公网(Internet)访问局域网内部主机的实现方法

公网(Internet)访问局域网内部主机的实现方法

深圳市宏电技术开发有限公司

宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器，很多公司通常也有一台服务器并有固定IP 地址。但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件，所以H7000 GPRS 数据中心系统也不允许安装在该服务器上，为了解决这一问题，可在服务器上进行必要的设置，以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。

此外，由于公网IP 地址有限，不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法，这样就限制了这些用户在自己计算机上安装数据中心，为了在这些用户端安装数据中心软件，最关键的一点是，怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射，就像在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对公网来说，你还是只有一个外部的IP 地址。怎样把公网的IP 映射成相应的内网IP 地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能。除此之外，WinRoute Pro 也具有这样的功能，还有各种企业级的防火墙。而对于我们这些普通用户，恐怕还是用Windows 2000 Server 最为方便。

先来介绍一下NAT ，NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术，从而为终端主机提供透明路由。NAT 包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT 常用于私有地址域与公用地址域的转换以解决IP 地址匮乏问题。在防火墙上实现NAT 后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。如果反向NAT 提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

IP = 195.75.16.65

NI = Network Interface

IP = 192.168.0.22IP = 195.75.16.65

NI = Network Interface IP = 192.168.0.22

NAT 正/反向转换示意图

Mail+FTP www Telnet H7000服务器IP: 192.168.0.3Port: 21, 25, 110服务器IP: 192.168.0.5Port: 80

服务器

IP: 192.168.0.7

Port: 23数据中心

IP: 192.168.0.88

Port: 5002

NAT 端口映射示意图

端口映射功能可以让内部网络中某台机器对外部提供WWW 服务，这不是将真IP 地址直接转到内部提供WWW 服务的主机。如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW 之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP 地址进行转换，从而达不到节省IP 地址的目的。端口映射功能是将一台主机的假IP 地址映射成一个真IP 地址，当用户访问提供映射端口主机的某个端口时，服务器将请求转到内部一提供这种特定服务的主机；利用端口映射功能，还可以将一台真IP 地址机器的多个端口映射成内部不同机器上的不同端口。 端口映射功能还可以完成一些特定代理功能，比如代理POP 、SMTP 、TELNET 等协议。理论上可以提供六万多个端口的映射，恐怕我们永远都用不完的，有关端口映射的示意图参见上图。

下面介绍一下实现有关功能的设置方法：

一、NAT 共享上网和利用NAT 来实现端口映射

1、在Windows 2000 Server 上，从管理工具中进入“路由和远程访问”(Routing and Remote Access)服务，在服务器上点击鼠标右键，选择“配置并启用路由和远程访问”。

2、单击“下一步”

3、选择“Internet连接服务器”，让内网主机可以通过这台服务器访问Internet。

注：最好先按本步骤配置好NAT共享，以便让内网主机可以正常上网，不然的话，配好端口映射后再来配置NAT共享就有点麻烦了，弄的不好NAT还共享不了。

4、选择“设置有网络地址转换(NAT)路由协议的路由器”，不要选“设置Internet连接共享(ICS)”。

ICS与NAT的区别在于使用的容易程度上，为了启用ICS，只需要选择一个复选框就可以了，而为了启用NAT，则需要更多的配置任务。此外，ICS用于小型网络上的原因还在于：针对内部主机，它需要有一个固定的IP地址范围；针对与外部网络的通信，它被限制在单个公共IP地址上；它只允许单个内部网络接口。

5、当前网络连接情况：

Internet公网连接，IP地址为：192.200.200.3 (此地址仅为举例，实际地址为您的Internet IP 地址)；

局域网连接，IP地址为：192.168.0.1，局域网有4台电脑，其中一台上装有IIS 5.0作为Web 服务器，Web端口为80，待安装完毕端口映射功能后就可从公网(用192.200.200.3来替代)来访问这个192.168.0.5:80上的网页，用端口映射的办法把公网的地址和端口映射到内部主机192.168.0.5的80端口上；一台上装有H7000 GPRS无线DDN数据中心服务器软件，端口为5002，待安装完毕端口映射功能后就可从公网(用192.200.200.31来替代)来访问这个192.168.0.88:5002上的GPRS无线DDN数据中心服务器，用端口映射的办法把公网的地址和端口映射到内部主机192.168.0.88的5002端口上。

6、在“路由和远程访问服务器安装向导”选项中选中“Internet连接”(也就是连接公网----Internet 的那个连接)，单击“下一步”。