公网(Internet)访问局域网内部主机的实现方法
网络互连解决方案
反向代理
反向代理不仅可以提高效率,也可以提 高安全性能。这种代理是一种入站连接 代理类型的服务。它一般在防火墙的外 面,对外部的用户来说,它代表着安全 内容服务器,阻止从公司外面直接的、 未经监测的对服务器数据的访问。
反向代理切断了所有不必要的请求,这 就减少了公司Web服务器的负载。
端口映射
DMZ
什么是 VPN?
VPN的定义: 使用基于IP的网络基础设施(包括公共 Internet 专有的IP骨干网)来仿真专有的广域网
VPN (Virtual Private Network) 是通过 internet 公共 网络在局域网络之间或单点之间安全地传递数据的技 术
远程局域 网络
分支机构
VPN Gateway
代理服务器
代理服务器英文全称是Proxy Server,其功能就是
代理网络用户去取得网络信息。形象的说:它是网络信
息的中转站。在一般情况下,我们使用网络浏览器直接
去连接其他Internet站点取得网络信息时,须送出
Request信号来得到回答,然后对方再把信息以bit方式
传送回来。代理服务器是介于浏览器和Web服务器之间
局域网内部的一台电脑要上internet就需要端口映射, 端口映射分为动态(Pooled NAT)、静态(static nat) 和网络端口转换NAPT三种。
DMZ
DMZ是英文“demilitarized zone”的缩写,中文名称 为“隔离区”,也称“非军事化区”。
它是为了解决安装防火墙后外部网络不能访问内部 网络服务器的问题,而设立的一个非安全系统与安 全系统之间的缓冲区,这个缓冲区位于企业内部网 络和外部网络之间的小网络区域内,在这个小网络 区域内可以放置一些必须公开的服务器设施,如企 业Web服务器、FTP服务器和论坛等。
公网(Internet)访问局域网内部主机的实现方法
公网(Internet)访问局域网内部主机的实现方法深圳市宏电技术开发有限公司宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器,很多公司通常也有一台服务器并有固定IP 地址。
但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件,所以H7000 GPRS 数据中心系统也不允许安装在该服务器上,为了解决这一问题,可在服务器上进行必要的设置,以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。
此外,由于公网IP 地址有限,不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法,这样就限制了这些用户在自己计算机上安装数据中心,为了在这些用户端安装数据中心软件,最关键的一点是,怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射,就像在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对公网来说,你还是只有一个外部的IP 地址。
怎样把公网的IP 映射成相应的内网IP 地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。
因为这一切的设置必须在代理服务器上做的。
要实现这一点,可以用Windows 2000 Server 的端口映射功能。
除此之外,WinRoute Pro 也具有这样的功能,还有各种企业级的防火墙。
而对于我们这些普通用户,恐怕还是用Windows 2000 Server 最为方便。
先来介绍一下NAT ,NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。
局域网接入internet
2.局域网接入internet的方法 将局域网接入internet其实就是将局域网中的一台计 算机接入internet ,然后其他用户共享上网。在对等网 中,用户可以选择任何一台计算机接入internet ;而在 服务器/客户机模式的局域网中,接入internet的计算 机通常是代理服务器或NAT服务器。 (1)从实现途径上区分 ①硬件方式 通过路由器、宽带路由器、内置路由功能的朋ADSL Modem等实现局域网接入internet。使用硬件方式, 局域网接入internet的效果好,但是这种方法投资稍高, 一般设置也稍显麻烦。
TCP/IP协议规定了3类局域网保留IP地址(私有地 址或称虚地址),这3个地址段分别是: 10.x.x.x 172.16.x.x 192.168.x.x 其中(x在0—255之间,注意实际用时网络号部分不 能为全0或全1)。这些IP地址可以在一个局域网内部使用, 但是直接以这样的内网私有地址连接到internet显然是行 不通的。 为此,当内网的机器与外网的机器连接时,需要先通过 有合法外网地址的主机把内网IP地址转换为合法的外网IP 地址,这就是网络地址转换(Network Address Translation,NAT)。
公司局域网通过专线连接internet时,专线的另一端 连接到与internet连通的某个区域性计算机网或国家级的 公共数据交换网络。要正式成为internet的一部分,除要 有专线连接外,还必须向相应的ISP申请正式的IP地址并 注册自己的计算机域名。申请专线接入internet时,通常 选择包月或包年的计费方式。即不管上了多长时间的网, 付出的上网费是固定的。 (1)需要让公司的客户及商品代理商能够通过Internet 登录公司的Web服务器来调用商品文档。然而公司对内部 局域网安全极为重视,希望在开放相应的web服务器时保 障整个内部局域网的安全,保障公司的数据不被非法窃取。
internet安装与设置
硬件实战
(4)如何断开ADSL网络连接: 如果申请的只是记时服务或包小时服务,那么最好在 不想上网的时候将网络连接断开。常用的断开网络连 接的方法有以下两种。 直接用鼠标右键单击任务栏上的图标,在弹出的快捷 菜单中选择“断开” 双击任务栏上的图标。
硬件实战
3、通过局域网接入internet: 所谓“通过局域网接入internet”,是指用户通过局域网,局域 网使用路由器通过数据通信网与ISP相连接,再通过ISP接入 internet.. 通过LAN接入的上网方式要简单的多,一般物理上的连接只 需将网线插入电脑上网卡的接口里就可以了。
硬件实战
一般选择“PPPOE虚拟拨号”,(若是通过有固定IP的 ADSL专线上网,则选择“固定IP上网方式”,并设置ISP 提供的ip地址及相关参数),然后输入ISP提供的用户名 和用户密码,下一步完成即可。 (2)配置局域网计算机。配置非常简单,只需将每台计 算机的IP地址配置为自动获得ip地址就可以了。
192.168.0.1/24
202.117.12.34/29
硬件实战 internet
宽带MODEM
代理服务器 ……
……
区域(A)
……
区域(B)
1、在代理服务器关机的情况下,区域B中的计算机能否访问internet?
2、如果电信部门分配的公网IP地址为202.117.12.32/30,则图网络连接应 做如何改动?
硬件实战
答案: (1)192.168.0.2——192.168.0.254
(2)255.255.255.0
(3)192.168.0.1 (4)202.117.12——202.117.12.38 (5)255.255.255.248 (6)202.117.12.33
外网如何访问内网机器
外网如何访问内网机器外网访问内网机器是指通过互联网环境下,从外部网络中的设备或者计算机,连通到内部局域网中的计算机或者服务器。
要实现外网访问内网机器,需要解决内外网之间的隔离问题。
通常情况下,内网机器位于一个有防火墙或者路由器保护的局域网中,而外网机器则位于互联网上。
下面介绍几种实现外网访问内网机器的方法。
1.端口映射端口映射是最常见的一种方法。
它使用路由器或者防火墙的端口映射功能,将外网地址和端口映射到内网的机器地址和端口上。
这样,外网用户通过访问指定的外网地址和端口,就可以访问到内网机器。
例如,当内网机器的IP地址为192.168.1.100,端口为8080时,可以将外网地址的8080端口映射到内网机器上。
外网用户访问外网地址及端口时,就能够访问到内网机器。
2.VPNVPN(Virtual Private Network,虚拟专用网)是一种建立在公共网络上的专用网络。
通过VPN,我们可以在外网与内网之间建立一条加密的通信隧道。
外网用户通过VPN客户端登陆VPN服务器,然后再通过VPN隧道,访问内网机器。
由于数据通过VPN隧道传输时加密,因此外网用户可以安全地访问内网机器。
3.远程桌面远程桌面是一种远程控制技术,可以远程访问和操控其他计算机的桌面界面。
外网用户可以通过远程桌面客户端登陆内网机器的桌面界面,从而实现对内网机器的远程访问和操控。
远程桌面技术通常使用加密方式传输数据,以保证通信的安全性。
4.反向代理反向代理是一种常见的代理服务器技术。
通过配置反向代理服务器,将外网用户的请求反向代理到内网机器上。
当外网用户访问反向代理服务器时,反向代理服务器会将请求转发给内网机器,并将内网机器的响应返回给外网用户。
由于反向代理服务器位于内网和外网之间,外网用户可以通过访问反向代理服务器来访问内网机器。
5.云服务云服务提供商可以提供公有云和私有云的服务,可以在公有云中拥有自己的内网机器或服务器。
通过云服务的公有网络,外网用户可以访问到内网机器。
NAT外网访问内网方法
NA T外网访问内网方法由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP 上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射!就象在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对外网来说,你还是只有一个外部的IP地址,怎么样把外网的IP映射成相应的内网IP地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。
因为这一切的设置必须在代理服务器上做的。
要实现这一点,可以用Windows 2000 Server 的端口映射功能,除此之外Winroute Pro也具有这样的功能,还有各种企业级的防火墙。
而对于我们这些普通用户,恐怕还是用Windows 2000 Server最为方便。
先来介绍一下NA T,NAT(网络地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。
NA T包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。
在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
端口映射功能可以让内部网络中某台机器对外部提供WWW服务,这不是将真IP地址直接转到内部提供WWW服务的主机,如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同样多的IP地址进行转换,从而达不到节省IP地址的目的。
nat穿越原理
nat穿越原理NAT(Network Address Translation)是一种在本地网络中使用的网络转换技术。
它的作用是将私有IP地址转换为公共IP地址,以便实现内部主机与公共网络进行通讯。
尽管 NAT 在局域网中广泛使用,但有些时候,由于一些原因,我们需要进行 NAT 穿透,以便让公共网络中的主机可以与局域网中的主机直接通讯。
本文将介绍 NAT 穿越的原理以及相关的技术和方法。
一、NAT 穿越的原理NAT 穿越(NAT Traversal)是指在网络中,经过 NAT 设备的数据包可以穿越 NAT 网关,从而实现传输的技术方式。
当内网的主机需要使用 P2P 技术、VoIP、视频会议等需要直接通讯的应用时,就需要 NAT 穿越技术。
NAT 穿越技术基于UDP协议,通过一个可探测的中转服务器,使外部的主机可以向内部的主机发送UDP数据包。
这种技术类似于端口转发,只是通过中间服务端实现。
NAT设备自身并不具备进行 NAT 穿越的能力,所以需要使用一些技术和协议来实现。
通常情况下,NAT穿越可以通过以下几种方式:1. UPnP(Universal Plug and Play in)协议:UPnP 协议是一种基于Internet的新一代设备互通性协议。
UPnP协议能够自动在NAT设备上建立端口映射规则,这样内部网络的设备就能在公网的设备中被访问到。
2. STUN(Session Traversal Utilities for NAT)协议:STUN协议是专门为NAT穿越而设计的协议,它可以检测NAT设备的类型,外部IP地址和端口。
使用STUN协议后,每个内部主机就可以获取到一个公网IP地址,从而实现P2P直接通讯。
3. TURN(Traversal Using Relay NAT)协议:TURN 协议也是一种专门用于NAT穿越的协议,它会在中介服务器上建立一条转发通道,从而实现内部和外部主机的通讯。
映射端口介绍端口映射的作用及其配置
ldaps 636/tcp sldap #LDAP over TLS/SSL
doom 666/tcp #Doom Id Software
doom 666/udp #Doom Id Software
开放IP后,访问地址 http、//210.210.21.21、3166/index.htm
方法二、用VIDC
我们将vidcs.exe传到公网IP上,在公网计算机上运行vidcs -p端口,如vdics -p5205
这句话的意思是在公网计算机上监听端口 5205 然后回到内网计算机上,直接点击运行vIDCc.exe
time 37/tcp timserver
time 37/udp timserver
domain 53/tcp #Domain Name Server
domain 53/udp #Domain Name Server
(2)将lcx.exe下载到要开放的内网的计算机上,然后在DOS环境下执行 lcx -slave 公网IP 端口 内网IP 端口
如lcx -slave 211.211.21.21 3030 172.16.32.153 80
解释一下,这句话的意思是说将内网计算机IP为 172.16.32.153 的80端口(也就是WEB 服务端口)
ipx 213/udp #IPX over IP
ldap 389/tcp #Lightweight Directory Access Protocol
https 443/tcp MCom
https 443/udp MCom
extport:80to80
ipaddress:192.168.1.2
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公网(Internet)访问局域网内部主机的实现方法
深圳市宏电技术开发有限公司
宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器,很多公司通常也有一台服务器并有固定IP 地址。
但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件,所以H7000 GPRS 数据中心系统也不允许安装在该服务器上,为了解决这一问题,可在服务器上进行必要的设置,以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。
此外,由于公网IP 地址有限,不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法,这样就限制了这些用户在自己计算机上安装数据中心,为了在这些用户端安装数据中心软件,最关键的一点是,怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射,就像在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对公网来说,你还是只有一个外部的IP 地址。
怎样把公网的IP 映射成相应的内网IP 地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。
因为这一切的设置必须在代理服务器上做的。
要实现这一点,可以用Windows 2000 Server 的端口映射功能。
除此之外,WinRoute Pro 也具有这样的功能,还有各种企业级的防火墙。
而对于我们这些普通用户,恐怕还是用Windows 2000 Server 最为方便。
先来介绍一下NAT ,NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。
NAT 包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT 常用于私有地址域与公用地址域的转换以解决IP 地址匮乏问题。
在防火墙上实现NAT 后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。
如果反向NAT 提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。
IP = 195.75.16.65
NI = Network Interface
IP = 192.168.0.22IP = 195.75.16.65
NI = Network Interface IP = 192.168.0.22
NAT 正/反向转换示意图
Mail+FTP www Telnet H7000服务器IP: 192.168.0.3Port: 21, 25, 110服务器IP: 192.168.0.5Port: 80
服务器
IP: 192.168.0.7
Port: 23数据中心
IP: 192.168.0.88
Port: 5002
NAT 端口映射示意图
端口映射功能可以让内部网络中某台机器对外部提供WWW 服务,这不是将真IP 地址直接转到内部提供WWW 服务的主机。
如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW 之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同样多的IP 地址进行转换,从而达不到节省IP 地址的目的。
端口映射功能是将一台主机的假IP 地址映射成一个真IP 地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转到内部一提供这种特定服务的主机;利用端口映射功能,还可以将一台真IP 地址机器的多个端口映射成内部不同机器上的不同端口。
端口映射功能还可以完成一些特定代理功能,比如代理POP 、SMTP 、TELNET 等协议。
理论上可以提供六万多个端口的映射,恐怕我们永远都用不完的,有关端口映射的示意图参见上图。
下面介绍一下实现有关功能的设置方法:
一、NAT 共享上网和利用NAT 来实现端口映射
1、在Windows 2000 Server 上,从管理工具中进入“路由和远程访问”(Routing and Remote Access)服务,在服务器上点击鼠标右键,选择“配置并启用路由和远程访问”。
2、单击“下一步”
3、选择“Internet连接服务器”,让内网主机可以通过这台服务器访问Internet。
注:最好先按本步骤配置好NAT共享,以便让内网主机可以正常上网,不然的话,配好端口映射后再来配置NAT共享就有点麻烦了,弄的不好NAT还共享不了。
4、选择“设置有网络地址转换(NAT)路由协议的路由器”,不要选“设置Internet连接共享(ICS)”。
ICS与NAT的区别在于使用的容易程度上,为了启用ICS,只需要选择一个复选框就可以了,而为了启用NAT,则需要更多的配置任务。
此外,ICS用于小型网络上的原因还在于:针对内部主机,它需要有一个固定的IP地址范围;针对与外部网络的通信,它被限制在单个公共IP地址上;它只允许单个内部网络接口。
5、当前网络连接情况:
Internet公网连接,IP地址为:192.200.200.3 (此地址仅为举例,实际地址为您的Internet IP 地址);
局域网连接,IP地址为:192.168.0.1,局域网有4台电脑,其中一台上装有IIS 5.0作为Web 服务器,Web端口为80,待安装完毕端口映射功能后就可从公网(用192.200.200.3来替代)来访问这个192.168.0.5:80上的网页,用端口映射的办法把公网的地址和端口映射到内部主机192.168.0.5的80端口上;一台上装有H7000 GPRS无线DDN数据中心服务器软件,端口为5002,待安装完毕端口映射功能后就可从公网(用192.200.200.31来替代)来访问这个192.168.0.88:5002上的GPRS无线DDN数据中心服务器,用端口映射的办法把公网的地址和端口映射到内部主机192.168.0.88的5002端口上。
6、在“路由和远程访问服务器安装向导”选项中选中“Internet连接”(也就是连接公网----Internet 的那个连接),单击“下一步”。
7、单击“完成”
到此为止,NAT共享设置也就完成了,内部的主机也能上网了。
内部主机的网络设置如下:
IP地址范围是192.168.0.2~192.168.0.254,子网掩码为255.255.255.0,网关为192.168.0.1,DNS为ISP或您所在地区的DNS地址,例如:深圳地区为:202.96.134.133
二、利用NAT映射端口
1、添加NAT协议:鼠标右键点击“IP路由选择”项下的“常规”,选择“新路由选择协议”;
2、在“新路由选择协议”选项中选择“网络地址转换(NAT)”,单击“确定”,这样在“IP路由选择”中就多了一项“网络地址转换(NAT)”;
4、鼠标右键点击“网络地址转换(NAT)”,添加“新接口”;
4、在“网络地址转换(NAT)的新接口”选项中选择“Internet连接”(也就是连接公网----Internet 的那个连接),单击“确定”;
已经添加了网络地址转换(NAT)接口的设置时,在网络接口的的选项中(如:Internet连接)点击鼠标右键,选择“属性”进入下一步骤。
5、在“网络地址转换-Internet连接属性”选项中选择“公用接口连接到Internet”,复选“转换TCP/UDP头(推荐)”,单击“确定”;
6、在“地址池”选项表里添加你需要提供端口重定向的起始地址与结束地址(也就是你要拿出来进行端口映射的所有IP地址,这里假设有8个地址,设置如下:
注:在一般情况下通常只有一个公网IP地址,我们建议不用进行“地址池”设置,以免带来不必要的麻烦。
添加需要映射的公网IP地址,如下图所示:
7、在“特殊端口”选项表里提供了你需要定向的数据连接协议(如:TCP或UDP协议,Web和FTP采用TCP协议),选中需要映射的协议后,单击“添加”;
8、“添加特殊端口”,这里就是设置端口映射的核心了,把NAT主机的哪个端口映射到内网主机的哪个端口就在这里设置。
由于设有“地址池”,所以可以在“公网地址”中添上“地址池”中的任一地址。
如果你在前面没有设置“地址池”(对于只有一个公网的网络,最好不要设置“地址池”),那么在这个选项页中“在此地址池项”为灰色不可选,你只能选“在此接口”,也就是你只有一个公网IP地址,可以不用“地址池”,何必做多余的设置呢?如果您比较勤劳的话,可能会自找麻烦。
“传入端口”就是别人从网外访问有公网IP的NAT服务器的端口,这里设的为H7000 GPRS 无线DDN数据中心的缺省端口5002。
“专用地址和传出地址”就是内部主机的IP地址和提供特殊服务的端口,这里是把Internet连接(对应公网的连接) 上的5002端口映射到192.168.0.88上的5002端口,协议为UDP,下图就是添加端口映射后的情况。