NAT DNS mapping典型配置举例
NAT DNS mapping典型配置举例
1. 组网需求
某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1/24至202.38.1.3/24三个合法的IP地址。另外公司在公网有一台DNS服务器,IP地址为202.38.1.4/24。需要实现如下功能:
●选用202.38.1.2作为公司对外提供服务的IP地址。
●公网用户可以通过域名或IP地址访问内部服务器。
●私网用户可以通过域名访问内部服务器。
2. 组网图
图1-9 NAT DNS mapping典型配置组网
3. 配置步骤
[Router] interface gigabitethernet 3/1/2
# 配置内部Web服务器。
[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 www
# 配置内部FTP服务器。
[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp
[Router-GigabitEthernet3/1/2] quit
# 配置两条DNS mapping表项:Web服务器的域名https://www.360docs.net/doc/bc19143920.html,对应IP地址202.38.1.2;FTP服务器的域名https://www.360docs.net/doc/bc19143920.html,对应IP地址202.38.1.2。
[Router] nat dns-map domain https://www.360docs.net/doc/bc19143920.html, protocol tcp ip 202.38.1.2 port www
[Router] nat dns-map domain https://www.360docs.net/doc/bc19143920.html, protocol tcp ip 202.38.1.2 port ftp
[Router] quit
4. 验证配置结果
# 上述配置完成后,可以用display命令查看DNS mapping的配置情况。
NAT DNS mapping information:
There are currently 2 NAT DNS mapping(s)
Domain-name: https://www.360docs.net/doc/bc19143920.html,
Global-IP : 202.38.1.2
Global-port: 80(www)
Protocol : 6(TCP)
Domain-name: https://www.360docs.net/doc/bc19143920.html,
Global-IP : 202.38.1.2
Global-port: 21(ftp)
Protocol : 6(TCP)
私网Host A和公网Host B均可通过域名https://www.360docs.net/doc/bc19143920.html,访问私网内的Web服务器,以及通过域名https://www.360docs.net/doc/bc19143920.html,访问私网内的FTP服务器。
NAT端口映射全攻略
网外(Internet)访问代理服务器内部的实现方法 由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射!就象在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对外网来说,你还是只有一个外部的IP地址,怎么样把外网的IP映射成相应的内网IP地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。 要实现这一点,可以用Windows 2000 Server 的端口映射功能,除此之外Winroute Pro也具有这样的功能,还有各种企业级的防火墙。而对于我们这些普通用户,恐怕还是用Windows 2000 Server最为方便。 先来介绍一下NAT,NAT(网络地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。 端口映射功能可以让内部网络中某台机器对外部提供WWW服务,这不是将真IP地址直接转到内部提供WWW服务的主机,如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同样多的IP地址进行转换,从而达不到节省IP地址的目的。端口映射功能是将一台主机的假IP地址映射成一个真IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转到内部一主机的提供这种特定服务的主机;利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口。端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。理论上可以提供六万多个端口的映射,恐怕我们永远都用不完的。 一、下面来介绍一下通过NAT共享上网和利用NAT来实现端口映射。 1、在Windows 2000 Server上,从管理工具中进入“路由和远程访问”(Routing and Remote Access)服务,在服务器上鼠标右击,-》“配置并启用路由和远程访问” 2、点“下一步”
常见 OSPF NAT RIP DHCP 静态路由配置命令
配置启动OSPFv3路由协议 步骤1: 在系统视图下使能IPv6协议 [undo] ipv6 步骤2: 配置OSPFv3协议并指定Router ID; 在系统视图下配置OSPFv3协议 [undo] ospfv3 [process-id] 在OSPFv3视图下配置Router ID [undo] router-id {router-id} 步骤3: 在接口视图使能OSPFv3 [undo] ospfv3 {process-id} area {area-id} [instance {instance-id} ] ●接口Cost配置命令 [undo] ospfv3 cost [cost-value] ●优先级配置命令 [undo] ospfv3 dr-priority [priority] ●DD协商忽略MTU命令 [undo] ospfv3 mtu-ignore ●接口上的Timer配置命令 [undo] ospfv3 timer hello {interval} [undo] ospfv3 timer dead {interval} [undo] ospfv3 timer retransmit {interval}
静态绑定地址典型配置举例 1. 组网需求 Router B和Router C分别作为DHCP客户端和BOOTP客户端,从DHCP服务器Router A获取静态绑定的IP地址、域名服务器、网关地址等信息。 其中: ●Router B上Eth1/1接口的客户端ID为: 3030-3066-2e65-3230-302e-3030-3032-2d45-7468-6572-6e65-7430-2f30; ●Router C上Eth1/1接口的MAC地址为:000f-e200-01c0。 2. 组网图 图2-1 静态绑定地址组网图 3. 配置步骤 (1)配置接口的IP地址
H3C 华为 06-NAT命令
06-NAT命令 目录 1 NAT配置命令 1.1 NAT配置命令 1.1.1 display nat address-group 1.1.2 display nat all 1.1.3 display nat bound 1.1.4 display nat dns-map 1.1.5 display nat server 1.1.6 display nat static 1.1.7 display nat statistics 1.1.8 display userlog export 1.1.9 nat address-group 1.1.10 nat dns-map 1.1.11 nat outbound 1.1.12 nat outbound static 1.1.13 nat server (for normal nat server) 1.1.14 nat static 1.1.15 nat static net-to-net
1 NAT配置命令 1.1 NAT配置命令 1.1.1 display nat address-group 【命令】 display nat address-group [ group-number ] 【视图】 任意视图 【缺省级别】 1:监控级 【参数】 group-number:表示地址池索引号。取值范围为0~255。 【描述】 display nat address-group命令用来显示NAT地址池的信息。 相关配置可参考命令nat address-group。 【举例】 # 显示NAT地址池的信息。
路由器端口映射大全
各种路由器端口映射大全 通讯行业,计算机硬件行业,必备查询文档 为什么要端口映射 (3) 内网ADSL端口映射的设置 (3) 阿尔卡特511 ADSL端口映射的设置 (4) 阿尔卡特S6307KH端口映射的设置 (9) 阿尔卡特SPEED TOUCH 515端口映射的设置 (10) 阿尔卡特SPEEDTOUCH HOMEPLUS511 ADSL端口映射的设置 (10) 阿尔卡特(ALCATEL)SPEEDTOUCH HOME PLUS 511E---ADSL路由器S6307EF端口映射的设置 (10) TP-LINK TL-R402M宽带路由器端口映射的设置 (11) TP-LINK TL-R410路由器端口映射的设置 (11) TP-LINKTD8830端口映射的设置 (12) TP-LINKTD8800路由器端口映射的设置 (13) 普天ADSL 02 路由设置+自动拨号+端口映射 (14) 普天(GS8100)端口映射的设置 (14) 磊科NETCORE端口映射的设置 (15) ADSL 华硕 6000EV/6005HW MODEM端口映射的设置 (18) ADSL(全创1100白色那种)MODEM端口映射的设置 (19) ASUS_ADSL_AAM6000EV 端口映射的设置 (19) CYRIX686 D-LINK DI-704P端口映射的设置 (19) D-LINK DSL-500端口映射的设置 (20) D-LINK路由器的端口映射 (21) DRAYTEK VIGOR2200/2500/2900系列路由器的端口映射 (22) ETEK 伊泰克TD-2001端口映射的设置 (23) GREENNET ADSL MODEM 1500C端口映射的设置 (24)
vlan映射( VLAN Mapping详解)
VLAN Mapping原理介绍 VLAN Mapping也称为VLAN映射,其主要的功能是将用户报文中的私网VLAN Tag 替换为公网的VLAN Tag,使其按照公网的网络规划进行传输。在报文被发送到 对端用户私网时,再按照同样的规则将VLAN Tag恢复为原有的用户私网VLAN Tag,使报文正确到达目的地。 在交换机接收到带有用户私网报文的VLAN Tag后,首先根据配置的映射规则对用户私网报文的VLAN Tag进行匹配,如果匹配成功,则按照规则将私网VLAN Tag 进行替换。 交换机收到的带有用户VLAN Tag的报文结构: 图3-1 带有用户私网VLAN Tag的报文结构 替换后的报文结构: 图3-2 带有公网VLAN Tag的报文结构 与VLAN-VPN和灵活QinQ功能不同的是,VLAN Mapping功能不会对报文进行多 层VLAN Tag的封装,报文在传输过程中将只携带一层VLAN Tag。因此,需要在配置映射规则时注意保持一致,以避免用户报文的错误传输。 3.1.2 VLAN Mapping功能实现方式 S3100系列交换机支持为每个端口配置不同的VLAN Mapping映射规则,当VLAN Mapping功能生效后,该端口即开始根据映射规则对接收的报文进行VLAN Tag 的替换工作;当对端私网的报文由公网返回时,该端口将根据对接收报文时配置的映射规则自动进行反向处理,即将公网的VLAN Tag替换为私网的VLAN Tag。 配置基于全局映射规则的VLAN Mapping功能 表3-2 配置基于全局映射规则的VLAN Mapping功能 操作 命令 说明
配置NAT_Server双出口举例讲解
出口网关双链路接入不同运营商举例一 USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。 组网需求 某学校网络通过USG连接到Internet,校内组网情况如下: ∙校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。 ∙学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的 IP地址是202.1.1.1~202.1.1.5,掩码均为24位。 该学校网络需要实现以下需求: ∙校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。 ∙当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。 ∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。 ∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图 项目数据说明 (1)接口号:GigabitEthernet 0/0/0 IP地址:10.1.1.1/16 安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。 校内用户分配到网段为 10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24,部署在Trust区域。 (2)接口号:GigabitEthernet 0/0/1 IP地址:192.168.1.1/24 安全区域:DMZ 接口(2)是连接图书馆内服务器的接口。 图书馆区部署在DMZ区域。 (3)接口号:GigabitEthernet 0/0/2 IP地址:200.1.1.1/24 安全区域:ISP1 安全优先级:15 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。
ACL NAT DNS网络配置
接入广域网技术——NAT内、外部网络地址转换 NAT基本IP地址转换原理 总体来说,NAT进行地址转换的过程就是“本地地址”与“全局地址”之间的转换过程,无论数据包是从内部网络发往外部网络,还是从外部网络发往内部网络。不同的只是本地地址和全局地址所对应的网络不同,以及数据包重新封装的源和目的地址不同。一下以一个实验实现NAT转换,并且用本地主机访问外部服务器,并实现DNS转换。 实验思路: pc0和pc1作为本地主机有自己的本地ip ,在访问公网上的服务器时,首先要把这两个本地ip转化为大类ip,在公网上通信,现为他们分配的内部全局ip为192.168.1.1和192.168.1.2,目的地址为外部本地ip设为192.168.2.1和192.168.2.2,其他配置详见步骤实验拓扑如下: 注意: 1)选择带有扩展槽的路由,加串口槽 2)连线时,有一根带时钟的serial DCE线,先连接那一端,哪一端就作为DCE 端,需要配时钟频率 实验步骤: 1)配置设备地址,开启路由端口 PC0
PC1 R0: Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int f0/0 Router(config-if)#ip add 10.0.0.1 255.255.255.0 Router(config-if)#no sh %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)#int s1/0 Router(config-if)#ex Router(config)#int s1/0 Router(config-if)#ip add 172.16.1.1 255.255.255.0 Router(config-if)#clock rate 1200 (因为我们线连接的R0)
CISCO NAT配置命令
CISCO NAT 配置命令 21.1.在路由器上启用基本的NAT功能 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside source list 15 interface FastEthernet0/0 overload Router(config)#interface FastEthernet0/2 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface FastEthernet0/1 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface Ethernet0/0 Router(config-if)#ip address 172.16.1.5 255.255.255.252 Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#end Router# 注释例子中的配置实现了对地址段192.168.0.0/16访问外部网络重写为172.16.1.5的功能,基本的地址翻译功能 21.2. 动态分配外部地址 Router#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)#access-list 15 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat pool NATPOOL 172.16.1.100 172.16.1.150 netmask 255.255.255.0 Router(config)#ip nat inside source list 15 pool NATPOOL Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config-if)#exit
地址映射
我们单位的路由是h3c AR18-21 ,内网中有一个机器是做在线直播的服务器,用的是media player server 对外输出的端口是554和1755。我设置了虚拟服务器映射这两个端口,外网访问正常收听,但是内网却不能使用外网IP收听。 以前的客服给我发过一份文件NAT分析-内部pc通过公网ip访问内部服务器.doc按照其中说法设置,但其中有个地方没有理解,一直没有设置好。后来给H3C打电话,工程师帮我解决了问题。现整理如下: 安全分册: https://www.360docs.net/doc/bc19143920.html,/Service/Document_Center/IP_Security/SecBlade/SecBlade_IA G/Command/Command_Manual/H3C_SecBlade_IAG_CM-6PW104/01/201102/709355_30005_0.h tm#_Toc286249349 NAT分析-内部pc通过公网ip访问内部服务器.doc 1.拓扑图:
2.环境假设: 内网服务器的私网地址为192.168.2.251,将服务器的80端口映射至202.101.1.1的80端口上,并申请域名https://www.360docs.net/doc/bc19143920.html,,内网PC机的IP地址为192.168.2.2,现在我们在路由器的外网口配置如下命令: sys acl number 2000 rule permit source 192.168.2.0 0.0.0.255 quit
int g0/0 //外网口 ip address 202.101.1.1 255.255.255.0 nat server protocol tcp global 202.101.1.1 www indise 192.168.2.251 www nat outbound 2000 quit 以上配置为设置端口映射,Web界面中也有操作,略过。 经过以上配置后: 一、外网用户通过域名或者公网IP地址应该是可以访问服务器,数据流程如下: 1.外网用户发起到20 2.101.1.1的TCP 80端口的连接,IP报头结构如下:源IP:外网用户的公网IP,目的IP:202.101.1.1 2.数据经过路由,到企业边源路由器,由于外网口上有端口映射,则数据会匹配映射,将IP报头结构改变成:源IP:外网用户的公网IP,目的IP:192.168.2.251 3.数据经过内网路由,交到服务器,服务器回应用户数据,IP报头结构如下:源IP:192.168.2.251,目的IP:外网用户的IP 4.数据经过边界路由器出公司,由于NAT Server的优先级高于NAT Outbound,所以,数据到达路由器后会先匹配NAT Server记录的会话表项,将IP报头转换成:源IP: 202.101.1.1,目的IP:外网用户的公网IP 5.数据最终通过公网路由到达访问用户,数据访问成功。 二、内网用户通过域名是不能访问服务器的,数据流程如下: 1.内网用户发起DNS请求,域名解地址为20 2.101.1.1,客户机发出请求,IP报头结构如下:源IP:192.168.2.2,目的IP:202.101.1.1 2.数据到达路由器后,由于路由器上有202.101.1.1的直连路由,数据直接交到外网口,由于外网口配置有NAT Server,目的IP被转换后发到服务器,IP报头结构如下:源IP:192.168.2.2,目的IP:192.168.2.251 3.服务器收到数据后,发现源IP就是一个本地IP地址,此时服务器就不会以202.101.1.1为ip回复,而是以192.168.2.251为源地址回复。此时的IP数据包结构为:源IP:192.168.2.251,目的IP:192.168.2.2,数据将到客户机后,客户机认为,自己请求的是
NAT配置(图文详解)
虚拟机的操作系统网络设置 首先,对VMnet1禁用,启用VMnet8 对虚拟机的操作系统网络设置选择NAT,在虚拟机中找到虚拟操作系统的名字(Red Hat Linux)在它上面右键选择settings, 左边选择Network右边选择NAT 确定
开始-运行-网络连接-显示所有连接多了2个连接VMware Network Adapter VMnet1和VMware Network Adapter VMnet8(我们选择的是NAT那么只关心V8) 4.打开Virtual Network Editor Edi-Virtual Network Editor
5.启动DHCP和NAT服务(NAT服务设置中选择V8)
6.通过开始-运行-services.msc进入"服务设置"查看(或者自己来启动) 必须这样查看一次是否启动 7.开始运行cmd敲击回车键ipconfig /all 敲击回车键
主机本地连接网络配置: (如果本地连接是自动获取的IP地址不用管,这一步骤是要知道DNS是多少) 本地连接: IP地址:192.X.X.X 掩码:255.255.0.0 网关: DNS:(主DNS)61.128.128.68(第二DNS)202.202.32.33 8.VMware Network Adapter VMnet8设置 开始-运行-网络连接-显示所有连接-在VMware Network Adapter VMnet8上右键“属性” -TCP/IP协议-属性 Vmware选择NAT接入方式,默认有两个虚拟连接:VMnet1,VMnet8.VMnet8是专为NAT使用的。(如果V8是自动获取IP和DNS那么请用查看ipconfig /all中V8的网络信息,然后手动填入)请看图,
windows中配置NAT
先说说什么是NAT。 在传统的标准的TCP/IP通信过程中,所有的路由器仅仅是充当一个中间人的角色,也就是通常所说的存储转发,路由器并不会对转发的数据包进行修改,更为确切的说,除了将源MAC地址换成自己的MAC 地址以外,路由器不会对转发的数据包做任何修改。NAT(Network Address Translation网络地址翻译)就是出于某种特殊需要而对数据包的源ip地址、目的ip地址、源端口、目的端口进行改写的操作。 NAT分为SNAT(Source Network Address Translation)和 DNAT(Destination Network Address Translation)。顾名思义,SNAT就是源地址翻译,平时所说的NAT就是指这个,它可以让一个局域网里的计算机来共享一个IP上网。DNAT就是目的地址翻译,平时所说的端口映射就是它了,它可以让外部的计算机来访问局域网内的机器,比如,你在局域网内建了个Web服务器,想让外面的用户来访问它,那NDAT就很有用了。 下面就说说在Windows下面如何实现SNAT和DNAT。 以Windows2003为例,我的外网IP为172.18.10.12(也是个内部IP,没办法,在学校的局域网里),内部的局域网为192.168.100.0/24,其中一台机子为192.168.100.10,我在192.168.100.10这台机子上建了一个Web服务器,端口是80,我现在是要让局域网内的机器全部上网,而且把 192.168.100.10映射到172.18.10.12这台机器的8080端口上去,以方便局域网外的用户来访问这个Web服务器。 首先,172.18.10.12这台机器要有两个网卡,(其实一个也可以,不过这样会增加网络负担,而且安全性也不好,就不多说单网卡的方法了,反正网卡又不贵,:))。其中一个连接外网,一个连接内网。而且,要先禁用Windows自带的防火墙(那我想用Windows自带的防火墙怎么办?没事的,下面可以在NAT 上启用防火墙)。 打开控制面板中的“管理工具”-》“路由和远程访问”,在控制台的本地机上点右键启用路由和远程访 问 它会以向导的模式启动配置界面,点下一步,会有几个选项。我们选择“网络地址转换(NAT)”。
NAT DNS mapping典型配置举例
NAT DNS mapping典型配置举例 1. 组网需求 某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1/24至202.38.1.3/24三个合法的IP地址。另外公司在公网有一台DNS服务器,IP地址为202.38.1.4/24。需要实现如下功能: ●选用202.38.1.2作为公司对外提供服务的IP地址。 ●公网用户可以通过域名或IP地址访问内部服务器。 ●私网用户可以通过域名访问内部服务器。 2. 组网图 图1-9 NAT DNS mapping典型配置组网 3. 配置步骤
[Router-GigabitEthernet3/1/2] quit # 配置两条DNS mapping表项:Web服务器的域名https://www.360docs.net/doc/bc19143920.html,对应IP地址202.38.1.2;FTP服务器的域名https://www.360docs.net/doc/bc19143920.html,对应IP地址202.38.1.2。 [Router] nat dns-map domain https://www.360docs.net/doc/bc19143920.html, protocol tcp ip 202.38.1.2 port www [Router] nat dns-map domain https://www.360docs.net/doc/bc19143920.html, protocol tcp ip 202.38.1.2 port ftp [Router] quit 4. 验证配置结果 # 上述配置完成后,可以用display命令查看DNS mapping的配置情况。
Windows端口映射
Windows端口映射实现外网访问内网由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射! Windows端口映射实现外网访问内网由于公网IP地址有限,不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法,这样就限制了这些用户在自己计算机上架设个人网站,要实现在这些用户端架设网站,最关键的一点是,怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射!就象在局域网或网吧内一样,虽然你可以架设多台服务器和网站,但是对外网来说,你还是只有一个外部的IP地址,怎么样把外网的IP映射成相应的内网IP地址,这应该是内网的那台代理服务器或网关路由器该做的事,对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商(中国电信、联通、网通、铁通等)应该提供的服务,因为这种技术的实现对他们来说是举手之劳,而对我们来说是比较困难的,首先得得到系统管理员的支持才能够实现。因为这一切的设置必须在代理服务器上做的。 要实现这一点,可以用Windows 2000 Server 的端口映射功能,除此之外Winroute Pro 也具有这样的功能,还有各种企业级的防火墙。而对于我们这些普通用户,恐怕还是用Windows 2000 Server最为方便。 先来介绍一下NAT,NAT(网络地址转换)是一种将一个IP地址域映射到另一个IP地址域技术,从而为终端主机提供透明路由。NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。在防火墙上实现NAT后,可以隐藏受保护网络的内部拓扑结构,在一定程度上提高网络的安全性。如果反向NAT提供动态网络地址及端口转换功能,还可以实现负载均衡等功能。 端口映射功能可以让内部网络中某台机器对外部提供WWW服务,这不是将真IP地址直接转到内部提供WWW服务的主机,如果这样的话,有二个蔽端,一是内部机器不安全,因为除了WWW之外,外部网络可以通过地址转换功能访问到这台机器的所有功能;二是当有多台机器需要提供这种服务时,必须有同样多的IP地址进行转换,从而达不到节省IP地址的目的。端口映射功能是将一台主机的假IP地址映射成一个真IP地址,当用户访问提供映射端口主机的某个端口时,服务器将请求转到内部一主机的提供这种特定服务的主机;利用端口映射功能还可以将一台真IP地址机器的多个端口映射成内部不同机器上的不同端口。端口映射功能还可以完成一些特定代理功能,比如代理POP,SMTP,TELNET等协议。理论上可以提供六万多个端口的映射,恐怕我们永远都用不完的。 一、下面来介绍一下通过NAT共享上网和利用NAT来实现端口映射。 1、在Windows 2000 Server上,从管理工具中进入"路由和远程访问"(Routing and Remote Access)服务,在服务器上鼠标右击,-》"配置并启用路由和远程访问"
利用NAT实现外网主机访问内网服务器要点
利用NAT实现外网主机访问内网服务器要点NAT(Network Address Translation)是一种网络协议,它允许将一个或多个私有IP地址映射到一个公共IP地址。利用NAT来实现外网主机访问内网服务器可以采取如下要点: 1.配置NAT设备:在网络中的边界设备(如路由器、防火墙等)上配置NAT规则,将外部IP地址映射到内部服务器的IP地址。这可以通过在NAT设备上创建端口映射、地址映射或绑定多个公共IP地址来实现。 2.设置端口映射:为了实现外网主机访问内网服务器,需要将NAT设备上的外部端口映射到内部服务器的特定端口上。这可以通过在NAT设备上创建端口映射规则来实现。例如,将外部IP地址的80端口映射到内部服务器的80端口,使得外网主机可以通过访问公共IP地址的80端口来访问内网服务器。 3.配置防火墙规则:为了确保访问的安全性,需要在NAT设备上配置防火墙规则,限制外网主机对内网服务器的访问。可以根据需要限制访问的源IP地址、端口等。这样可以防止未经授权的外部主机访问内部服务器。 4.动态DNS:如果内网服务器的IP地址是动态分配的,则需要使用动态DNS服务来保证外网主机可以通过域名访问内网服务器。动态DNS服务会将内网服务器的IP地址与域名进行绑定,并定期更新IP地址,使得外网主机可以根据域名找到内网服务器。 5.VPN隧道:如果安全性要求较高,可以考虑通过建立VPN隧道来实现外网主机访问内网服务器。VPN隧道可以提供加密和身份验证等功能,
确保通信的安全性。在此配置下,外网主机需要先建立VPN连接,然后才 能访问内网服务器。 6.网络地址转换:在进行NAT配置时,需要确保内网服务器的IP地 址与外网主机所在的网络地址不发生冲突。可以通过使用私有IP地址范 围(如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16)来避免地址冲突。此外,还需确保NAT设备能够正确转换内外网地址。 7.定期检查和更新配置:由于网络拓扑可能会发生变化,例如更换NAT设备、调整内网服务器IP地址等,因此需要定期检查和更新NAT配置。这样可以确保外网主机能够持续访问内网服务器。 总结:利用NAT实现外网主机访问内网服务器需要配置NAT设备、设 置端口映射、配置防火墙规则等。同时,还可以考虑使用动态DNS、VPN 隧道等方式保证访问的安全性。在配置过程中需注意避免地址冲突,并定 期检查和更新配置。以上要点可以帮助实现外网主机访问内网服务器。
[史上最详细]H3C路由器NAT典型配置案例
For personal use only in study and research; not for commercial use H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
各种 猫 的端口映射方法8页word文档
各种猫的端口映射方法 华替MT800型路由器的端口映射TOP在IE的地址栏面输出路由器的天址(默认的ip非血咪192.168.1.1,用户名是血咪admin,稀码是admin),IE做作会弹没一窗心请求赢进路由器的"用户名"战"明码 ",MT800的现露的设置是admin稳岚admin入进MT800的设置页点先,点击右下角的"其余设定".在选"NAT"(在"其ta设定"的上推菜复西)在入出"NAT"的页面后,首后断定一高"NAT"的选项是"容许",而后点击增添在弹没的"NAT规矩增添西呈现一表格,上面那样改血咪RULE FLAVOR选RDR RULE ID填2伪的超坏用资售超赞,弱烈推举资售第一次买卸妆油就选择了有增加这款,实在一弯听大野说植村秀的很佳用,但是始终甜于囊外羞滑,小教死嘛买不起,所以就转而选择了这款,但是很庆幸我的选择十分准确,没有免何刺激的滋味,而且卸妆非常腌臜,就连易卸的防水眼线睫毛膏都能轻难卸除,而且乳化很速,很赖洗掉,洗完脸后感觉很清洁,错乌头有点作用,也有点去黄的息用,总之不错,不过用了这款也把我的脸养娇气了,总感觉别的牌子;的卸妆液不如这个,嘿嘿,就是有一个毛病,无添添的货色保质期都很缺,BA告知我这个三个月内必需用完,益得很多化装的我有时就会拿它干洗面奶,呵呵,总之很赞藤商藤商IF NAME里选ppp-0协定里选TCP Local地址From表填 192.168.X.X(这个就是ni的外部IP地址,假如无变,昔前大家修 正)Local地址To里也填192.168.X.X Global地址from战to里,二个皆不要填,也就是坚持0.0.0.0最初3个端口(指标端口起始值,纲标端口末行值,Local端口)填上你想要BS启的TCP端口(BS定义的设置是16881,这里咱们输入16881至16889)这样提接完后,端口映象就算作完了.如因借不止,否能出错的处所就是IF NAME(有可能是ppp-1)神州数码DCAD-6010RA ADSL路由设置首先登陆路由器的Web治理界面(默认的ip 是血咪192.168.1.1,用户名是血咪adsl,密码是血咪adsl1234)退进之先顺次按如上次序挑选血咪Services― NAT在NAT Option选择NAT Rule Entry。然后点击"添加",之后出线如下界面,填入相应参数。最晚的时候一曲是用碧柔之种的净面膏,总认为洗好之后皮肤牢牢地,看下来毛孔清洁了,但总感到不怎么舒适,起初冤家举荐开端用无添加的净面粉,洗差后皮肤滑滑的,毛孔也很洁净,最爱好用它的那个球球,粉粉倒下来挤多少下就差多泡沫,比间接用手揉泡沫细腻多了,质也多好多藤商感觉特殊歹。博柜的洁面粉比较贱,自己一贯是在淘宝上买,价格廉价很多,不过现在淘宝上常买的那家也合始跌价了。设置实现后
NAT配置步骤
防火墙路由引入 需要的设备:三个路由器、一个交换机、一个ASA防火墙 交换机上的配置 SW1> SW1>en SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added: Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t SW1(config)#int f0/2 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11 SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12 SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 3 SW1(config-if-range)#^Z R1> R1>en R1#conf t R1(config)#int f0/0 R1(config-if)#ip add 10.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config)#int loopback 0 R1(config-if)#ip add 1.1.1.1 255.255.255.0 R1(config-if)#no shut R1(config-if)#exit R1(config)#line vty 0 4 R1(config-line)#no login R1(config-line)#exit R1(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.8(配置缺省路由)R2>
DNS及NAT配置
Packet Tracer 综合技能练习解答-7编址表 学习目标 •应用基本配置 •使用CHAP 配置PPP 封装 •配置动态路由和默认路由 •使用Easy IP 配置路由器 •检验PC 是否自动配置了编址信息 •利用DNS 条目配置DNS 服务器 •配置ACL 以规定可以进行NAT 的地址 •配置静态NAT •配置带过载的动态NAT •利用静态路由配置ISP 路由器 •测试连通性 简介
在此总结练习中,您将配置PPP、OSPF、DHCP、NAT 和到ISP 的默认路由。然后您需要检验您的配置。 任务1:应用基本配置 步骤 1. 使用基本全局配置配置R1、R2 和R3。 •主机名见地址表所列 •控制台线路登录口令:cisco •vty 0–4 登录口令:cisco •加密口令:class •标语:AUTHORIZED ACCESS ONLY!(仅限授权访问) 只有主机名和标语将被评分。 R1配置 configure terminal hostname R1 banner motd ^AUTHORIZED ACCESS ONLY!^ no ip domain-lookup line console 0 password cisco login logging synchronous exit line vty 0 4 password cisco login exit enable secret class
R2配置 configure terminal hostname R2 banner motd ^AUTHORIZED ACCESS ONLY!^ no ip domain-lookup line console 0 password cisco login logging synchronous exit line vty 0 4 password cisco login exit enable secret class end R3配置 configure terminal hostname R3 banner motd ^AUTHORIZED ACCESS ONLY!^ no ip domain-lookup line console 0 password cisco