路由器内网PC通过公网IP访问映射的内网SERVER案例

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

H3C路由器内网用户通过域名访问内网服务器方法最近遇见的一个问题，客户内部网络中没有部署DNS服务器，而用户访问内网服务器时，需要通过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。

最后查了手册，产品手册中讲解了一种方法，就是用DNS-MAP 可以实现，下面把工程师发给我的这个文档分享一下，其中又讲解了另一种方法，最后我用了里面讲的“NAT和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题，感谢提供这个文档的工程师，在此分享一下，希望对大家有所帮助。

一、组网需求：组网如图所示，内网中存在两台服务器分别对外提供www及ftp 服务，网关路由器公网接口上已下发nat server 配置。

DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址202.38.1.1上，公网用户可以通过域名访问服务器。

要求：内网用户可以使用域名访问内网的两台服务器。

涉及产品：H3C SR6600路由器二、组网图：方案一：DNS-mapping 方案：在SR6600路由器上配置DNS map功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。

当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时192.168.1.1，接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。

方案二：利用NAT 和NAT Server 下发在内网网关接口上，使内网主机通过公网地址去访问服务器。

在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址(202.38.1.1)去访问内网服务器。

通过将NAT和NATServer 配置下发在内网网关接口上可以满足该应用(原先下发在公网接口上的nat server 配置是为了满足公网用户访问的，该部分配置不变)。

内部主机通过公网地址访问内网服务器配置案例内部主机通过公网地址访问内网服务器的配置是一种常见的网络部署方案，特别适用于需要远程访问内网服务器的情况，比如企业的分支机构、远程办公或者云服务器等。

本文将介绍一种常见的内部主机通过公网地址访问内网服务器的配置案例。

首先，需要明确的是，内部主机通过公网地址访问内网服务器涉及到两个网络层面的配置，一是公网网络配置，二是内网网络配置。

1.公网网络配置：最后，为了确保公网访问的安全性，建议在公网路由器上启用防火墙，并且只开放需要访问的端口，以防止未经授权的访问。

2.内网网络配置：首先，需要为内网服务器分配一个静态IP地址。

静态IP地址保证了内网服务器的唯一性，并且可以方便地在公网路由器上进行映射配置。

这个IP地址可以手动设置在内网服务器或者通过DHCP服务器进行分配。

其次，需要在内网服务器的操作系统上进行相应的网络配置。

具体的配置步骤因操作系统而异，一般涉及到修改网络接口配置文件或者通过网络配置工具来设置IP地址、子网掩码、网关地址等。

为了保证网络连接的正常进行，建议设置DNS服务器地址，以确保网络服务的可用性。

最后，需要在内网服务器上配置对应的网络服务。

例如，如果需要通过HTTP协议访问内网服务器上的网页，需要在内网服务器上安装和配置一个HTTP服务器，例如Apache或Nginx，确保服务正常启动并监听80端口。

总结起来，内部主机通过公网地址访问内网服务器的配置主要涉及到公网网络配置和内网网络配置两个方面。

公网网络配置包括获取公网IP 地址、设置端口映射以及启用防火墙等；内网网络配置包括为内网服务器分配静态IP地址、进行操作系统网络配置以及配置对应的网络服务等。

通过合理的配置，可以实现内部主机通过公网地址访问内网服务器，并确保网络连接的可用性和安全性。

实现内网通过外网域名访问NAT映射的内网服务器大家都知道在用Huawei的中低端路由器做NAT地址映射时只能支持“外网访问”不支持“内网访问”。

也就是说只支持NAT映射后外网IP通过外网域名（外网IP）访问NAT映射的服务器，不支持NAT映射后内网IP通过外网域名（外网IP）访问NAT映射的服务器，而在实际应用中实现后者还是很有意义的，相信遇到这个问题各位800的兄弟还是可以听到用户说：“三四百块的东西能支持的，这么贵的华为设备居然不支持#￥%！”不知以何言以对好啊！用户当然也会问有没有实现的方法啊！想了个方法供大家参考，也做了实验是可以实现的,但目前这个方法实现的前提是需要NAT必需是以地址池做的。

(原因是在做实验时,发现当策略匹配到的目的地址是路由器本身的接口地址时,策略不会被匹配! 所以如果将10.153.2.115设为ETH0的接口地址，做nat outbound interface的话,去往10.153.2.115的IP包就不会被重定向到next-hop 192.168.0.33了.)以上图拓扑为例：1.FTP server通过路由器的NAT映射对外网提供FTP 服务。

2.内网用户通过外网域名（外网IP）来访问FTP server 。

配置路由器如上图:1.在路由器上做策略路由把192.168.0.0/24 访问10.153.2.115这个地址的IP包的next-hop重定向到FTP server 192.168.0.33。

路由器配置如下: [Router]!version 1.74nat address-group 10.153.2.115 10.153.2.115 115info-center consolefirewall enableaaa-enableftp-server enable!acl 1 match-order autorule normal permit source 192.168.0.0 0.0.0.255!acl 188 match-order autorule normal permit ip source 192.168.0.0 0.0.0.255 destination 10.153.2.1150.0.0.0rule normal deny ip source any destination any!interface Aux0async mode flowlink-protocol ppp!interface Ethernet0ip address 10.153.2.210 255.255.255.0nat outbound 1 address-group 115nat server global 10.153.2.115 ftp inside 192.168.0.33 ftp tcp!interface Ethernet1ip address 192.168.0.1 255.255.255.0ip policy route-policy heihei!route-policy heihei permit 1if-match ip address 188apply ip next-hop 192.168.0.33quit!ip route-static 0.0.0.0 0.0.0.0 10.153.2.1 preference 60!return2.在FTP server上建立一个loopback虚拟口，将这个loopback口的IP设成跟路由器上的NAT映射IP一样的地址。

如何把域名映射到内网服务器（内网...
如何把域名映射到内网服务器（内网能访问，但是通过域名不能访问）
用户在安装了wingdns的动态域名解析客户端后，域名就可以解析到IP上。

但是如果你的电脑是通过路由器连接的话，就要设置相应的端口映射到你的内外机器上，因为内外的所有计算机在外网上都是共有一个IP地址的。

下面以最常见的TP-link为例，介绍如何设置
首先在你们浏览器里输入网关的地址，一般是192.168.1.1这个时候就显示登录页面如图
输入用户名密码进入网关，默认用户名为admin 密码为admin ，
进入网管后->转发规则->虚拟服务器->添加条目
输入相应的端口到内外的机器上。

这里80端口是http服务器的默认端口，192.168.1.101是我电脑的内外IP，保存，ok了这样通过就能访问我电脑上的服务器了
需要注意的是，有些地方的电信屏蔽了用户的80端口，这个时候就要设置别的端口到内外IP上了。

如何设置路由器外网访问内网服务器如何通过路由器设置，让外网可以访问到内网中的某一台电脑，也可以是电脑上架设的本地网站。

下面是店铺给大家整理的一些有关设置路由器外网访问内网服务器的方法，希望对大家有帮助!设置路由器外网访问内网服务器的方法确定电脑与路由器正确连接，并且已连至互联网。

在地址栏中输入192.168.0.1回车，输入用户名密码，进入路由器主界面。

然后点击左侧菜单中的“虚拟服务器”，——“端口段映射”打开“端口段映射”界面。

由于网站用的是80端口，所以我们在“常用服务端口”选择“HTTP(80)”然后点击“填充到”ID 1。

就会自动填充到列表中ID为1中，然后填写内网IP地址，你机器IP地址是多少就填写多少。

我的IP192.168.0.102。

协议可选TCP，UDP，全部。

默认即可。

选择启用，最后保存所有设置。

PS：我比喜欢本机IP地址查询方法：Win+R ——cmd——ipconfig到此路由器中的设置已经完成。

我们再看看电脑中的设置。

文章开头也说了，是要人访问在电脑上架设的网站。

本文以Windows中的IIS为例。

打开IIS，找到网站右击选择“编辑绑定”打开“网站绑定”窗口,“主机名”为空不填，IP地址写本地IP地址192.168.0.102(你自己电脑上多少就填多少)。

在此需要注意的是若输入外网IP无反应，有可能是防火墙拦截，此时关闭防火墙或把端口80填加到防火墙中去即可。

以上设置成功后，就可以访问了。

可以把外网地址发给你的朋友测试一下，也可以自己在IE中输入外网地址测试。

在路由器中可查看到外网IP171.8.81.*。

我们输入地址栏后看到网站打开。

说明设置成功。

除了可以设置80端口外，还有其可设置比如21，8080等。

根据需要可设置不同端口。

END。

内网用户通过域名或公网IP访问内部服务器的解决办法一．内网用户和内网服务器不在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户不在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现内网用户通过公网地址访问服务器的配置，即在E0/0口做和E0/2口一样的nat server的配置。

Interface ethernet 0/0nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 wwwB．实现内部用户通过域名访问服务器的配置nat dns-map 202.103.1.1 tcp3．注意事项如果用户并不想使用公网地址访问公网地址访问服务器，可以不用做nat server的配置，直接配“nat dns-map 192.168.2.2 tcp”即可。

二．内网用户和内部服务器在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现同网段的内网用户通过公网地址访问WEB服务器#定义一个ACLacl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255#在E0/0端口配置nat servernat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www#在E0/0端口配置nat outbound//注意，这里的nat outbound必须做Interface Ethernet 0/0ip address 192.168.1.1 255.255.255.0nat outbound 3001B．实现同网段的内网用户通过域名访问WEB服务器在A的配置的基础上添加如下的命令nat dns-map 202.103.1.1 tcp3．注意事项这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。

公网(Internet)访问局域网内部主机的实现方法深圳市宏电技术开发有限公司宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器，很多公司通常也有一台服务器并有固定IP 地址。

但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件，所以H7000 GPRS 数据中心系统也不允许安装在该服务器上，为了解决这一问题，可在服务器上进行必要的设置，以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。

此外，由于公网IP 地址有限，不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法，这样就限制了这些用户在自己计算机上安装数据中心，为了在这些用户端安装数据中心软件，最关键的一点是，怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射，就像在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对公网来说，你还是只有一个外部的IP 地址。

怎样把公网的IP 映射成相应的内网IP 地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能。

除此之外，WinRoute Pro 也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server 最为方便。

先来介绍一下NAT ，NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术，从而为终端主机提供透明路由。

图1 配置NAT使内网和外网用户通过外网IP访问内网服务器示例组网图操作步骤1.Router的配置2.#3.a cl number 3000 //用于内部主机直接使用11.11.11.6访问服务器，只有内网发起的服务才会在GE1/0/0上进行NAT4.rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 05.#6.i nterface GigabitEthernet1/0/07.i p address 192.168.1.1 255.255.255.08.n at static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255 //配置内网服务器地址的一对一NAT9.n at outbound 3000 //内网用户直接访问11.11.11.6时做Easy IP，将源地址改为GE1/0/0的地址,保证内网服务器和主机间的交互都经过Router转发10.#11.interface GigabitEthernet2/0/012.ip address 11.11.11.1 255.0.0.013.nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255 //保证外网用户使用11.11.11.6可以访问内网服务器14.#15.ip route-static 0.0.0.0 0.0.0.0 11.11.11.2 //配置缺省路由，保证内网用户与外网互通16.#return17.检查配置结果内网用户和外网用户可以通过公网地址11.11.11.6正常访问内网服务器。

配置注意事项∙配置ACL，确定对哪些网段进行NAT转换。

如果用户只被分配到一个公网IP（11.11.11.6），并且只需要通过NAT转换某些协议报文，可做如下处理：∙在Router上配置Loopback口作为网关出口,配置Loopback口IP地址为11.11.11.6/8。

知道服务器的公网IP地址怎么查找内网服务器
有时候知道服务器的公网IP地址，怎么找到在内网是那台机器呢!在没有相关权限的情况下，可以使用下面店铺介绍的办法来找到是那台内网IP的服务器。

知道服务器的公网IP地址查找内网服务器的方法
先尝试使用ping看下是否会解析至内网的服务器上面。

测试结果如下，并没有直接找到目标，并没有相关的内网DNS服务。

那就使用tracert进行路由跟踪，找到相关的计算机名。

找到计算机名后，可以使用nbtstat –a 计算机名，此命令，根据计算机名，寻到相关的MAC地址。

再使用内网测试一下，看下是否有相关邮件服务。

使用telnet 命令，可直接进行测试一下。

看其测试的结果。

就知道已经是成功的了!到此就已经成功的通过域名，而找到服务器的内网的 IP 地址了。

END。

需求：内网PC通过公网IP访问内网服务器：ICMP请求：第一步：流量走向：R2 ICMP请求第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat outbound 3000 将数据包改为：，建立nat 会话表：s：转成第三步：R4收到的数据包，查路由表返给R3第四步：R3收到的数据包，匹配nat server ,将数据包改为建立nat会话表：d：转出从g0/0/0口发送给R1.第五步：R1收到ICMP请求包ICMP应答：第一步：R1 ICMP应答：第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat会话表：d：转出将数据包改为：第三步：R4收到的数据包，查路由表返给R3第四步：R3收到的数据包，匹配nat 会话表：s：转成，将数据包换成从g0/0/0口发送给R2.第五步：R2收到ICMP应答包。

完成整个ping的过程。

主要R3的配置如下：其余路由器都是基本配置#acl number 3000 //内网通过公网IP访问时outbound aclrule 10 permit ip source 0 destination 0acl number 3001 //用于流量策略的aclrule 20 permit ip source 0 destination 0 //icmp请求时匹配 rule 40 permit ip source 0 destination 0 //icmp应答是匹配#traffic classifier c1 operator orif-match acl 3001#traffic behavior b1redirect ip-nexthop policy p1classifier c1 behavior b1 //匹配acl的流量强制下一跳为authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$}e#<0`8bmE3Uw}%$%$local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip addresstraffic-policy p1 inbound // 内网接口的inbound方向应用#interface GigabitEthernet0/0/1ip addressnat server protocol icmp global inside nat outbound 3000 #。

内部主机通过公网地址访问内网服务器配置案例1组网拓扑实验拓扑如上图，内部服务器有个外部域名，内部通过同一个固定公网IP上网。

需求：要实现外部通过域名访问内部服务器，内部同样也能通过外部域名访问内部服务器。

2需求分析内部服务器通过在路由器上使用NAT server映射成公网地址供外部主机访问。

内部主机访问外部域名时经解析会成为公网地址，而到达服务器后根据源地址是内部地址直接回复，将不再通过公网地址回包。

3相关配置#acl number 2000 //定义内部上网的数据流rule permit source 192.168.1.0 0.0.0.255#int g0/0 //外网口ip address 100.100.100.2 24nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 wwwnat outbound 2000quitint e1/0 //内网接口ip address 192.168.1.1 24nat outbound 2000nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www //根据具体设备可配可不配，MSR全局有效则可以不配置ip route-static 0.0.0.0 0 100.100.100.14测试分析1、外部主机A访问内部服务器时A→WWW 经解析后A→100.100.100.2通过外网口进入路由器，匹配nat server后A→192.168.1.10，服务器回包192.168.1.10→A匹配默认路由从外网口出去100.100.100.2→A，访问成功。

2、内部主机访问服务器的外部域名192.168.1.2→WWW解析后为192.168.1.2→100.100.100.2，若内网口不做nat outbound则进入路由器后匹配nat server后192.168.1.2→192.168.1.10；服务器回包时直接192.168.1.10→192.168.1.2，访问不能成功；内网口配置了nat outbound后192.168.1.2→192.168.1.10经内网口送出后变为192.168.1.1→192.168.1.10，服务器回包时192.168.1.10→192.168.1.1进入路由器匹配nat server后为100.100.100.2→192.168.1.2，至此访问成功。

路由器内网PC通过公网IP访问映射的内网SERVER案例一、组网：二、问题描述：拓朴如上图，内网PC与内网所在的SERVER在同一个网段,现在内网SERVER 对公网用户提供WWW和FTP服务,在公网上有相应的域名。

现在要求内网PC可以同时通过公网域名、公网IP和私网IP来访问内网的这台SERVER。

三、过程分析：内网主机通过公网域名来访问映射的SERVER在AR路由器上都是通过NAT DNS-MAP来实现的，但不能同时通过公网IP和私网IP来访问SERVER。

如果在设备内网口配置NAT SERVER则可以把访问公网地址转换成私网地址，然后向SERVER 发起连接，但源地址还是内网主机的地址，此时SERVER给PC回应报文时就不会走路由器，直接发到了内网PC上，内网PC认为不是自己要访问的地址，会把这个报文丢弃，因此会导致连接中断。

如果让SERVER把报文回给路由器，路由器再根据NAT SESSION就可以正确转发给PC了。

四、解决方法：在内网接口配置一个NAT OUTBOUND 3000就可以了。

具体配置如下:1.增加一条source到destination的访问控制列表30002.在内网口应用列表30003.再做静态映射4.关掉内网口的快速转发表项[H3C]dis cu#sysname H3C#clock timezone gmt+08:004 add 08:00:00#cpu-usage cycle 1min#connection-limit disableconnection-limit default action denyconnection-limit default amount upper-limit 50 lower-limit 20#web set-package force flash:/http.zip#radius scheme system#domain system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!service-type telnet terminallevel 3service-type ftp#acl number 2000rule 0 permit source 192.168.1.0 0.0.0.255rule 1 deny#acl number 3000rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0#interface Aux0async mode flow#interface Ethernet1/0ip address 192.168.1.1 255.255.255.0nat outbound 3000nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp #interface Ethernet1/1ip address 200.0.0.2 255.255.255.0nat outbound 2000nat server protocol tcp global 200.0.0.2 ftp inside 192.168.1.2 ftp #interface Ethernet1/2#interface Ethernet1/3#interface Ethernet1/4#interface Ethernet1/5#interface Ethernet1/6#interface Ethernet1/7#interface Ethernet1/8#interface Ethernet2/0#interface Ethernet3/0#interface NULL0#FTP server enable#ip route-static 0.0.0.0 0.0.0.0 200.0.0.1 preference 60 #user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return[H3C]五、说明1、本案例适用于R系列、AR系列、MSR系列路由器。

公⽹访问内⽹实现（内⽹穿透）内⽹穿透是什么？内⽹穿透是把内⽹主机连接具有公⽹IP的设备，使得内⽹设备代理公⽹设备，易于 telnet、ssh、ftp等连接怎么实现内⽹穿透？frp采⽤c/s架构，内⽹穿透的⼯具有很多如花⽣壳net123ngrokfrp花⽣壳和nat123属于服务商提供的穿透所以会收取费⽤（⼀⽉40-50 / 128Kb）ngrok 和 frp 属于需要⼿动配置搭建的程序准备⼯作：1、带有公⽹地址的 VPS（例如公⽹地址为 111.111.222.111 ）：后边将会把内⽹的主机映射到这个 IP 地址2、内⽹主机（可联⽹）那该如何去做？这⾥演⽰内⽹windows下穿透成到公⽹linux主机的端⼝Linux端（server）：修改frps.inibind_port = 7000# 服务器端监听http请求的端⼝(由于80端⼝被nginx占⽤,因此指定其他端⼝)vhost_http_port = 81# 服务器⽤以显⽰连接状态的站点端⼝,以下配置中可以通过访问IP:7500登录查看frp服务端状态等信息dashboard_port = 7500# dashboard对应的⽤户名/密码dashboard_user = usedashboard_pwd = pwd# ⽇志⽂件路径#log_file = /root/net-ct/frp/frps.log# ⽇志记录错误级别,分为:trace, debug, info, warn, erro#log_level = warn# ⽇志保存最⼤天数#log_max_days = 3# 客户端连接校验码(客户端需与之相同)privilege_token = token123# heartbeat configure, it's not recommended to modify the default value# the default value of heartbeat_timeout is 90# heartbeat_timeout = 90# only allow frpc to bind ports you list, if you set nothing, there won't be any limit# privilege_allow_ports = 2000-3000,3001,3003,4000-50000# pool_count in each proxy will change to max_pool_count if they exceed the maximum value max_pool_count = 5# max ports can be used for each client, default value is 0 means no limitmax_ports_per_client = 0# authentication_timeout means the timeout interval (seconds) when the frpc connects frps # if authentication_timeout is zero, the time is not verified, default is 900sauthentication_timeout = 900# ⽀持外部访问的域名(需要将域名解析到IP)#subdomain_host = 由于github上有中⽂解释且解释的⽐较全⾯所以这边就不复述了启动：./frps -c ./frps.iniwindows端（client）：配置frpc.ini[common]server_addr = 41.91.143.88 #服务器地址server_port = 7000 #服务器开放连接的端⼝privilege_token = token123 #服务器tokenauth_token = auth_token[RDP]type = tcp #使⽤tcp连接local_ip = 127.0.0.1 #本地地址local_port = 3389 #穿透到的本地端⼝（远程桌⾯端⼝）remote_port = 7001 #开发到公⽹连接的端⼝启动：frpc.exe -c frpc.ini即可来实验下吧mstsc下服务器地址:7001 就可以了。

路由器映射内网ip[设置路由器内网ip映射教程详解]路由器映射内网ip如何在内网架设了一台web服务器，对应的内网ip为..1.是web服务器，tp-link系列路由器的默认管理地址为..0.1，账号admin密码admin登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添加新条目，端口映射的功能是用的比较多的，比如可以使用端口映射的功能将内网的web服务器发布到互联网上。

要实现这种功能，首先登入无线路由器管理界面，找到“转发规则-虚拟服务器”，然后在右侧点击“添加新条目”来添加一条新的映射。

通常的步骤就是嵌入一条端口映射规则服务端口号：就是在无线路由器wan口上关上的端口，这里以htp服务的80端口为基准。

ip地址：就是指态射至内网的主机ip。

协议：可以挑选tcp或者udp，如果你不晓得就是哪个，就挑选all。

状态：可以挑选生效或者失灵，预设就是生效。

常用服务端口号：可以挑选常用的服务，然后在服务端口号和协议的地方就可以自动核对。

可以参看windows之下常用的服务以及对应的端口这篇文章去介绍常用服务与对应的端口号。

设置顺利完成之后，页面留存，一条端口映射的设置即使顺利完成了，如下图右图：以下讲解几款市面主流品牌路由器的端口映射：1)tp-link路由器(以tp-linkr为基准)内网ip：..1.是web服务器，tp-link系列路由器的默认管理地址为..0.1，账号admin密码admin登录到路由器的管理界面，点击路由器的转发规则—虚拟服务器—添加新条目，如图1：端口映射设置如下：服务端口号核对80，如果核对为80-82则代表态射80、81、82端口，ip地址核对内网web服务器的ip地址..1.，协议设置为tcp,若对端口协议类型不介绍可以设置挑选为all，代表所有(包含tcp和udp)，状态必须设置为生效。

注意：常用服务端口号，是作为一种帮助提示的作用，不需要选择，然后单击保存，映射成功，如图2：2)d-link路由器(以d-linkdi+a为基准)内网..0.是一台ftp服务器，ftp服务端口默认为21，需要在路由器上映射21端口到内网的服务器上，设置如下：登陆路由器，默认的管理ip地址为..0.1账号admin密码为空。