华为-内网PC 通过公网IP访问内网服务器--配置

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

内部主机通过公网地址访问内网服务器配置案例内部主机通过公网地址访问内网服务器的配置是一种常见的网络部署方案，特别适用于需要远程访问内网服务器的情况，比如企业的分支机构、远程办公或者云服务器等。

本文将介绍一种常见的内部主机通过公网地址访问内网服务器的配置案例。

首先，需要明确的是，内部主机通过公网地址访问内网服务器涉及到两个网络层面的配置，一是公网网络配置，二是内网网络配置。

1.公网网络配置：最后，为了确保公网访问的安全性，建议在公网路由器上启用防火墙，并且只开放需要访问的端口，以防止未经授权的访问。

2.内网网络配置：首先，需要为内网服务器分配一个静态IP地址。

静态IP地址保证了内网服务器的唯一性，并且可以方便地在公网路由器上进行映射配置。

这个IP地址可以手动设置在内网服务器或者通过DHCP服务器进行分配。

其次，需要在内网服务器的操作系统上进行相应的网络配置。

具体的配置步骤因操作系统而异，一般涉及到修改网络接口配置文件或者通过网络配置工具来设置IP地址、子网掩码、网关地址等。

为了保证网络连接的正常进行，建议设置DNS服务器地址，以确保网络服务的可用性。

最后，需要在内网服务器上配置对应的网络服务。

例如，如果需要通过HTTP协议访问内网服务器上的网页，需要在内网服务器上安装和配置一个HTTP服务器，例如Apache或Nginx，确保服务正常启动并监听80端口。

总结起来，内部主机通过公网地址访问内网服务器的配置主要涉及到公网网络配置和内网网络配置两个方面。

公网网络配置包括获取公网IP 地址、设置端口映射以及启用防火墙等；内网网络配置包括为内网服务器分配静态IP地址、进行操作系统网络配置以及配置对应的网络服务等。

通过合理的配置，可以实现内部主机通过公网地址访问内网服务器，并确保网络连接的可用性和安全性。

外网如何访问局域网的服务器在当今数字化的时代，很多企业和个人都拥有自己的局域网服务器，用于存储重要的数据、运行特定的服务或应用程序。

然而，有时我们可能需要从外网访问这些位于局域网内的服务器，以便在外出时也能获取所需的信息或进行必要的操作。

那么，如何实现外网访问局域网的服务器呢？这可不是一件简单的事情，但也并非无法解决。

接下来，让我们一步步来探讨这个问题。

首先，我们要明白什么是局域网和外网。

局域网（Local Area Network，简称 LAN），通常是指在一个有限的地理范围内（比如一个办公室、一栋楼或者一个校园），由多台计算机和其他设备通过网络连接在一起形成的一个私有网络。

而外网，也就是广域网（Wide Area Network，简称 WAN），则是覆盖范围更广的网络，例如互联网。

要实现外网访问局域网的服务器，我们需要解决的一个关键问题是网络地址转换（Network Address Translation，简称 NAT）。

NAT 是一种将局域网内的私有 IP 地址转换为外网可识别的公共 IP 地址的技术。

大多数家庭和企业使用的路由器都具有 NAT 功能。

接下来，我们有几种常见的方法可以实现外网访问局域网服务器。

一种方法是使用端口映射。

在路由器上进行端口映射设置，将外网的特定端口请求转发到局域网内服务器的相应端口上。

例如，如果我们的服务器运行着一个 Web 服务，默认使用 80 端口，我们就可以在路由器中将外网的 8080 端口映射到局域网服务器的 80 端口。

这样，当我们从外网访问路由器的公共 IP 地址和 8080 端口时，请求就会被转发到局域网内的服务器上，从而实现访问。

要进行端口映射，首先需要登录到路由器的管理界面。

一般来说，在浏览器中输入路由器的 IP 地址（通常可以在路由器的背面找到），然后输入用户名和密码即可登录。

进入管理界面后，找到“端口映射”或“虚拟服务器”等类似的选项。

在这里，我们需要填写一些信息，包括内部服务器的 IP 地址（即局域网服务器的 IP 地址）、要映射的端口（如 80 端口）以及外部端口（如 8080 端口）。

华为路由器接入公网开局配置移动宽带为2M, 分配给的固定IP地址：120.198.90.210 子网掩码：255.255.255.252网关：120.198.90.209局域网规划地址范围为：192.168.1.2 - 192.168.1.254 子网掩码：255.255.255.0 网关：192.168.1.11.首先用串口线连接路由器的的con口，使用超级终端或者其它软件如SecureCRT,进入路由器配置界面如下，<hexinkeji>dis cur（显示当前路由器配置，该命令在维护的时候比较常用）<hexinkeji>system-view（进入特权模式）[hexinkeji][hexinkeji]dhcp server ip-pool 1（打开DHCP服务）[hexinkeji-dhcp-pool-1] network 192.168.1.0 mask 255.255.255.0（配置IP网段）[hexinkeji-dhcp-pool-1] gateway-list 192.168.1.1（配置网关）[hexinkeji-dhcp-pool-1] dns-list 221.179.35.81 211.136.192.6（配置DNS）[hexinkeji] acl number 2001（创建一个访问控制ACL 2001）[hexinkeji-acl-basic-2001]rule 1 permit ip source 192.0.0.0 0.255.255.255 （设置访问控制允许192.0.0.0网段通过）[hexinkeji]interface Ethernet0/0（进去端口0/0）[hexinkeji-Ethernet0/0]description to-waiwang（描述成接外网）[hexinkeji-Ethernet0/0]ip address 120.198.90.210 255.255.255.252（配置外网的静态IP地址，子网掩码）[hexinkeji-Ethernet0/0]nat outbound 2001（做NAT地址转换,NAT转换规则根据标准ACL来实现）[hexinkeji]interface Ethernet0/1（进去端口0/1）[hexinkeji-Ethernet0/1]description to-neiwang（注释成连接内网）[hexinkeji-Ethernet0/1]ip address 192.168.1.1 255.255.255.0（配置IP地址，子网掩码）[hexinkeji]ip route-static 0.0.0.0 0.0.0.0 120.198.90.209（设置缺省路由，指向静态IP网关）< hexinkeji >save保存1.有时候客户有特殊的要求，比如要求外网输入公网IP地址进入客户内部某台服务器，需要做端口映射nat server protocol tcp global 120.198.90.210 inside 192.168.8.1 www nat server protocol tcp global 120.198.90.210 inside 192.168.8.1 pop3nat server protocol tcp global 120.198.90.210 inside 192.168.8.1 smtp 2.设置远程外网登陆路由器：<Quidway>sysSystem View: return to User View with Ctrl+Z.[Quidway]local-user admin（用户名admin）[Quidway-luser-admin]password simple admin(密码admin) [Quidway-luser-admin]service-type telnet (telnet服务类型) [Quidway-luser-admin]level 3（操作级别3）[Quidway-luser-admin]quit <Quidway>save保存。

实现内网通过外网域名访问NAT映射的内网服务器大家都知道在用Huawei的中低端路由器做NAT地址映射时只能支持“外网访问”不支持“内网访问”。

也就是说只支持NAT映射后外网IP通过外网域名（外网IP）访问NAT映射的服务器，不支持NAT映射后内网IP通过外网域名（外网IP）访问NAT映射的服务器，而在实际应用中实现后者还是很有意义的，相信遇到这个问题各位800的兄弟还是可以听到用户说：“三四百块的东西能支持的，这么贵的华为设备居然不支持#￥%！”不知以何言以对好啊！用户当然也会问有没有实现的方法啊！想了个方法供大家参考，也做了实验是可以实现的,但目前这个方法实现的前提是需要NAT必需是以地址池做的。

(原因是在做实验时,发现当策略匹配到的目的地址是路由器本身的接口地址时,策略不会被匹配! 所以如果将10.153.2.115设为ETH0的接口地址，做nat outbound interface的话,去往10.153.2.115的IP包就不会被重定向到next-hop 192.168.0.33了.)以上图拓扑为例：1.FTP server通过路由器的NAT映射对外网提供FTP 服务。

2.内网用户通过外网域名（外网IP）来访问FTP server 。

配置路由器如上图:1.在路由器上做策略路由把192.168.0.0/24 访问10.153.2.115这个地址的IP包的next-hop重定向到FTP server 192.168.0.33。

路由器配置如下: [Router]!version 1.74nat address-group 10.153.2.115 10.153.2.115 115info-center consolefirewall enableaaa-enableftp-server enable!acl 1 match-order autorule normal permit source 192.168.0.0 0.0.0.255!acl 188 match-order autorule normal permit ip source 192.168.0.0 0.0.0.255 destination 10.153.2.1150.0.0.0rule normal deny ip source any destination any!interface Aux0async mode flowlink-protocol ppp!interface Ethernet0ip address 10.153.2.210 255.255.255.0nat outbound 1 address-group 115nat server global 10.153.2.115 ftp inside 192.168.0.33 ftp tcp!interface Ethernet1ip address 192.168.0.1 255.255.255.0ip policy route-policy heihei!route-policy heihei permit 1if-match ip address 188apply ip next-hop 192.168.0.33quit!ip route-static 0.0.0.0 0.0.0.0 10.153.2.1 preference 60!return2.在FTP server上建立一个loopback虚拟口，将这个loopback口的IP设成跟路由器上的NAT映射IP一样的地址。

经过前面几篇贴子的介绍，相信大家已经对源NAT和NAT Server有了相当了解。

NAT功能就像一个武林高手，可内可外，游刃有余，那么这“一内一外”能否配合使用呢？答案当然是肯定的！如果需要同时改变报文的源地址和目的地址，就可以配置“源NAT+NAT server”，华为防火墙称此类NAT配置为双向NAT。

这里要注意：双向NAT不是一个单独的功能，他仅仅是源NAT和NAT Server的组合。

这里“组合”的含义是针对同一条流（例如外网主机访问内网服务器的流量），在其经过防火墙时同时转换报文的源地址和目的地址。

大家千万不能理解为“防火墙上同时配置了源NAT和NAT Server就是双向NAT”，这是不对的，因为源NAT和NAT Server可能是为不同流配置的。

之前介绍源NAT功能时，强叔为了更利于大家理解相关概念和原理，都是按照内网用户访问外网资源的思路进行组网设计和验证的。

实际上，源NAT还可以根据报文的源地址和目的地址所在安全区域进行分类：1、域间NAT报文的源地址和目的地址属于不同的安全区域。

按照转换报文的方向，又可以分为以下两类：（1）NAT Inbound（外网访问内网）报文由低安全级别的安全区域向高安全级别的安全区域方向传输时，基于源地址进行的转换。

一般来说，NAT Inbound都会和NAT Server配合使用。

（2）NAT Outbound（内网访问外网）报文由高安全级别的安全区域向低安全级别的安全区域方向传输时，基于源地址进行的转换。

之前介绍的“内网用户访问外网资源”场景大多使用NAT Outbound。

2、域内NAT（内网访问内网）报文的源地址和目的地址属于相同的安全区域。

一般来说，域内NAT都会和NAT Server配合使用，单独配置域内NAT的情况较少见。

当域间NAT或域内NAT和NAT Server一起配合使用时，就实现了双向NAT。

当然，上述内容的一个大前提就是：合理设置安全区域的级别并规划网络——内网设备属于Trust域（高级别），内网服务器属于DMZ域（中级别），外网设备属于Untrust域（低级别）。

华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123一、配置案例1.1 拓扑图GE 0/0/1：10.10.10.1/24GE 0/0/2：220.10.10.16/24GE 0/0/3：10.10.11.1/24WWW服务器：10.10.11.2/24（DMZ区域）FTP服务器：10.10.11.3/24（DMZ区域）1.2 Telnet配置配置VTY 的优先级为3，基于密码验证。

# 进入系统视图。

<USG5300> system-view# 进入用户界面视图[USG5300] user-interface vty 0 4# 设置用户界面能够访问的命令级别为level 3[USG5300-ui-vty0-4] user privilege level 3配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password# 配置验证密码为lantian[USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。

基于用户名和密码验证user-interface vty 0 4authentication-mode aaaaaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type telnetlocal-user admin level 3firewall packet-filter default permit interzone untrust local direction inbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

外网访问内网服务解决方案外网访问内网服务是指通过公共网络（如互联网）访问局域网或私有网络中的服务。

通常情况下，内网服务是不直接暴露在外网的，这是为了保护内网服务的安全性。

然而，有时候我们需要从外部访问内部的服务，这会带来一些挑战。

下面是一些常见的外网访问内网服务的解决方案。

1. VPN（Virtual Private Network，虚拟专用网络）： VPN可以为用户提供一个通过公共网络访问受限网络的安全通道。

用户可以在外部计算机上建立VPN连接，然后通过该连接访问内网服务。

VPN采用加密技术来保护数据的安全性，在访问内网服务时提供了一定的安全保障。

2. 端口映射（Port Forwarding）：端口映射是一种在公共网络和私有网络之间建立通信的方式。

通过将公共网络中的特定端口与内网中的服务端口进行映射，用户可以通过公共网络访问内网服务。

这需要在网络设备上进行配置，将公共网络的请求转发到对应的内网服务。

端口映射可以通过路由器、防火墙或者专用的映射软件来实现。

3. 反向代理（Reverse Proxy）：反向代理是一种通过在公共网络和内网之间建立代理服务器的方式来访问内网服务。

当用户通过公共网络请求访问特定的地址时，反向代理服务器接收到请求后会将请求转发到内网服务，并将内网服务的响应返回给用户。

反向代理可以配置访问控制和安全策略，提供更加安全的外网访问内网服务的方式。

4. SSH（Secure Shell）隧道： SSH隧道是通过SSH协议在公共网络和内网之间建立安全通道的一种方式。

用户可以在外部计算机上通过SSH协议建立连接，并通过隧道将公共网络的请求转发到内网服务。

SSH隧道可以通过端口映射或者动态端口转发进行配置，提供了一种安全且可靠的外网访问内网服务的方式。

5.使用云服务提供商的解决方案：云服务提供商通常提供一些工具和服务，可以帮助用户将内网服务暴露在公共网络上。

例如，一些云服务提供商提供了VPN网关，用户可以通过该网关将公共网络请求转发到内网服务；还有一些提供了负载均衡和反向代理的服务，用户可以将内网服务注册在云服务提供商的负载均衡器或者反向代理服务器上，实现外网访问内网服务。

如何设置路由器外网访问内网服务器如何通过路由器设置，让外网可以访问到内网中的某一台电脑，也可以是电脑上架设的本地网站。

下面是店铺给大家整理的一些有关设置路由器外网访问内网服务器的方法，希望对大家有帮助!设置路由器外网访问内网服务器的方法确定电脑与路由器正确连接，并且已连至互联网。

在地址栏中输入192.168.0.1回车，输入用户名密码，进入路由器主界面。

然后点击左侧菜单中的“虚拟服务器”，——“端口段映射”打开“端口段映射”界面。

由于网站用的是80端口，所以我们在“常用服务端口”选择“HTTP(80)”然后点击“填充到”ID 1。

就会自动填充到列表中ID为1中，然后填写内网IP地址，你机器IP地址是多少就填写多少。

我的IP192.168.0.102。

协议可选TCP，UDP，全部。

默认即可。

选择启用，最后保存所有设置。

PS：我比喜欢本机IP地址查询方法：Win+R ——cmd——ipconfig到此路由器中的设置已经完成。

我们再看看电脑中的设置。

文章开头也说了，是要人访问在电脑上架设的网站。

本文以Windows中的IIS为例。

打开IIS，找到网站右击选择“编辑绑定”打开“网站绑定”窗口,“主机名”为空不填，IP地址写本地IP地址192.168.0.102(你自己电脑上多少就填多少)。

在此需要注意的是若输入外网IP无反应，有可能是防火墙拦截，此时关闭防火墙或把端口80填加到防火墙中去即可。

以上设置成功后，就可以访问了。

可以把外网地址发给你的朋友测试一下，也可以自己在IE中输入外网地址测试。

在路由器中可查看到外网IP171.8.81.*。

我们输入地址栏后看到网站打开。

说明设置成功。

除了可以设置80端口外，还有其可设置比如21，8080等。

根据需要可设置不同端口。

END。