内部主机通过公网地址访问内网服务器配置案例

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

H3C路由器内网用户通过域名访问内网服务器方法最近遇见的一个问题，客户内部网络中没有部署DNS服务器，而用户访问内网服务器时，需要通过申请的公网域名(对应客户网络出口路由的公网IP地址)访问内网服务器。

最后查了手册，产品手册中讲解了一种方法，就是用DNS-MAP 可以实现，下面把工程师发给我的这个文档分享一下，其中又讲解了另一种方法，最后我用了里面讲的“NAT和NAT Server 下发在内网网关接口”的这种方法给客户解决了问题，感谢提供这个文档的工程师，在此分享一下，希望对大家有所帮助。

一、组网需求：组网如图所示，内网中存在两台服务器分别对外提供www及ftp 服务，网关路由器公网接口上已下发nat server 配置。

DNS服务器位于公网，将两台服务器的对应的域名映射到公网出口地址202.38.1.1上，公网用户可以通过域名访问服务器。

要求：内网用户可以使用域名访问内网的两台服务器。

涉及产品：H3C SR6600路由器二、组网图：方案一：DNS-mapping 方案：在SR6600路由器上配置DNS map功能，可以建立域名-公网地址-公网端口号-服务协议的匹配表项。

当内网用户发出的DNS解析请求得到的DNS Server响应到达配置了NAT server 的公网出接口时192.168.1.1，接口上查找到DNS map表项后会将内网服务器的地址替换解析到的公网地址，主机就可以使用内网地址直接访问服务器。

方案二：利用NAT 和NAT Server 下发在内网网关接口上，使内网主机通过公网地址去访问服务器。

在不使用DNS-mapping的情况下，主机用域名访问服务器意味着主机必须能使用公网地址(202.38.1.1)去访问内网服务器。

通过将NAT和NATServer 配置下发在内网网关接口上可以满足该应用(原先下发在公网接口上的nat server 配置是为了满足公网用户访问的，该部分配置不变)。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

由于局域网一般是某一区域内互联的计算机组，也叫做内网。

很多人在建立网站的想要在两个不同局域网之间实现通信，给大家介绍一些简单的操作方法。

我们需要借助一台具有公网IP 的服务器进行牵线搭桥。

为了便于说明，先假设这里有两台位于不同局域网内的主机A 和主机B，以及一台具有公网IP 地址的服务器。

想在这两台主机间实现通信，具体的实现方法为：1）A 和B 分别连接到服务器，这时，服务器将它们的外网IP 和经过转换后的端口号（IP 地址和端口号合称套接字，下面就用套接字来代替）存储起来。

2）A 向服务器发送请求获取B 的套接字，再根据获取的信息发送数据包给B。

B 收到A 发来的数据包后，由于在它的数据结构中查询不到对应的记录，数据包将会被丢弃。

当然，B 此时完全接收不到A 发来的信息。

3）A 向服务器发送消息，告知服务器自己已经向B 发送了数据包。

于是，服务器开始向B 发送消息，通知它A 想和其建立连接，并将A 的套接字发给B。

此时，B 根据得到的A 的套接字，再向A 发送数据包。

由于A 事前已经向B 发送过数据包，在A 的数据结构中留存有记录，因此，A 将能够成功接收到B 的数据包。

4）A 接收到B 发来的数据包后，可以再向B 发送数据包。

同样，由于B 此前向A 发送过数据包，在B 的数据结构中留有记录，因此现在B 也能够成功接收A 发来的数据包了。

至此，不同局域网内的主机A 和主机B 就可以自由通信了。

如果是外网访问局域网的话，也可以配合网云穿内网穿透软件，然后再添加免费映射端口，并且配置映射端口的信息，配置信息启动隧道后，网云穿会自动生生一个映射地址，可以在wai网直接输入映射地址访问内网应用。

通过内网穿透，可以用域名进行对应的内网应用。

关于局域网穿透的操作方法给大家介绍这么多了，更多的信息我们会继续为大家分享。

ssh 使用新法：公网(合法 ip)用户访问内网(私有 ip)服务器[ZZ]Hwind @ 2005-12-01 09:31[ZZ]from ssh 使用新法：公网(合法 ip)用户访问内网(私有 ip)服务器(http,ftp,sshd,cvs...),内网的朋友不妨一看内网的朋友苦于没有合法 ip,不能对外提供 internet 服务。

解决方案很多，可以通过在网关做端口映射，或其他的辅助软件等。

本文介绍两种比较简单实用的方法，利用 ssh 这个强大的工具。

(以下方法不分平台，都适用)案例一、内网主机 A ,开了 http,ftp ,http ,vnc,sshd,socks5,cvs 等服务。

无合法 ip 地址。

外网主机 B ,开了 sshd 服务。

有合法 ip : 218.xxx.xxx.xxx我们的目的是让 B 能访问 A 上的各种服务。

步骤：1、A 知道 B ip 后，先用 ssh client 连上 B，命令如下：ssh -R 1234:localhost:21 -l root 218.xxx.xxx.xxx解释：关于 ssh 的参数，请看 ssh --help-L listen-port:host:port Forward local port to remote address-R listen-port:host:port Forward remote port to local address-L local (本地) -R ：remote (远程)-R 1234:localhost:21 其实做了个“端口转发(forward)"。

意思是主机 A 把本地的 21端口(对应ftp服务)映射为 B 的1234 端口(任意未被占用)，同时 A 监听 B 的1234 端口。

在 B 上用 netstat -al | grep 1234 ，你能看到这个监听连接。

任何发送到 B 1234 端口的请求将被传送到 A的 21 端口。

外网访问内网服务解决方案外网访问内网服务是指通过公共网络（如互联网）访问局域网或私有网络中的服务。

通常情况下，内网服务是不直接暴露在外网的，这是为了保护内网服务的安全性。

然而，有时候我们需要从外部访问内部的服务，这会带来一些挑战。

下面是一些常见的外网访问内网服务的解决方案。

1. VPN（Virtual Private Network，虚拟专用网络）： VPN可以为用户提供一个通过公共网络访问受限网络的安全通道。

用户可以在外部计算机上建立VPN连接，然后通过该连接访问内网服务。

VPN采用加密技术来保护数据的安全性，在访问内网服务时提供了一定的安全保障。

2. 端口映射（Port Forwarding）：端口映射是一种在公共网络和私有网络之间建立通信的方式。

通过将公共网络中的特定端口与内网中的服务端口进行映射，用户可以通过公共网络访问内网服务。

这需要在网络设备上进行配置，将公共网络的请求转发到对应的内网服务。

端口映射可以通过路由器、防火墙或者专用的映射软件来实现。

3. 反向代理（Reverse Proxy）：反向代理是一种通过在公共网络和内网之间建立代理服务器的方式来访问内网服务。

当用户通过公共网络请求访问特定的地址时，反向代理服务器接收到请求后会将请求转发到内网服务，并将内网服务的响应返回给用户。

反向代理可以配置访问控制和安全策略，提供更加安全的外网访问内网服务的方式。

4. SSH（Secure Shell）隧道： SSH隧道是通过SSH协议在公共网络和内网之间建立安全通道的一种方式。

用户可以在外部计算机上通过SSH协议建立连接，并通过隧道将公共网络的请求转发到内网服务。

SSH隧道可以通过端口映射或者动态端口转发进行配置，提供了一种安全且可靠的外网访问内网服务的方式。

5.使用云服务提供商的解决方案：云服务提供商通常提供一些工具和服务，可以帮助用户将内网服务暴露在公共网络上。

例如，一些云服务提供商提供了VPN网关，用户可以通过该网关将公共网络请求转发到内网服务；还有一些提供了负载均衡和反向代理的服务，用户可以将内网服务注册在云服务提供商的负载均衡器或者反向代理服务器上，实现外网访问内网服务。

内网用户通过域名或公网IP访问内部服务器的解决办法一．内网用户和内网服务器不在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户不在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现内网用户通过公网地址访问服务器的配置，即在E0/0口做和E0/2口一样的nat server的配置。

Interface ethernet 0/0nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 wwwB．实现内部用户通过域名访问服务器的配置nat dns-map 202.103.1.1 tcp3．注意事项如果用户并不想使用公网地址访问公网地址访问服务器，可以不用做nat server的配置，直接配“nat dns-map 192.168.2.2 tcp”即可。

二．内网用户和内部服务器在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现同网段的内网用户通过公网地址访问WEB服务器#定义一个ACLacl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255#在E0/0端口配置nat servernat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www#在E0/0端口配置nat outbound//注意，这里的nat outbound必须做Interface Ethernet 0/0ip address 192.168.1.1 255.255.255.0nat outbound 3001B．实现同网段的内网用户通过域名访问WEB服务器在A的配置的基础上添加如下的命令nat dns-map 202.103.1.1 tcp3．注意事项这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。

公网(Internet)访问局域网内部主机的实现方法深圳市宏电技术开发有限公司宏电公司H7000 GPRS 无线DDN 系统在有些情况下需要通过Internet 接入数据中心服务器，很多公司通常也有一台服务器并有固定IP 地址。

但是考虑到服务器的稳定运行问题通常不允许在服务器上安装其他应用软件，所以H7000 GPRS 数据中心系统也不允许安装在该服务器上，为了解决这一问题，可在服务器上进行必要的设置，以便GPRS DTU 的数据经过Internet 传输以后能够传输到局域网内某台装有H7000 GPRS 数据中心软件的主机。

此外，由于公网IP 地址有限，不少ISP 都采用多个内网用户通过代理和网关路由共用一个公网IP 上Internet 的方法，这样就限制了这些用户在自己计算机上安装数据中心，为了在这些用户端安装数据中心软件，最关键的一点是，怎样把多用户的内网IP 和一个他们唯一共享上网的公网IP 地址进行映射，就像在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对公网来说，你还是只有一个外部的IP 地址。

怎样把公网的IP 映射成相应的内网IP 地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP 地址的用户也就是说这是我们的接入ISP 服务商(中国电信、联通、网通、铁通等)应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能。

除此之外，WinRoute Pro 也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server 最为方便。

先来介绍一下NAT ，NAT(网络地址转换)是一种将一个IP 地址域映射到另一个IP 地址域技术，从而为终端主机提供透明路由。

内部主机通过公网地址访问内网服务器配置案例1组网拓扑实验拓扑如上图，内部服务器有个外部域名，内部通过同一个固定公网IP上网。

需求：要实现外部通过域名访问内部服务器，内部同样也能通过外部域名访问内部服务器。

2需求分析内部服务器通过在路由器上使用NAT server映射成公网地址供外部主机访问。

内部主机访问外部域名时经解析会成为公网地址，而到达服务器后根据源地址是内部地址直接回复，将不再通过公网地址回包。

3相关配置#acl number 2000 //定义内部上网的数据流rule permit source 192.168.1.0 0.0.0.255#int g0/0 //外网口ip address 100.100.100.2 24nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 wwwnat outbound 2000quitint e1/0 //内网接口ip address 192.168.1.1 24nat outbound 2000nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www //根据具体设备可配可不配，MSR全局有效则可以不配置ip route-static 0.0.0.0 0 100.100.100.14测试分析1、外部主机A访问内部服务器时A→WWW 经解析后A→100.100.100.2通过外网口进入路由器，匹配nat server后A→192.168.1.10，服务器回包192.168.1.10→A匹配默认路由从外网口出去100.100.100.2→A，访问成功。

2、内部主机访问服务器的外部域名192.168.1.2→WWW解析后为192.168.1.2→100.100.100.2，若内网口不做nat outbound则进入路由器后匹配nat server后192.168.1.2→192.168.1.10；服务器回包时直接192.168.1.10→192.168.1.2，访问不能成功；内网口配置了nat outbound后192.168.1.2→192.168.1.10经内网口送出后变为192.168.1.1→192.168.1.10，服务器回包时192.168.1.10→192.168.1.1进入路由器匹配nat server后为100.100.100.2→192.168.1.2，至此访问成功。

分享外⽹访问内⽹服务器的⽅法⼤家对外⽹和内⽹的认知是什么?⼩编给⼤家举⼀个简单的例⼦，⽐如在学校，内⽹是专门给学校区域内的学⽣进⾏连接使⽤的，离开了学校的⽹络覆盖区域是不能使⽤的。

⽽外⽹是离开了学校区域依旧能使⽤的⽹址。

接下来，⼩编为⼤家介绍⼀下外⽹如何访问内⽹服务器。

操作步骤盘点： 1、想要使⽤外⽹访问内⽹，⾸先要在⾃⼰的电脑上安装被访问端的内⽹的远程协助，⽽且要确定是开启了协助管理的。

确定了下载安装了远程协助之后，要修改⼀下默认远程端⼝的密码，要将账号和密码重新进⾏设置，最好是设置⼀些难度⽐较⼤的，不容易被⼈破解的密码。

2、现在开始对桌⾯的内⽹远程进⾏测试。

试试内⽹的地址能不能在⾃⼰的局域⽹内使⽤，看看能不能正常的进⾏远程的访问。

主要就是将内⽹的远程桌⾯地址发送出去，发送到外⽹的反射区，查看⼀下有没有接收到信号和反射。

3、接下来需要在内⽹⾥使⽤⽹云穿的映射⽅式来进⾏添加映射。

要选择⼀个⾮⽹站的映射类型。

⽽且内⽹的地址是需要被远程的内⽹IP的，端⼝也是内⽹远程的端⼝。

⼀般会有提⽰的，跟着提⽰就可以了。

4、内外⽹映射后，就可以查看状态了。

能不能访问都会在状态上显⽰出来的。

然后进⾏⼀个远程桌⾯的连接，就可以完成外⽹访问内⽹了。

主要是要打开远程控制和远程连接才能起到访问的效果。

⼀般步骤就是下载远程客户端，和知道内⽹的⽹址和密码，接下来⾃⼰也要设置⼀个难度⽐较⼤的密码，预防在访问的过程中被⼈盗取密码。

访问结束之后，要断开连接。

⼏乎所有的外⽹都是这样进⾏内⽹访问的。

远程控制两个服务器就可以实现访问。

外⽹如何访问内⽹，⼤家学会了吗?外⽹访问内⽹服务器其实也不算复杂，但是要安装⼀些访问软件才可以使⽤，不是随随便便的⼈都可以使⽤外⽹访问内⽹的。

⼀般来说，外⽹需要和内⽹有联系才可以被访问。

外⽹和内⽹的设置原本就是为了避免被外界的⼈⼲扰⽹络使⽤。

外⽹访问成功之后也要记得设置强度⽐较⾼的密码，预防被⼈盗取密码使⽤⽹络。

图1 配置NAT使内网和外网用户通过外网IP访问内网服务器示例组网图操作步骤1.Router的配置2.#3.a cl number 3000 //用于内部主机直接使用11.11.11.6访问服务器，只有内网发起的服务才会在GE1/0/0上进行NAT4.rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 05.#6.i nterface GigabitEthernet1/0/07.i p address 192.168.1.1 255.255.255.08.n at static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255 //配置内网服务器地址的一对一NAT9.n at outbound 3000 //内网用户直接访问11.11.11.6时做Easy IP，将源地址改为GE1/0/0的地址,保证内网服务器和主机间的交互都经过Router转发10.#11.interface GigabitEthernet2/0/012.ip address 11.11.11.1 255.0.0.013.nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255 //保证外网用户使用11.11.11.6可以访问内网服务器14.#15.ip route-static 0.0.0.0 0.0.0.0 11.11.11.2 //配置缺省路由，保证内网用户与外网互通16.#return17.检查配置结果内网用户和外网用户可以通过公网地址11.11.11.6正常访问内网服务器。

配置注意事项∙配置ACL，确定对哪些网段进行NAT转换。

如果用户只被分配到一个公网IP（11.11.11.6），并且只需要通过NAT转换某些协议报文，可做如下处理：∙在Router上配置Loopback口作为网关出口,配置Loopback口IP地址为11.11.11.6/8。

配置NAT实现外网主机访问内网服务器1、实验目的掌握NAT源地址转换和目的地址转换的区别，掌握如何向外网发布内网的服务器2、背景描述你是某公司的网络管理员，公司只向ISP申请了一个公网ip地址，现公司的网站在内网要求在互联网也可以访问公司网站，172.16.8.5是web服务器的ip地址。

3、需求分析内网服务器能够转换成外网公网ip，被互联网访问。

4、实验设备路由器2台V35线缆1条Pc机1台直连线1条5、实验原理NAT（网络地址转换或内部网络地址翻译），是指将网络地址从一个地址空间转换为另一个地址空间的行为。

NAT将网络划分为内部网络（inside）和外部网络（outside）两部分。

局域网主机利用NAT访问网络时，是将局域网内部的本地地址转换为了全局地址（互联网合法ip 地址）后转发数据包。

NAT分为两种类型：NA T(网络地址转换)和NAPT（网络地址端口转换）。

NAT是实现转换后一个本地ip地址对应一个全局地址。

NAPT是实现转换后多个本地ip地址对应一个全局ip地址。

目前网络中由于公网ip地址紧缺，而局域网主机数较多，因此一般使用动态NAPT实现局域网多台主机公用一个或少数几个公网ip访问互联网。

6、实验步骤第一步：基本配置Router1（config）#hostname lan-routerLan-router(config)#interface fa 1/0Lan-router(config-if)#ip address 172.16.8.1 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exitLan-router(config)#int serial 1/2Lan-router(config-if)#ip address 200.1.8.7 255.255.255.0Lan-router(config-if)#no shutdownLan-router(config-if)#exitinternet-router(config)#int fa 1/0internet-router(config-if)#ip address 63.19.6.1 255.255.255.0internet-router(config-if)#no shutdowninternet-router(config-if)#exitinternet-router(config)#int serial 1/2internet-router(config-if)#ip address 200.1.8.8 255.255.255.0internet-router(config-if)#clock rate 64000internet-router(config-if)#no shinternet-router(config-if)#endLan-router(config)#ip route 0.0.0.0 0.0.0.0 serial 1/2第二步：配置反向NA T映射Lan-router(config)#int fa 1/0Lan-router(config-if)#ip nat insideLan-router(config-if)#exitLan-router(config)#int serial 1/2Lan-router(config-if)#ip nat outsideLan-router(config)#exitLan-router(config)#ip nat pool web_server 172.16.8.5 172.16.8.5 netmask 255.255.255.0 //定义内网服务器地址池Lan-router(config)#access-list 3 permit host 200.1.8.7//定义外网的公网ip地址Lan-router(config)#ip nat inside destination list pool web_server//将外网的公网ip地址转换为web服务器地址Lan-router(config)#ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80//定义访问外网ip的80端口时转换为内网的服务器ip的80端口第三步：验证测试1、在内网主机配置web服务2、在外网的1台主机通过ie浏览器访问内网的web服务器3、查看路由器的地址转换记录Lan-router#sh ip nat translations。

光纤链路排错经验一、组网：用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网，4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接，在这5个机房再通过跳纤来连接到交换上。

用户要求实现内网的用户主机访问公共服务器资源，并实现全网互通。

组网如下图所示：二、问题描述：PC现无法访问server服务器，进一步发现S5500光纤端口灯不亮，端口信息显示down状态。

在核心交换机端通过自环测试发现该端口以及光模块正常，接入交换机端也同样测试发现正常。

监控网络正常使用，再将网络接口转接到监控主干链路上，发现网络同样无法正常使用。

三、过程分析：想要恢复链路，首先要排查出故障点，根据故障点情况结合实际恢复链路通畅。

在这里主要分析光纤通路，光信号从接入交换机光口出来通过跳线，转接到主干光纤，然后再通过核心跳线转接到核心交换上。

由于该链路不通，首先要排除两端接口以及光模块问题，这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环，防止烧坏光模块)。

当检测完成发现无问题，再测试接入端的光纤跳纤：如果是多模光纤可以将一端接到多模光纤模块的tx口，检测对端是否有光；单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路，并不能检测出线路光衰较大的情况)。

最后再检测主线路部分，检测方式同跳线一样。

光路走向流程如图所示：四、解决方法：从上述的分析可以看出，只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。

为了保证光路正常通路，最好的解决方法就是，通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。

由于用户组网使用了一些监控设备来接入该主干光缆，并且该光路现正常使用，通过将网络光纤转接到该监控主干光缆，发现网络光路仍然不通；并且两端端口自环检测正常。

由此可以判断出主要问题在两端的跳纤上。

如图所示：在没有光功率计并且客户业务又比较着急恢复的情况，可以先将两端的接入跳纤更换。

知道服务器的公网IP地址怎么查找内网服务器
有时候知道服务器的公网IP地址，怎么找到在内网是那台机器呢!在没有相关权限的情况下，可以使用下面店铺介绍的办法来找到是那台内网IP的服务器。

知道服务器的公网IP地址查找内网服务器的方法
先尝试使用ping看下是否会解析至内网的服务器上面。

测试结果如下，并没有直接找到目标，并没有相关的内网DNS服务。

那就使用tracert进行路由跟踪，找到相关的计算机名。

找到计算机名后，可以使用nbtstat –a 计算机名，此命令，根据计算机名，寻到相关的MAC地址。

再使用内网测试一下，看下是否有相关邮件服务。

使用telnet 命令，可直接进行测试一下。

看其测试的结果。

就知道已经是成功的了!到此就已经成功的通过域名，而找到服务器的内网的 IP 地址了。

END。

需求：内网PC通过公网IP访问内网服务器：ICMP请求：第一步：流量走向：R2 ICMP请求第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat outbound 3000 将数据包改为：，建立nat 会话表：s：转成第三步：R4收到的数据包，查路由表返给R3第四步：R3收到的数据包，匹配nat server ,将数据包改为建立nat会话表：d：转出从g0/0/0口发送给R1.第五步：R1收到ICMP请求包ICMP应答：第一步：R1 ICMP应答：第二步：R3收到，匹配流量策略，直接丢到g0/0/1出去，出接口是匹配nat会话表：d：转出将数据包改为：第三步：R4收到的数据包，查路由表返给R3第四步：R3收到的数据包，匹配nat 会话表：s：转成，将数据包换成从g0/0/0口发送给R2.第五步：R2收到ICMP应答包。

完成整个ping的过程。

主要R3的配置如下：其余路由器都是基本配置#acl number 3000 //内网通过公网IP访问时outbound aclrule 10 permit ip source 0 destination 0acl number 3001 //用于流量策略的aclrule 20 permit ip source 0 destination 0 //icmp请求时匹配 rule 40 permit ip source 0 destination 0 //icmp应答是匹配#traffic classifier c1 operator orif-match acl 3001#traffic behavior b1redirect ip-nexthop policy p1classifier c1 behavior b1 //匹配acl的流量强制下一跳为authentication-scheme defaultauthorization-scheme defaultaccounting-scheme defaultdomain defaultdomain default_adminlocal-user admin password cipher %$%$}e#<0`8bmE3Uw}%$%$local-user admin service-type http#firewall zone Localpriority 15#interface GigabitEthernet0/0/0ip addresstraffic-policy p1 inbound // 内网接口的inbound方向应用#interface GigabitEthernet0/0/1ip addressnat server protocol icmp global inside nat outbound 3000 #。

统一用外网地址访问内网服务器的设置统一使用外网地址访问内网服务器的设置，是一种常见的网络架构需求。

在这种架构下，内网服务器位于企业内部网络中，而外部用户需要通过互联网来访问内网服务器。

这样的设置通常会提供更高的灵活性和可访问性，但也会带来一些安全风险。

在进行这样的设置时，需要考虑网络安全和访问控制的需求，以确保内网服务器的安全性。

以下是一些常见的步骤和建议来实现统一使用外网地址访问内网服务器的设置：1.连接内网服务器和外网网络：确保内网服务器已经正确连接到外网网络。

这可以通过设置内网服务器的默认网关为外网路由器的IP地址来实现。

确保内网服务器能够正常与外网进行通信。

2.配置网络地址转换（NAT）：使用网络地址转换（NAT）技术，将外网地址映射到内网服务器的私有IP地址。

这样，外部用户可以通过访问外网地址来访问内网服务器。

可以使用路由器或防火墙来配置NAT规则，根据端口或应用程序类型将外网请求转发到内网服务器。

3. 配置端口转发：如果内网服务器提供了多个服务（如Web服务器、FTP服务器等），可以通过配置端口转发将外部用户的请求转发到适当的内网服务器端口。

例如，将外部访问的80端口转发到内网服务器的80端口，将外部访问的21端口转发到FTP服务器的21端口。

4.配置域名解析：将外网地址和内网服务器的IP地址进行关联，可以通过域名解析来实现。

在域名解析服务商处添加相应的DNS记录，将外网地址解析到内网服务器的IP地址。

这样，外部用户可以使用域名来访问内网服务器。

5.防火墙配置：配置防火墙以限制外部用户的访问。

只允许特定的IP地址或IP地址范围访问内网服务器。

可以使用网络防火墙来配置访问规则，例如使用访问控制列表（ACL）来限制访问，或使用入侵检测/预防系统（IDS/IPS）来监控异常行为和攻击。

6.使用安全协议：对于一些敏感的数据传输，如登录信息、信用卡信息等，建议使用加密通信协议，如HTTPS或SSL/TLS来保护数据的安全传输。

AR 配置域内nat/nat 回流/内网中用公网ip访问内网服务器AR 配置域内nat/nat 回流/内网中用公网ip访问内网服务器1.首先配置端口映射：IP业务—nat---内部服务器，保存2.获取当前配置：a)Web方式i.右上角保存ii.系统管理 > 升级维护 > 设备重启，单击“导出配置文件”，备份当前配置文件到本地计算机b)命令行方式i.Console登陆：/enterprise/KnowledgebaseReadAction.action?contentId=KB1000057112http://sup/enterprise/KnowledgebaseReadAction.action?contentId=KB1000057112 ii.telnet登陆：1. 用户管理 > 用户管理，编辑对应用户，添加telnet类型2. 系统管理 > 系统配置 > 服务管理，开启telnet服务iii. 执行命令dis curr，显示配置，多按几次空格3.确定外网口和内网口a)查看自己的接口名称：dis ip int briefb)静态ip、动态ip上网的，看GigabitEthernet 或Ethernet开头的，有公网ip的接口c)拨号上网的，dialer xx 是公网口d)内网口，看接口的ip为192.168.x.x或172.16.x.x.或10.x.x.x4.挑出外网口及内网口的配置【举例】假设G0外网，vlanif1内网（或其他三层口，有ip的接口）被映射的主机ip是192.168.1.10acl 2100rule permit source 192.168.1.0 0.0.0.255外网口：int g0/0/0nat server protocol tcp global current-interface 8080 inside 192.168.1.10 8080nat outbound 2100ip address 200.1.1.1 30内网口：int vlanif 1Ip address 192.168.1.1 245.此时，在服务器正常服务时，公网可以正常访问到内网服务器。