USG6000 Nat Server之通过域名访问内部服务器

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

NAT实现外网对内网服务器的访问这两天，我们要做第二个综合实验了，要在小型的企业网络里面用NAT实现一系列的功能。

其中有一项是给企业内部网的Web Server和FTP Server转换两个比较固定的地址，以实现外网对内外服务器的访问，从而实现企业对外发布信息。

但是，一般的网友说的都是没有考虑这种情况的配置，至少把一个地址或者几个地址转换成了一大堆内网地址，以解决地址不足的问题，但是如果有一个或者Server需要允许外网对他们进行访问的，那该怎么做呢？我在网上找了好久，最后还去了Cisco官网和锐捷的论坛，终于找到了解决的办法。

这是最全的。

一、NAT简介：NAT（Network Address Translation）网络地址转换。

最早出现在思科11.2 IOS中，定义在RFC1631和RFC3022中。

NAT最主要的作用是为了缓解IPv4地址空间的不足。

同时也带来了一些问题，如每个数据包到达路由器后都要进行包头的转换操作，所以增加了延迟；DNS区域传送，BOOTP/DHCP等协议不可穿越NAT路由器；改动了源IP，失去了跟踪到端IP流量的能力，所以使责任不明确了。

但是利还是要大于弊的，不然也不会学习它了！最新的CCNA640-802学习指南中依然有专门的一章来讲解NAT，它的重要性可见一斑。

二、NAT术语：比较难理解，所以这里用最明了的语言总结如下内部本地地址（ inside local address ）：局域网内部主机的地址，通常是RFC1918地址空间中的地址，称为私有地址。

（待转换的地址）内部全局地址（inside global address）：内部本地地址被NAT路由器转换后的地址，通常是一个可路由的公网地址。

外部全局地址（outside global address）：是与内部主机通信的目标主机的地址，通常是一个可路由的公网地址。

外部本地地址（outside local address）：是目标主机可路由的公网地址被转换之后的地址，通常是RFC1918地址空间中的地址。

需求：内网PC通过公网IP访问内网服务器：ICMP请求：第一步：流量走向：R2 ICMP请求 123.1.1.2--->34.1.1.100第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat outbound 3000 将数据包改为：34.1.1.3-->34.1.1.100，建立nat 会话表：s：123.1.1.2 转成s34.1.1.3 第三步：R4收到34.1.1.3-->34.1.1.100的数据包，查路由表返给R3第四步：R3收到34.1.1.3-->34.1.1.100 的数据包，匹配nat server ,将数据包改为34.1.1.3-->123.1.1.1,建立nat会话表：d：34.1.1.100转出123.1.1.1 从g0/0/0口发送给R1.第五步：R1收到ICMP请求包ICMP应答：第一步：R1 ICMP应答：123.1.1.1-->34.1.1.3第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat会话表：d：34.1.1.100转出123.1.1.1将数据包改为：34.1.1.100-->34.1.1.3第三步：R4收到34.1.1.100-->34.1.1.3的数据包，查路由表返给R3第四步：R3收到34.1.1.100-->34.1.1.3的数据包，匹配nat 会话表：s：123.1.1.2 转成s34.1.1.3，将数据包换成34.1.1.100-->123.1.1.2从g0/0/0口发送给R2.第五步：R2收到ICMP应答包。

完成整个ping的过程。

主要R3的配置如下：其余路由器都是基本配置#acl number 3000 //内网通过公网IP访问时outbound aclrule 10 permit ip source 123.1.1.2 0 destination 34.1.1.100 0acl number 3001 //用于流量策略的aclrule 20 permit ip source 123.1.1.2 0 destination 34.1.1.100 0 //icmp请求时匹配 rule 40 permit ip source 123.1.1.1 0 destination 34.1.1.3 0 //icmp应答是匹配#traffic classifier c1 operator orif-match acl 3001#traffic behavior b1redirect ip-nexthop 34.1.1.4#traffic policy p1classifier c1 behavior b1 //匹配acl的流量强制下一跳为34.1.1.4#aaaauthentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip address 123.1.1.3 255.255.255.0traffic-policy p1 inbound // 内网接口的inbound方向应用#interface GigabitEthernet0/0/1ip address 34.1.1.3 255.255.255.0nat server protocol icmp global 34.1.1.100 inside 123.1.1.1 nat outbound 3000#。

利用NAT实现外网主机访问内网服务器要点NAT（Network Address Translation）是一种网络协议，它允许将一个或多个私有IP地址映射到一个公共IP地址。

利用NAT来实现外网主机访问内网服务器可以采取如下要点：1.配置NAT设备：在网络中的边界设备（如路由器、防火墙等）上配置NAT规则，将外部IP地址映射到内部服务器的IP地址。

这可以通过在NAT设备上创建端口映射、地址映射或绑定多个公共IP地址来实现。

2.设置端口映射：为了实现外网主机访问内网服务器，需要将NAT设备上的外部端口映射到内部服务器的特定端口上。

这可以通过在NAT设备上创建端口映射规则来实现。

例如，将外部IP地址的80端口映射到内部服务器的80端口，使得外网主机可以通过访问公共IP地址的80端口来访问内网服务器。

3.配置防火墙规则：为了确保访问的安全性，需要在NAT设备上配置防火墙规则，限制外网主机对内网服务器的访问。

可以根据需要限制访问的源IP地址、端口等。

这样可以防止未经授权的外部主机访问内部服务器。

4.动态DNS：如果内网服务器的IP地址是动态分配的，则需要使用动态DNS服务来保证外网主机可以通过域名访问内网服务器。

动态DNS服务会将内网服务器的IP地址与域名进行绑定，并定期更新IP地址，使得外网主机可以根据域名找到内网服务器。

5.VPN隧道：如果安全性要求较高，可以考虑通过建立VPN隧道来实现外网主机访问内网服务器。

VPN隧道可以提供加密和身份验证等功能，确保通信的安全性。

在此配置下，外网主机需要先建立VPN连接，然后才能访问内网服务器。

6.网络地址转换：在进行NAT配置时，需要确保内网服务器的IP地址与外网主机所在的网络地址不发生冲突。

可以通过使用私有IP地址范围（如10.0.0.0/8、172.16.0.0/12、192.168.0.0/16）来避免地址冲突。

此外，还需确保NAT设备能够正确转换内外网地址。

实现内网通过外网域名访问NAT映射的内网服务器大家都知道在用Huawei的中低端路由器做NAT地址映射时只能支持“外网访问”不支持“内网访问”。

也就是说只支持NAT映射后外网IP通过外网域名（外网IP）访问NAT映射的服务器，不支持NAT映射后内网IP通过外网域名（外网IP）访问NAT映射的服务器，而在实际应用中实现后者还是很有意义的，相信遇到这个问题各位800的兄弟还是可以听到用户说：“三四百块的东西能支持的，这么贵的华为设备居然不支持#￥%！”不知以何言以对好啊！用户当然也会问有没有实现的方法啊！想了个方法供大家参考，也做了实验是可以实现的,但目前这个方法实现的前提是需要NAT必需是以地址池做的。

(原因是在做实验时,发现当策略匹配到的目的地址是路由器本身的接口地址时,策略不会被匹配! 所以如果将10.153.2.115设为ETH0的接口地址，做nat outbound interface的话,去往10.153.2.115的IP包就不会被重定向到next-hop 192.168.0.33了.)以上图拓扑为例：1.FTP server通过路由器的NAT映射对外网提供FTP 服务。

2.内网用户通过外网域名（外网IP）来访问FTP server 。

配置路由器如上图:1.在路由器上做策略路由把192.168.0.0/24 访问10.153.2.115这个地址的IP包的next-hop重定向到FTP server 192.168.0.33。

路由器配置如下: [Router]!version 1.74nat address-group 10.153.2.115 10.153.2.115 115info-center consolefirewall enableaaa-enableftp-server enable!acl 1 match-order autorule normal permit source 192.168.0.0 0.0.0.255!acl 188 match-order autorule normal permit ip source 192.168.0.0 0.0.0.255 destination 10.153.2.1150.0.0.0rule normal deny ip source any destination any!interface Aux0async mode flowlink-protocol ppp!interface Ethernet0ip address 10.153.2.210 255.255.255.0nat outbound 1 address-group 115nat server global 10.153.2.115 ftp inside 192.168.0.33 ftp tcp!interface Ethernet1ip address 192.168.0.1 255.255.255.0ip policy route-policy heihei!route-policy heihei permit 1if-match ip address 188apply ip next-hop 192.168.0.33quit!ip route-static 0.0.0.0 0.0.0.0 10.153.2.1 preference 60!return2.在FTP server上建立一个loopback虚拟口，将这个loopback口的IP设成跟路由器上的NAT映射IP一样的地址。

内网用户通过域名或公网IP访问内部服务器的解决办法一．内网用户和内网服务器不在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户不在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现内网用户通过公网地址访问服务器的配置，即在E0/0口做和E0/2口一样的nat server的配置。

Interface ethernet 0/0nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 wwwB．实现内部用户通过域名访问服务器的配置nat dns-map 202.103.1.1 tcp3．注意事项如果用户并不想使用公网地址访问公网地址访问服务器，可以不用做nat server的配置，直接配“nat dns-map 192.168.2.2 tcp”即可。

二．内网用户和内部服务器在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现同网段的内网用户通过公网地址访问WEB服务器#定义一个ACLacl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255#在E0/0端口配置nat servernat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www#在E0/0端口配置nat outbound//注意，这里的nat outbound必须做Interface Ethernet 0/0ip address 192.168.1.1 255.255.255.0nat outbound 3001B．实现同网段的内网用户通过域名访问WEB服务器在A的配置的基础上添加如下的命令nat dns-map 202.103.1.1 tcp3．注意事项这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。

NA T外网访问内网方法由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP 上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NA T，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NA T包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

解决NAT后内网主机无法通过域名访问内网服务器的方法1问题分析众所周知，在采用NAT上网的时候，如果内网有服务器需要让互联网用户访问，这时我们要做静态NAT或者端口映射（后面都以端口映射举例说明）。

一般来说，我们都会为服务器申请一个互联网上的域名。

既然有域名，当然就需要DNS的解析，我们也肯定不会让DNS 解析成服务器内网的IP地址，因为这个IP地址是互联网上不可能到达的，所以正常情况下我们都是将域名绑定到路由器的inside globle 地址上，当互联网用户访问这个地址时，互联网会将由指向我们的路由器，路由器则通过NAT转换成服务器的内网地址，并发送给服务器，实现外网用户的访问。

过程如下：很多时候，我们可能希望内网用户也能通过域名访问到内网服务器，但是如果您使用的是思科的路由器作为网关，那么您会发现根本访问不了（一般家用的路由器是可以的）。

问题在于思科的路由器在处理NAT时，有个优先级的问题，来自inside区域的流量先路由后NAT，来自outside区域的流量先NAT且路由，而且要求流量必须穿越inside和outside两个区域，也就是说思科的NAT是工作在inside和outside两个区域的中间，而内网用户访问域名时，DNS会返回路由器的inside globle地址，如果这个地址是路由器自己的outside接口地址，当内网主机试图访问该地址时，路由器根本不会将流量发出outside接口，而是自己路由给自己处理了，因为它是自己的接口地址。

这时流量没有穿越（发出）outside 接口，所以路由器不会对这个流量进行NAT转换，而是路由器自己直接回包了。

2实验一：证实NAT存在的问题2.1实验说明我们可以用实验证实这一点，以下是实验拓扑：R1作为内网的网关，提供NAT转换；R2作为内网的服务器，提供telnet服务；R3作为内网的PC，用于测试；R4作为互联网DNS服务器，用于域名解析；R5作为外网服务器，既可用于内网访问互联网测试，也可用于从外部访问内网服务器的测试。

华为USG6000系列防火墙共享上网及组网基本配置公司各楼层通过交换机汇聚到楼宇核心交换机，楼宇核心汇聚到总核心，然后通过USG6000安全策略访问外网路由器实现共享上网功能。

楼宇核心：划分楼层VLAN 配置网关上一跳路由<Huawei>sys[huawei]sysname hexinjiaohuan[hexinjiaohuan]vlan batch 10 20 30 40[hexinjiaohuan]int vlan 10[hexinjiaohuan-Vlanif10]ip address 192.168.10.254 24 [hexinjiaohuan]int vlan 20[hexinjiaohuan-Vlanif20]ip address 192.168.20.254 24 [hexinjiaohuan]int vlan 30[hexinjiaohuan-Vlanif30]ip address 192.168.30.254 24 [hexinjiaohuan]int vlan 40[hexinjiaohuan-Vlanif40]ip address 192.168.60.1 30 [hexinjiaohuan]int g0/0/3[hexinjiaohuan-GigabitEthernet0/0/3]port link-type access [hexinjiaohuan-GigabitEthernet0/0/3]port default vlan 10 [hexinjiaohuan]int g0/0/1[hexinjiaohuan-GigabitEthernet0/0/1]port link-type access [hexinjiaohuan-GigabitEthernet0/0/1]port default vlan 20 [hexinjiaohuan]int g0/0/4[hexinjiaohuan-GigabitEthernet0/0/4]port link-type access [hexinjiaohuan-GigabitEthernet0/0/4]port default vlan 30 [hexinjiaohuan]int g0/0/2[hexinjiaohuan-GigabitEthernet0/0/2]port link-type access [hexinjiaohuan-GigabitEthernet0/0/2]port default vlan 40 [hexinjiaohuan]ip route-static 0.0.0.0 0.0.0.0 192.168.60.2<hexinjiaohuan>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y总核心交换机：配置上下访问端口和上下访问路由<Huawei>sys[Huawei]sysname zonghexin[zonghexin]vlan batch 40 50[zonghexin]int vlan 40[zonghexin-Vlanif40]ip address 192.168.60.2 30 [zonghexin]int g0/0/2[zonghexin-GigabitEthernet0/0/2]port link-type access [zonghexin-GigabitEthernet0/0/2]port default vlan 40 [zonghexin]int vlan 50[zonghexin-Vlanif50]ip address 192.100.50.2 30 [zonghexin]int g0/0/1[zonghexin-GigabitEthernet0/0/1]port link-type access [zonghexin-GigabitEthernet0/0/1]port default vlan 50 [zonghexin]ip route-static 192.168.10.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 192.168.20.0 255.255.255.0 192.168.60.1[zonghexin]ip route-static 192.168.30.0 255.255.255.0 192.168.60.1 [zonghexin]ip route-static 0.0.0.0 0.0.0.0 192.100.50.1<zonghexin>saveThe current configuration will be written to the device.Are you sure to continue?[Y/N]y防火墙USG6000：配置访问策略允许内网所有PC访问外网（路由器）地址Username:adminPassword: （默认密码Admin@123）The password needs to be changed. Change now? [Y/N]: yPlease enter old password: （默认密码Admin@123）Please enter new password: 新密码Please confirm new password: 新密码确认[USG6000V1]int g1/0/1 //配置内网端口[USG6000V1-GigabitEthernet1/0/1]ip address 192.100.50.1 255.255.255.252 [USG6000V1-GigabitEthernet1/0/1]service-manage http permit[USG6000V1-GigabitEthernet1/0/1]service-manage https permit[USG6000V1-GigabitEthernet1/0/1]service-manage ping permit[USG6000V1]int g1/0/0 //配置外网端口[USG6000V1-GigabitEthernet1/0/0]ip address 10.128.60.5 255.255.255.252 [USG6000V1]firewall zone trust //把端口加入到安全域[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/1[USG6000V1]firewall zone untrust //把端口加入到非安全域[USG6000V1-zone-untrust]add interface GigabitEthernet1/0/0[USG6000V1]ip route-static 0.0.0.0 0.0.0.0 10.128.60.6[USG6000V1]ip route-static 192.168.10.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.20.0 255.255.255.0 192.100.50.2[USG6000V1]ip route-static 192.168.30.0 255.255.255.0 192.100.50.2[USG6000V1]security-policy //访问策略[USG6000V1-policy-security]rule name "trust to untrust"[USG6000V1-policy-security-rule-trust to untrust][USG6000V1-policy-security-rule-trust to untrust]source-zone trust[USG6000V1-policy-security-rule-trust to untrust]destination-zone untrust [USG6000V1-policy-security-rule-trust to untrust] action permit[USG6000V1-policy-security-rule-trust to untrust] rule name local[USG6000V1-policy-security-rule-local]source-zone local[USG6000V1-policy-security-rule-local]destination-zone trust[USG6000V1-policy-security-rule-local]action permit<USG6000V1>save路由器：[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]ip address 10.128.60.6 255.255.255.252 [Huawei]ip route-static 0.0.0.0 0.0.0.0 10.128.60.5<Huawei>savepc>ping 10.128.60.6Ping 10.128.60.6: 32 data bytes, Press Ctrl_C to breakFrom 10.128.60.6: bytes=32 seq=1 ttl=252 time=765 ms From 10.128.60.6: bytes=32 seq=2 ttl=252 time=141 ms From 10.128.60.6: bytes=32 seq=3 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=4 ttl=252 time=78 msFrom 10.128.60.6: bytes=32 seq=5 ttl=252 time=78 msPC机测试通过基本功能实现。

使⽤ensp模拟器中的防⽕墙（USG6000V）配置NAT（⽹页版）使⽤ensp模拟器中的防⽕墙（USG6000V）配置NAT（⽹页版）⼀、NAT介绍NAT（Network Address Translation，⽹络地址转换）：简单来说就是将内部私有地址转换成公⽹地址。

在NAT中，涉及到内部本地地址、内部全局地址、外部本地地址、外部全局地址。

它们的含义是：内部本地地址：内⽹中设备所使⽤的 IP 地址，此地址通常是⼀个私有地址。

内部全局地址：公有地址，通常是 ISP 所提供的，由内⽹设备与外⽹设备通信时所使⽤到的。

外部本地地址：外⽹中设备所使⽤的地址，这个地址是在⾯向内⽹设备时所使⽤的，它不⼀定是⼀个公⽹地址。

外部全局地址：外⽹设备所使⽤的真正的地址，是公⽹地址。

NAT的分类：根据转化⽅式的不同，NAT可以分为三类：源NAT：源地址转化的NAT。

如NO—PAT, NAPT, Easy_ip⽬的NAT：将⽬的地址进⾏转化的NAT。

如NAT-Server双向NAT：即将源地址和⽬的地址都做NAT转换。

NAT的优缺点：优点：1、减缓了可⽤的IP地址空间的枯竭。

2、隐藏了内部⽹络的⽹络结构，避免了来⾃外部的⽹络攻击。

缺点：1、⽹络监控的难度加⼤2、限制了某些具体应⽤NAT所⾯临的问题：1、NAT违反了IP地址结构模型的设计原则。

因为IP地址结构模型的基础是每个IP地址均标识了⼀个⽹络的连接，⽽NAT使得有很多主机可能同时使⽤相同的地址。

2、NAT使得IP协议从⾯向⽆连接变成⾯向连接。

NAT必须维护专⽤IP地址与公⽤IP地址以及端⼝号的映射关系。

在TCP/IP协议体系中，如果⼀个路由器出现故障，不会影响到TCP协议的执⾏。

⽽当存在NAT时，最初设计的TCP/IP协议过程将发⽣变化，Internet可能变得⾮常脆弱。

3、NAT违反了基本的⽹络分层结构模型的设计原则。

因为在传统的⽹络分层结构模型中，第N层是不能修改第N+1层的报头内容的。

内部主机通过公网地址访问内网服务器配置案例1组网拓扑实验拓扑如上图，内部服务器有个外部域名，内部通过同一个固定公网IP上网。

需求：要实现外部通过域名访问内部服务器，内部同样也能通过外部域名访问内部服务器。

2需求分析内部服务器通过在路由器上使用NAT server映射成公网地址供外部主机访问。

内部主机访问外部域名时经解析会成为公网地址，而到达服务器后根据源地址是内部地址直接回复，将不再通过公网地址回包。

3相关配置#acl number 2000 //定义内部上网的数据流rule permit source 192.168.1.0 0.0.0.255#int g0/0 //外网口ip address 100.100.100.2 24nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 wwwnat outbound 2000quitint e1/0 //内网接口ip address 192.168.1.1 24nat outbound 2000nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www //根据具体设备可配可不配，MSR全局有效则可以不配置ip route-static 0.0.0.0 0 100.100.100.14测试分析1、外部主机A访问内部服务器时A→WWW 经解析后A→100.100.100.2通过外网口进入路由器，匹配nat server后A→192.168.1.10，服务器回包192.168.1.10→A匹配默认路由从外网口出去100.100.100.2→A，访问成功。

2、内部主机访问服务器的外部域名192.168.1.2→WWW解析后为192.168.1.2→100.100.100.2，若内网口不做nat outbound则进入路由器后匹配nat server后192.168.1.2→192.168.1.10；服务器回包时直接192.168.1.10→192.168.1.2，访问不能成功；内网口配置了nat outbound后192.168.1.2→192.168.1.10经内网口送出后变为192.168.1.1→192.168.1.10，服务器回包时192.168.1.10→192.168.1.1进入路由器匹配nat server后为100.100.100.2→192.168.1.2，至此访问成功。

局域网用域名访问局域网内服务器不能访问，外网已经可以访问了，按照网上的说法要在内部做一个DNS，然后我在服务器上做了一个DNS，就能在服务器上用域名访问本地的网站了，可是我们公司另外的所有电脑的系统是XP的，没有DNS服务器，我该怎么做才能让内部的电脑用域名访问内部的服务器呢，服务器和其余的电脑都是用的同一个外网IP地址，服务器内网IP地址是192.168.1.3，急啊，谁有办法呢！！！根据下面的回答我补充说明一下：我公司有几台电脑，其中一台装的是2003系统，其余的都是xp系统，现在我将2003的系统做成服务器，公司装了一个光纤，用路由器上网，其中服务器的内网IP是192.168.1.3，我解析了域名，然后用路由器转发到192.168.1.3的服务上，外网就能访问了，[url][/url] 但是这个域名在内网不能访问，打不开网站！现在我想要做的是怎么才能让这个域名在内网也能打开！而不是用192.168.1.3这样的方式在内网打开网站！还是我自己弄好了，在内网做个DNS，然后把所有内网电脑的网络连接上的DNS设为内网服务器DNS的地址就行了！关于局域网使用域名的补充局域网里用域名访问一: 创建成员服务器由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件向下搬运右边的滚动条，找到“网络服务”，选中NS默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

USG6000 Nat Server之通过域名访问内部服务器基于DDNS和接口IP的动态服务器静态映射本例给出一个常见的企业NAT场景的配置过程，该企业外网接口采用DHCP方式获取IP地址，公网IP地址经常发生变化，通过使用基于接口的服务器静态映射（NAT Server）功能和DDNS，实现外部用户通过域名正常访问内部服务器。

组网需求如图1所示，某公司内部网络通过NGFW与Internet进行连接，将内网用户划分到Trust区域，将Internet划分到Untrust区域；Web服务器位于Trust区域的，域名为（）。

NGFW外网接口通过DHCP方式获取IP地址，NGFW作为DDNS Client和DDNS Server 配合，使得外部网络用户通过域名（）能够访问IP地址为10.1.1.3/24的内网Web服务器。

图1 基于DDNS和接口IP的动态服务器静态映射组网图1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置安全策略，允许外部网络用户访问内部服务器。

3.配置基于接口的服务器静态映射4.开启域名解析，配置DNS Server。

5.配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（）能够访问内网服务器。

6.在NGFW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。

操作步骤1.配置各接口的IP地址，并将其加入安全区域。

2.<NGFW> system-view3.[NGFW] interface GigabitEthernet 1/0/14.[NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 245.[NGFW-GigabitEthernet1/0/1] quit6.[NGFW] firewall zone trust7.[NGFW-zone-trust] add interface GigabitEthernet 1/0/18.[NGFW-zone-trust] quit9.[NGFW] firewall zone untrust10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2[NGFW-zone-untrust] quit11.配置安全策略，允许外部网络用户访问内部服务器。

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ip nat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ip nat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overload Router(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ip dns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclass inspection_defaultinspect dns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]nat dns-map www. 202.101.1.45 80 tcp[h3c]nat dns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有nat dns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

实验17 利用NAT 实现外网主机访问内网服务器【实验目的】（1）掌握NAT 源地址转换和目的地址转换的区别（2）掌握如何向外网发布内网的服务器【实验技术原理】NAT 网络地址转换或网络地址翻译，是指将网络地址从一个地址空间转换为另一个地址空间的行为；NAT 将网络划分为内部网络（inside ）和外部网络(outside)两部分，局域网主机利用NAT 访问网络时，是将局域网内部的本地地址转换为全局地址（互联网合法的IP 地址）后转发数据包；NAT 分为两种类型：NAT （网络地址转换）和NAPT （网络端口地址转换），NAT 是实现转换后一个本地IP 地址对应一个全局地址；NAPT 是实现转换后多个本地IP 地址对应一个全局地址。

【实现功能】内网服务器能够转换成外网公网IP ，被互联网访问【实验背景描述】你是某公司的网络管理员，公司只向ISP 申请了一条专线，该专线分配了一个公网IP 地址，现公司的网站在内网，要求在互联网也能访问公司网站，请你实现。

172.16.8.5是WEB 服务器和FTP 服务器的地址。

【实验设备】R1700（2台）、PC （2台）、直连线（2条）、V.35线（1条）【实验内容】（1）按照拓扑进行网络连接（2）配置路由器接口IP 地址（3）配置路由器的缺省路由（4）配置路由器的静态NAT（5）测试【实验拓扑图】F1/0S1/2 F1/0 Internet PC 172.16.8.1/24 200.1.8.7/24 63.19.6.1/24 NAT63.19.6.2/24 172.16.8.5/24Lan-router internet-router 200.1.8.8/24 S1/2 Web serverFTP server【实验步骤】（1）Lan-router基本配置red-giant(config)#hostname lan-routerlan-router (config)#interface fastethernet 1/0lan-router (config-if)#ip address 172.16.8.1 255.255.255.0lan-router (config-if)#no shutdownlan-router (config-if)#exitlan-router (config)#interface serial 1/2lan-router (config-if)#ip address 200.1.8.7 255.255.255.0lan-router (config-if)#no shutdownlan-router (config-if)#exit（2）internet-router基本配置red-giant(config)#hostname internet-routerinternet-router (config)#interface fastethernet 1/0internet-router (config-if)#ip address 63.19.6.1 255.255.255.0internet-router (config-if)#no shutdowninternet-router (config-if)#exitinternet-router (config)#interface serial 1/2internet-router (config-if)#clock rate 64000internet-router (config-if)#ip address 200.1.8.8 255.255.255.0internet-router (config-if)#no shutdowninternet-router (config-if)#exit（3）在Lan-router、internet-router上配置缺省路由；lan-router (config)#ip route 0.0.0.0 0.0.0.0 200.1.8.8internet-router (config)#ip route 0.0.0.0 0.0.0.0 200.1.8.7验证测试:lan-router#ping 200.1.8.8Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 200.1.8.8, timeout is 2 seconds: !!!!!（4）在Lan-router上配置静态NAT地址映射关系lan-router (config)#interface fastethernet 1/0lan-router (config-if)#ip nat inside ！定义F1/0为内部网接口lan-router (config-if)#exitlan-router (config)#interface serial 1/2lan-router (config-if)#ip nat outside ！定义S1/2为外部网接口lan-router (config-if)#exitlan-router (config)#ip nat inside source static 172.16.8.5200.1.8.7 ！定义静态地址映射关系【实验测试】（1）将内网服务器IP地址设为172.16.8.5/24，网关为172.16.8.1,并在其上配置Web服务和FTP服务；（2）将PC机IP地址设为63.19.6.2/24，网关为63.19.6.1, 并在其上打开IE浏览器，在地址栏中输入http://200.1.8.7,测试访问网页；在地址栏中输入ftp://200.1.8.7,测试访问FTP服务。