虑网络实际，建议采用比较通用的OSPF协议，达到内部网络之间可以畅通。

其次，使用单臂路由实现VLAN间通信，在路由器对内的局域网端口划分子接口，封装比较通用的TRUNK协议，便于以后采用不同厂家设备进行网络规模的扩展。

再次，鉴于VLAN 1的私密性，使用ACL加入数据包过滤，除管理层的VLAN 2可以访问VLAN 1外，其他业务均不能访问VLAN 1，并将该限制应用到VLAN 1的子接口上，以保证VLAN 1数据安全。

最后，配置PA T实现内网对外网的访问，同时配置静态NAT满足外网对内网WWW服务器的访问要求。

1.2初步方案设计①在内部启用OSPF动态路由协议，该协议支持VLSM，使内部主机之间可以任意通信，达到内网设计的通信目标；②在连接VLAN 1和VLAN 2的端口上，划分子接口，封装802.1q通用TRUNK协议，实现VLAN间通信以及VLAN和外网间通信；③使用访问控制列表，在连接VLAN 1的子接口上限制非法业务流量通过，保护VLAN 1的安全；④在内部路由器R3上，启用PAT技术，实现内网通过唯一公网IP地址对外网的访问，同时使用静态NAT，使外网主机能够访问内网某台WWW服务器。

利用NAT实现外网主机访问内网服务器要点NAT（Network Address Translation）是一种网络协议，它允许将一个或多个私有IP地址映射到一个公共IP地址。

利用NAT来实现外网主机访问内网服务器可以采取如下要点：1.配置NAT设备：在网络中的边界设备（如路由器、防火墙等）上配置NAT规则，将外部IP地址映射到内部服务器的IP地址。

这可以通过在NAT设备上创建端口映射、地址映射或绑定多个公共IP地址来实现。

2.设置端口映射：为了实现外网主机访问内网服务器，需要将NAT设备上的外部端口映射到内部服务器的特定端口上。

这可以通过在NAT设备上创建端口映射规则来实现。

例如，将外部IP地址的80端口映射到内部服务器的80端口，使得外网主机可以通过访问公共IP地址的80端口来访问内网服务器。

3.配置防火墙规则：为了确保访问的安全性，需要在NAT设备上配置防火墙规则，限制外网主机对内网服务器的访问。

可以根据需要限制访问的源IP地址、端口等。

这样可以防止未经授权的外部主机访问内部服务器。

4.动态DNS：如果内网服务器的IP地址是动态分配的，则需要使用动态DNS服务来保证外网主机可以通过域名访问内网服务器。

动态DNS服务会将内网服务器的IP地址与域名进行绑定，并定期更新IP地址，使得外网主机可以根据域名找到内网服务器。

5.VPN隧道：如果安全性要求较高，可以考虑通过建立VPN隧道来实现外网主机访问内网服务器。

VPN隧道可以提供加密和身份验证等功能，确保通信的安全性。

在此配置下，外网主机需要先建立VPN连接，然后才能访问内网服务器。

6.网络地址转换：在进行NAT配置时，需要确保内网服务器的IP地址与外网主机所在的网络地址不发生冲突。

可以通过使用私有IP地址范围（如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）来避免地址冲突。

此外，还需确保NAT设备能够正确转换内外网地址。

实现内网通过外网域名访问NAT映射的内网服务器大家都知道在用Huawei的中低端路由器做NAT地址映射时只能支持“外网访问”不支持“内网访问”。

也就是说只支持NAT映射后外网IP通过外网域名（外网IP）访问NAT映射的服务器，不支持NAT映射后内网IP通过外网域名（外网IP）访问NAT映射的服务器，而在实际应用中实现后者还是很有意义的，相信遇到这个问题各位800的兄弟还是可以听到用户说：“三四百块的东西能支持的，这么贵的华为设备居然不支持#￥%！”不知以何言以对好啊！用户当然也会问有没有实现的方法啊！想了个方法供大家参考，也做了实验是可以实现的,但目前这个方法实现的前提是需要NAT必需是以地址池做的。

(原因是在做实验时,发现当策略匹配到的目的地址是路由器本身的接口地址时,策略不会被匹配! 所以如果将10.153.2.115设为ETH0的接口地址，做nat outbound interface的话,去往10.153.2.115的IP包就不会被重定向到next-hop 192.168.0.33了.)以上图拓扑为例：1.FTP server通过路由器的NAT映射对外网提供FTP 服务。

2.内网用户通过外网域名（外网IP）来访问FTP server 。

配置路由器如上图:1.在路由器上做策略路由把192.168.0.0/24 访问10.153.2.115这个地址的IP包的next-hop重定向到FTP server 192.168.0.33。

路由器配置如下: [Router]!version 1.74nat address-group 10.153.2.115 10.153.2.115 115info-center consolefirewall enableaaa-enableftp-server enable!acl 1 match-order autorule normal permit source 192.168.0.0 0.0.0.255!acl 188 match-order autorule normal permit ip source 192.168.0.0 0.0.0.255 destination 10.153.2.1150.0.0.0rule normal deny ip source any destination any!interface Aux0async mode flowlink-protocol ppp!interface Ethernet0ip address 10.153.2.210 255.255.255.0nat outbound 1 address-group 115nat server global 10.153.2.115 ftp inside 192.168.0.33 ftp tcp!interface Ethernet1ip address 192.168.0.1 255.255.255.0ip policy route-policy heihei!route-policy heihei permit 1if-match ip address 188apply ip next-hop 192.168.0.33quit!ip route-static 0.0.0.0 0.0.0.0 10.153.2.1 preference 60!return2.在FTP server上建立一个loopback虚拟口，将这个loopback口的IP设成跟路由器上的NAT映射IP一样的地址。

群晖nat规则全文共四篇示例，供读者参考第一篇示例：群晖NAS是一款备受用户青睐的网络存储设备，其功能强大且易于操作。

在使用群晖NAS时，经常需要设置一些网络规则来保障网络安全和优化网络连接。

设置NAT规则是非常重要的一项工作。

NAT，即网络地址转换，是一种网络通讯协议，用于在私有网络和公共网络之间进行通讯。

NAT规则的作用是将内部网络的私有IP地址映射为外部网络的公共IP地址，实现内网外网的连接。

在群晖NAS 中，设置NAT规则可以帮助用户实现多种网络功能，如端口映射、虚拟服务器、固定IP分配等。

在群晖NAS中设置NAT规则非常简单。

用户只需登录NAS的管理界面，找到“网络管理”或“端口转发”等功能模块，然后点击“新增规则”或“添加规则”，填写相应的规则信息即可。

在填写规则信息时，用户需要指定规则的类型（如端口映射、虚拟服务器）、内外网IP地址、端口范围等参数，完成设置后点击“保存”即可生效。

设置NAT规则的目的主要有以下几点：1. 端口映射：通过设置端口映射规则，可以将内网某个端口映射到外网的指定端口，实现远程访问内网服务的功能。

用户可以将内网的HTTP服务映射到外网的80端口，使外部用户可以通过浏览器访问内网的网站。

2. 虚拟服务器：虚拟服务器是指将公共IP地址映射到内网的某个设备上，从而实现外部对该设备的访问。

通过设置虚拟服务器规则，用户可以将外网流量导向内网的特定设备，比如监控摄像头、文件服务器等。

3. 固定IP分配：有些用户可能希望某些设备在网络上始终保持固定的IP地址，以便于管理和访问。

通过设置NAT规则，用户可以为某个设备分配固定的IP地址，确保其在网络中的唯一性和稳定性。

除了上述功能之外，设置NAT规则还可以帮助用户实现端口转发、路由转发等网络功能，提升网络性能和安全性。

在设置NAT规则时，用户需要注意一些常见问题，如规则冲突、端口占用、安全漏洞等，及时调整和优化规则，确保网络正常运行。

利用网络地址转换NAT实现内外网互通网络地址转换（NAT）是一种通信协议，用于在私有网络和公共网络之间建立连接，从而实现内外网的互通。

NAT的作用是将私有网络中的IP地址转换为可以在公共网络上识别的外部IP地址，以实现内网和外网的通信。

本文将介绍如何利用NAT技术实现内外网互通，并讨论NAT的优点和缺点。

一、NAT的原理和功能网络地址转换（NAT）是一种在网络层对IP地址进行转换的技术。

它通过将私有IP地址转换为公共IP地址，使得私有网络中的主机可以和公共网络中的主机进行通信。

NAT的主要功能包括以下几点：1. IP地址转换：NAT将内网的私有IP地址转换为公共网络中的公共IP地址，以实现内外网之间的通信。

2. 端口转换：NAT可以将内网主机的端口映射到公共网络中的端口，以实现多个内网主机通过同一个公共IP地址访问公共网络。

3. 地址映射：NAT会为内网主机分配一个唯一的公共IP地址，使得内网主机可以在公共网络中被识别和访问。

二、利用NAT实现内外网互通的步骤实现内外网的互通需要按照以下步骤进行配置：1. 配置NAT设备：首先，需选择合适的NAT设备作为网关，该设备负责将内网的IP地址转换为公共网络的IP地址。

配置NAT设备需要指定内网和外网的接口，并设置相应的IP地址、子网掩码和网关信息。

2. 配置内网主机：将内网主机连接到NAT设备的内网接口，并对主机进行相应的IP地址配置。

内网主机的IP地址应与NAT设备内网接口位于同一子网。

3. 配置网络策略：根据需求配置网络策略，允许或限制内网主机与公共网络中的主机进行通信。

网络策略规定了内外网之间的访问规则，可以根据需求设置相应的端口映射、访问限制等。

4. 测试网络连通性：配置完成后，进行网络连通性测试，确保内网主机可以正常访问外部网络资源，以及外部网络可以访问内网主机。

如有问题，可通过诊断工具进行故障排查。

三、NAT的优点和局限性NAT技术作为实现内外网互通的关键技术，具有以下几个优点：1. 节省IP地址：通过NAT技术，可以将多个内网主机映射到一个公共IP地址上，有效节省了IP地址资源的使用。

求教：如何实现内外网互访？？？最近给公司作了一个内部网站，放在了我在公司的的机器上，另外公司有一台web服务器（win2k3）。

我在我的机器上设置好了iis和dns后（win2k）发现其他用户只能访问外部网络而无法访问我做的内部网站（其他用户的dns已指向我的ip）。

请问有什么办法能够实现其他用户既能访问外部网络，也能访问内部网络。

我记得以前好像有人问过类似的问题，不过已经忘了在哪看到了，大家帮帮忙，看看有什么好办法吗？最好详细点！先谢谢了！！！直接用你的IP地址啊或者是应虚拟目录五、实现内/外网的互访所谓内网是指通过ADSL实现共享上网的网络环境，即Intranet。

所谓外网是指Internet 上除指定“内网”之外的其他部分，即公网。

实现内/外网互访可使“资源共享”这一计算机网络的特点得到更淋漓尽致的体现。

(一)利用PortTunnel软件实现PortTunnel是一个能够实现端口映射的专用工具软件。

它的原理是先在内网服务器上做端口映射，则当外网计算机访问内网服务器上的此端口时，该软件就会自动其将相关访问信息“转发”到指定的内网工作站上。

这里，我们以PortTunnel V 1.6.15.218简体中文版(以下简称PortTunnel)为例。

内网服务器操作系统以Windows 2003为例。

1．安装PortTunnel(1)双击PortTunnel的安装文件PortTunnel_CHS.zip，将其解压到任意目录中。

双击解压后的“PortTunnel_CHS.MSI”文件即可开始安装。

(2)安装完成，依次单击“开始→程序→PortTunnel”菜单项，即可看到“PortTunnel”(软件设置程序)、“ReadMe.txt(Chinese)”(软件的简体中文说明书)和“ReadMe.txt(English)”(软件的英文说明书)等三项相关组件。

2．设置前的准备工作在设置PortTunnel之前，让我们先来了解一下HTTP、FTP和SMTP这三种常见的服务。