实现内网通过公网域名访问NAT映射的内网服务器

内网用户通过域名或公网IP访问内部服务器的解决办法统而言之，通常出现在定义内部用户NAT访问互联网与定义服务器为同一网段、同一区域、同一网络设备的网络环境，因为这样会使报文来回的路径会不一致或其它原因，导致访问中断。

一、思科设备示例1.1 Router示例Router(config)# interfacee0/0Router(config-if)#ip add 192.168.1.1 255.255.255.0Router(config-if)#ipnat insideRouter(config)# interfacee0/1Router(config-if)#ip add 202.101.1.46 255.255.255.248Router(config-if)#ipnat outsideRouter(config)# ipnat inside source static tcp 192.168.1.100 80202.101.1.45 80Router(config)# access-list1 permit 192.168.1.0 0.0.0.255Router(config)# ipnat inside source list 1 interface e0/1 overloadRouter(config)# iproute 0.0.0.0 0.0.0.0 202.101.1.41Router(config)#ipdns serverRouter(config)#ip domain-lookupRouter(config)#ip name-server 202.101.172.46Router(config)#ip host 192.168.1.100内部网络主机的DNS配置成192.168.1.11.2 Firewall示例A方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255access-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ousidealias (inside)192.168.1.100 202.101.1.45 255.255.255.255注意事项：某些FirewallIOS版本下，命令或不可成功，在policy-map添加一条命令即可：policy-mapglobal_policyclassinspection_defaultinspectdns maximum-length 512B方法：static(inside,outside ) 202.101.1.45 192.168.1.100 netmask255.255.255.255dnsaccess-list 100extended permit tcp any host 202.101.1.45 eq 80access-group 100 in interface ouside二、华为与华三设备示例[h3c] interface ethernet0/0/0[h3c-ethernet0/0/0]ip address 202.101.1.45 255.255.255.248[h3c-ethernet0/0/0]nat outbound 2000[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 www inside192.168.1.100 www[h3c-ethernet0/0/0]nat server protocol tcp global 202.101.1.45 ftp inside192.168.1.100 ftp[h3c-ethernet0/0/0]quit[h3c] acl number 2000[h3c-acl-basic-2000]rule 0 permit source 192.168.1.0 0.0.0.255[h3c-acl-basic-2000]rule 1 deny[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] ip address 192.168.1.1 255.255.255.0[h3c]natdns-map www. 202.101.1.45 80 tcp[h3c]natdns-map ftp. 202.101.1.45 21 tcp注意事项：较早的系统版本可能没有natdns-map命令，可参照如下配置：[h3c] acl number 3000[h3c-acl-basic-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.100 0.0.0.0[h3c] interface ethernet1/0/0[h3c-ethernet1/0/0] nat outbound 3000[h3c-ethernet1/0/0]nat server protocol tcp global 202.101.1.45 www inside 192.168.1.100 www三、天融信设备示例企业WEB服务器（IP：172.16.1.2）通过防火墙MAP为202.99.27.201对内网用户提供WEB服务，网络示意图如下如上图所示，管理主机和WEB服务器同样处于网段172.16.1.0/24。

实现内网通过外网域名访问NAT映射的内网服务器大家都知道在用Huawei的中低端路由器做NAT地址映射时只能支持“外网访问”不支持“内网访问”。

也就是说只支持NAT映射后外网IP通过外网域名（外网IP）访问NAT映射的服务器，不支持NAT映射后内网IP通过外网域名（外网IP）访问NAT映射的服务器，而在实际应用中实现后者还是很有意义的，相信遇到这个问题各位800的兄弟还是可以听到用户说：“三四百块的东西能支持的，这么贵的华为设备居然不支持#￥%！”不知以何言以对好啊！用户当然也会问有没有实现的方法啊！想了个方法供大家参考，也做了实验是可以实现的,但目前这个方法实现的前提是需要NAT必需是以地址池做的。

(原因是在做实验时,发现当策略匹配到的目的地址是路由器本身的接口地址时,策略不会被匹配! 所以如果将10.153.2.115设为ETH0的接口地址，做nat outbound interface的话,去往10.153.2.115的IP包就不会被重定向到next-hop 192.168.0.33了.)以上图拓扑为例：1.FTP server通过路由器的NAT映射对外网提供FTP 服务。

2.内网用户通过外网域名（外网IP）来访问FTP server 。

配置路由器如上图:1.在路由器上做策略路由把192.168.0.0/24 访问10.153.2.115这个地址的IP包的next-hop重定向到FTP server 192.168.0.33。

路由器配置如下: [Router]!version 1.74nat address-group 10.153.2.115 10.153.2.115 115info-center consolefirewall enableaaa-enableftp-server enable!acl 1 match-order autorule normal permit source 192.168.0.0 0.0.0.255!acl 188 match-order autorule normal permit ip source 192.168.0.0 0.0.0.255 destination 10.153.2.1150.0.0.0rule normal deny ip source any destination any!interface Aux0async mode flowlink-protocol ppp!interface Ethernet0ip address 10.153.2.210 255.255.255.0nat outbound 1 address-group 115nat server global 10.153.2.115 ftp inside 192.168.0.33 ftp tcp!interface Ethernet1ip address 192.168.0.1 255.255.255.0ip policy route-policy heihei!route-policy heihei permit 1if-match ip address 188apply ip next-hop 192.168.0.33quit!ip route-static 0.0.0.0 0.0.0.0 10.153.2.1 preference 60!return2.在FTP server上建立一个loopback虚拟口，将这个loopback口的IP设成跟路由器上的NAT映射IP一样的地址。

ddnsto 原理
DDNSTO是一种基于UDP穿透技术的内网穿透工具，可以帮助用
户在不同网络环境下实现内网穿透。

其原理主要包括以下几个方面：
1. UDP穿透，DDNSTO利用UDP协议进行通信，通过在UDP包中
封装数据，可以实现穿透NAT，将内网的UDP数据包发送到公网上，从而实现内网穿透。

2. 服务端和客户端，DDNSTO包括服务端和客户端两部分。

服
务端部署在公网服务器上，客户端部署在内网主机上。

当客户端需
要对外提供服务时，会向服务端注册，并通过服务端分配的域名和
端口进行通信，从而实现内网穿透。

3. 动态域名解析，DDNSTO使用动态域名解析技术，通过向DDNSTO服务器注册域名，并将域名与客户端的公网IP地址进行绑定，实现动态IP地址的映射，使得内网主机可以通过域名进行访问。

4. 心跳机制，DDNSTO客户端和服务端之间通过心跳机制保持
连接，确保在网络环境发生变化时能够及时调整内网穿透的配置，
保证通信的稳定性。

总的来说，DDNSTO利用UDP穿透技术和动态域名解析，通过服务端和客户端之间的通信和心跳机制，实现内网穿透并提供稳定的访问服务。

这样，用户就可以在不同网络环境下方便地实现内网穿透，访问内网资源。

路由器的端口映射与NAT设置方法随着互联网的普及，我们逐渐离不开路由器。

路由器作为连接多个设备的中心，扮演着至关重要的角色。

在使用路由器过程中，经常会遇到需要进行端口映射与NAT设置的情况。

本文将详细介绍路由器的端口映射与NAT设置方法，希望能给读者带来帮助。

一、什么是端口映射与NAT在了解端口映射与NAT的设置方法之前，我们首先需要了解什么是端口映射与NAT。

1.1 端口映射端口映射是一种将路由器或者防火墙的公网IP地址映射到局域网中某台设备的特定端口上的技术。

通过端口映射，外部网络就可以通过路由器访问局域网内的设备，实现设备间的通信。

1.2 NATNetwork Address Translation（网络地址转换），简称NAT，是一种在IP数据包从一个网络传输到另一个网络时，修改IP地址信息的技术。

通过NAT，局域网中的设备可以使用路由器的公网IP地址进行互联网访问。

二、端口映射与NAT设置方法2.1 登录路由器管理界面在进行端口映射与NAT设置之前，首先需要登录路由器的管理界面。

通常情况下，我们可以在浏览器中输入默认网关的IP地址，在弹出的登录界面中输入正确的用户名和密码进行登录。

2.2 端口映射设置端口映射的设置方法因路由器品牌和型号而异，但大致步骤如下：步骤一：在路由器管理界面中找到“端口映射”或类似的选项，点击进入。

步骤二：选择“添加映射规则”或类似的选项，进行新的映射规则设置。

步骤三：填写映射规则的相关信息，包括外部端口和内部端口。

外部端口指的是互联网上对外服务的端口，而内部端口则是局域网设备的端口。

步骤四：保存设置并重启路由器，使端口映射生效。

2.3 NAT设置NAT的设置方法与端口映射类似，具体步骤如下：步骤一：在路由器管理界面中找到“NAT设置”或类似选项，点击进入。

步骤二：选择“开启NAT”或类似的选项，使NAT功能生效。

步骤三：根据个人需求，对NAT相关选项进行配置，如IP地址转换类型、端口转换等。

实验13 利用静态NAT 实现外网主机访问内网服务器一、实验环境:1. 建立如下的实验拓扑二.基本参数配置RA 路由器配置命令列表conf thostname RAinterface f1/0ip address 192.168.11.1 255.255.255.0exitinterface S1/2enc pppip address 201.2.6.5 255.255.255.0exitip route 0.0.0.0 0.0.0.0 201.2.6.6Internet 路由器配置命令列表：conf tHostname Internet.2 .2 .3interface f1/0ip address 211.69.11.1 255.255.255.0exitinterface S1/2enc pppclock rate 64000ip address 201.2.6.6 255.255.255.0exitip route 0.0.0.0 0.0.0.0.201.2.6.5声明NAT内外部接口：指定内部端口：RA(config)#interface f 1/0RA(config-if)#ip nat inside指定外部端口：RA(config)#interface s1/2RA(config-if)#ip nat outside采用静态映射发布内网中的WWW、FTP服务器RA(config)#ip nat inside source static tcp 192.168.11.2 80 201.2.6.33 80 RA(config)#ip nat inside source static tcp 192.168.11.2 21 201.2.6.33 21 RA(config)#ip nat inside source static tcp 192.168.11.2 20 201.2.6.33 20 也可以使用简单映射方式：RA(config)#ip nat inside source static 192.168.11.2 201.2.6.33采用OVERLOAD方式实现对外部网络的访问RA(config)#access-list 10 permit 192.168.11.0 0.0.0.255RA(config)#ip nat inside source list 10 intface s1/2三、配置验证1.在路由器上使用命令：show ip nat translations //查看动态转换信息show ip nat staticsics //查看静态转换信息查看NA T转换情况。

Cisco ASA Hairpinning解决内网使用公网IP访问内部的服务器ASA防火墙内网PC通过公网IP访问DMZ区服务器此问题在以前的华三防火墙上也有遇到过，这次是在cisco防火墙上，因为彭博自建行情那个地址需要这么转换。

就在网络上抄一下，按照下面的配置即可。

说来挺拗口，是大部分人都会遇到的问题。

特别是没有使用单独的DMZ区对外发布服务器的人必须面对的问题。

情景说明：通过Cisco ASA 5520 防火墙，使用公网IP 8.8.8.8（outside），发布了一台WEB服务器，其私网IP是192.168.1.8(inside)。

希望实现的目标：公司内部(位于inside)用户计算机，想使用公网IP 8.8.8.8（或解析成公网IP的域名）访问这台（位于inside）WEB服务器。

默认情景下，公司内部inside计算机无法通过公网IP访问到这台inside服务器。

因为思科的防火墙不允许inside进来的流量，未经其它接口出去而直接从inside返回（会被ASA直接丢弃）。

为实现在公司内部(inside)也能使用公网IP访问同样在inside的这台WWW服务器，思科至少有几种做法：一是Alias + static NAT，配置别名。

原理就是内部的计算机到外部进行DNS查询时，ASA根据别名配置，将返回的公网IP替换成私网IP，这样其实内部计算机直接使用私网IP访问WWW服务器。

（可以使用ping 域名查看返回的IP地址进行验证）二是DNS Doctoring + static NAT。

原理同Alias，是更新版本IOS的功能。

在7.0以上的版本中已不推荐使用Alias（若使用了Alias，则ASDM会提示不支持Alias而无法加载配置）。

三是Hairpinning +static NAT。

原理是允许inside进来的流量，未经其它接口出去而直接从inside接口返回。

相关的命令是：same-security-traffic permit intra-interface 俗称：Hairpinning为此花了两天时间琢磨了一下，才发现要7.2及以后的IOS版本才支持Hairpinning。

USG6000 Nat Server之通过域名访问内部服务器基于DDNS和接口IP的动态服务器静态映射本例给出一个常见的企业NAT场景的配置过程，该企业外网接口采用DHCP方式获取IP地址，公网IP地址经常发生变化，通过使用基于接口的服务器静态映射（NAT Server）功能和DDNS，实现外部用户通过域名正常访问内部服务器。

组网需求如图1所示，某公司内部网络通过NGFW与Internet进行连接，将内网用户划分到Trust区域，将Internet划分到Untrust区域；Web服务器位于Trust区域的，域名为（）。

NGFW外网接口通过DHCP方式获取IP地址，NGFW作为DDNS Client和DDNS Server 配合，使得外部网络用户通过域名（）能够访问IP地址为10.1.1.3/24的内网Web服务器。

图1 基于DDNS和接口IP的动态服务器静态映射组网图1.配置接口IP地址和安全区域，完成网络基本参数配置。

2.配置安全策略，允许外部网络用户访问内部服务器。

3.配置基于接口的服务器静态映射4.开启域名解析，配置DNS Server。

5.配置DDNS策略，并将其应用在GigabitEthernet 1/0/2接口上，使得外部用户通过域名（）能够访问内网服务器。

6.在NGFW上配置缺省路由，使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。

操作步骤1.配置各接口的IP地址，并将其加入安全区域。

2.<NGFW> system-view3.[NGFW] interface GigabitEthernet 1/0/14.[NGFW-GigabitEthernet1/0/1] ip address 10.1.1.1 245.[NGFW-GigabitEthernet1/0/1] quit6.[NGFW] firewall zone trust7.[NGFW-zone-trust] add interface GigabitEthernet 1/0/18.[NGFW-zone-trust] quit9.[NGFW] firewall zone untrust10.[NGFW-zone-untrust] add interface GigabitEthernet 1/0/2[NGFW-zone-untrust] quit11.配置安全策略，允许外部网络用户访问内部服务器。

内网用户通过域名或公网IP访问内部服务器的解决办法一．内网用户和内网服务器不在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户不在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现内网用户通过公网地址访问服务器的配置，即在E0/0口做和E0/2口一样的nat server的配置。

Interface ethernet 0/0nat server protocol tcp global 202.103.1.1 www inside 192.168.2.2 wwwB．实现内部用户通过域名访问服务器的配置nat dns-map 202.103.1.1 tcp3．注意事项如果用户并不想使用公网地址访问公网地址访问服务器，可以不用做nat server的配置，直接配“nat dns-map 192.168.2.2 tcp”即可。

二．内网用户和内部服务器在同一个网段1．组网图组网说明：该组网需要一台F100-A、二层交换机、服务器、内网PC。

内部服务器（WEB 服务器）和内网用户在同一个网段，同时在E0/2端口通过nat server 向外发布，外部用户可以通过公网地址和域名访问该服务器。

现需要增加配置使内网用户也可以通过公网地址和域名访问该服务器。

2．配置信息A．实现同网段的内网用户通过公网地址访问WEB服务器#定义一个ACLacl number 3001rule 0 permit ip source 192.168.1.1 0.0.0.255#在E0/0端口配置nat servernat server protocol tcp golobal 202.103.1.1 www inside 192.168.1.254 www#在E0/0端口配置nat outbound//注意，这里的nat outbound必须做Interface Ethernet 0/0ip address 192.168.1.1 255.255.255.0nat outbound 3001B．实现同网段的内网用户通过域名访问WEB服务器在A的配置的基础上添加如下的命令nat dns-map 202.103.1.1 tcp3．注意事项这里必须配置nat outbound 3001，如果没有这条命令，就不能用公网地址访问。

内网映射原理
内网映射是一种技术，用于将内部网络资源映射到公网上，使得外部网络能够访问到内部网络提供的服务。

内网映射的原理是通过将公网IP地址和端口号映射到内部网络的私有IP地址和端口号，以实现内网主机对外部网络的可访问性。

具体原理如下：
1. 内网设备首先需要连接到一个具有公网IP地址的路由器，该路由器具备NAT（网络地址转换）功能。

NAT功能可以将内部网络的私有IP地址转换为公网IP地址，并维护一个转换表来记录这种映射关系。

2. 在内网设备需要提供服务的端口上，配置端口映射规则。

这些规则将公网的IP地址和端口号映射到内部网络设备的私有IP地址和端口号。

3. 当公网用户请求访问内部网络设备提供的服务时，请求将到达路由器的公网IP地址和指定的端口号。

4. 路由器根据之前配置的端口映射规则，将请求转发到内部网络对应的设备的私有IP地址和端口号上。

5. 内部网络设备接收到请求后，进行相应的处理并将响应发送回路由器。

6. 路由器再将响应转发给公网用户，使得用户可以获取到内部网络设备提供的服务。

总结起来，内网映射通过在公网路由器上配置地址映射规则，将公网IP地址和端口号转发到内网设备的私有IP地址和端口号上，从而实现内网设备对外部网络的可访问性。

这样公网用户可以通过公网IP地址访问内网服务，而对内网设备而言，它们仍然是在私有网络中提供服务。

NA T外网访问内网方法由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP 上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NA T，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NA T包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

内部主机通过公网地址访问内网服务器配置案例1组网拓扑实验拓扑如上图，内部服务器有个外部域名，内部通过同一个固定公网IP上网。

需求：要实现外部通过域名访问内部服务器，内部同样也能通过外部域名访问内部服务器。

2需求分析内部服务器通过在路由器上使用NAT server映射成公网地址供外部主机访问。

内部主机访问外部域名时经解析会成为公网地址，而到达服务器后根据源地址是内部地址直接回复，将不再通过公网地址回包。

3相关配置#acl number 2000 //定义内部上网的数据流rule permit source 192.168.1.0 0.0.0.255#int g0/0 //外网口ip address 100.100.100.2 24nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 wwwnat outbound 2000quitint e1/0 //内网接口ip address 192.168.1.1 24nat outbound 2000nat server protocol tcp global 100.100.100.2 www indise 192.168.1.10 www //根据具体设备可配可不配，MSR全局有效则可以不配置ip route-static 0.0.0.0 0 100.100.100.14测试分析1、外部主机A访问内部服务器时A→WWW 经解析后A→100.100.100.2通过外网口进入路由器，匹配nat server后A→192.168.1.10，服务器回包192.168.1.10→A匹配默认路由从外网口出去100.100.100.2→A，访问成功。

2、内部主机访问服务器的外部域名192.168.1.2→WWW解析后为192.168.1.2→100.100.100.2，若内网口不做nat outbound则进入路由器后匹配nat server后192.168.1.2→192.168.1.10；服务器回包时直接192.168.1.10→192.168.1.2，访问不能成功；内网口配置了nat outbound后192.168.1.2→192.168.1.10经内网口送出后变为192.168.1.1→192.168.1.10，服务器回包时192.168.1.10→192.168.1.1进入路由器匹配nat server后为100.100.100.2→192.168.1.2，至此访问成功。

NAT Outbound+NAT Server典型配置举例配置NAT Outbound可以实现企业某些内网用户访问公网，配置NAT Server可以实现通过域名或者公网地址访问内网服务器，配置域内NAT可以实现同一安全区域的用户通过域名或者公网地址互访。

组网需求如图1所示，某企业在企业内网与公网之间部署了一台USG5300。

USG5300三个接口分别位于Trust、DMZ和Untrust安全区域，其中企业所有用户在Trust安全区域，在DMZ安全区域部署FTP服务器和Web服务器供企业内部用户和公网用户访问，公网属于Untrust安全区域。

图1 NAT Outbound+NAT Server典型配置举例组网图具体需求如下：∙需求一：企业内网10.1.1.10/24～10.1.1.20/24的用户可以访问公网，其他内网用户不允许访问公网。

∙需求二：企业内网所有用户可以通过域名访问DMZ安全区域的Web服务器，通过公网IP地址访问FTP服务器。

∙需求三：公网用户可以通过域名访问DMZ安全区域的Web服务器。

需求四：DMZ安全区域的服务器之间可以使用域名或者公网地址互相访问，比如FTP服务器可以采用域名访问Web服务器。

数据规划NAT Outbound+NAT Server典型配置举例的数据规划如表1所示。

配置思路1.配置USG5300的接口IP地址并将接口加入相应安全区域。

2.配置域间防火墙策略。

3.配置Trust到Untrust的NAT Outbound，实现需求一。

4.配置NAT Server，实现需求二和需求三。

5.配置DMZ的域内NAT，实现需求四。

操作步骤1.配置USG5300的接口IP地址并将接口加入对应安全区域。

# 配置USG5300接口IP地址。

<USG5300> system-view[USG5300] interface GigabitEthernet 0/0/0[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24[USG5300-GigabitEthernet0/0/0] quit[USG5300] interface GigabitEthernet 0/0/1[USG5300-GigabitEthernet0/0/1] ip address 202.168.1.1 24[USG5300-GigabitEthernet0/0/1] quit[USG5300] interface GigabitEthernet 0/0/2[USG5300-GigabitEthernet0/0/2] ip address 192.168.1.1 24[USG5300-GigabitEthernet0/0/2] quit# 将USG5300接口加入安全区域。

ICG之NAT配置指导1 NAT简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。

凭借NAT功能，私有网络中的大量主机可以用少量的公网IP地址访问公共网络，以节省成本。

由于IP报文经过NAT处理后，报文源IP地址被替换，私网内主机对公网不可见，提高了私网内主机的安全性。

2 NAT配置指导2.1 基本配置步骤NAT根据应用场景不同分为三种情况：nat outbound、nat server和nat static。

基本配置顺序分别如下：2.1.1nat outbound1）、配置aclacl number 3000rule 0 permit ip source 1.0.0.1 0rule 10 deny ip2）、配置NAT转换地址池nat address-group 1 10.10.1.1 10.1.1.43）、在外网接口上应用NAT功能interface Ethernet0/0port link-mode routenat outbound 3000 address-group 1ip address 10.10.1.1 255.255.255.02.1.2nat server直接在公网接口下配置nat server映射。

interface Ethernet0/0port link-mode routenat server 1 protocol tcp global current-interface ftp inside 192.168.0.1 ftpip address 10.10.1.1 255.255.255.02.1.3nat static1）、配置静态NAT映射表nat static net-to-net 192.168.0.1 192.168.0.10 global 10.10.2.0 255.255.255.2402）、在公网接口应用静态NAT映射表interface Ethernet0/0port link-mode routenat outbound staticip address 10.10.1.1 255.255.255.2402.2 基础配置举例：以下配置举例的组网如下：ICGEth 0/1192.168.0.1/24135.4.178.211/24内网外网如图所示，ICG 接口Eth0/1为内网接口，IP地址为192.168.0.1，接口Eth0/0为外网接口，IP 地址为135.4.178.211。

NAT外网访问内网方法,内网端口映射外网ip由于公网IP地址有限，不少ISP都采用多个内网用户通过代理和网关路由共用一个公网IP上INTERNET的方法，这样就限制了这些用户在自己计算机上架设个人网站，要实现在这些用户端架设网站，最关键的一点是，怎样把多用户的内网IP和一个他们唯一共享上网的IP进行映射！就象在局域网或网吧内一样，虽然你可以架设多台服务器和网站，但是对外网来说，你还是只有一个外部的IP 地址，怎么样把外网的IP映射成相应的内网IP地址，这应该是内网的那台代理服务器或网关路由器该做的事，对我们用私有IP地址的用户也就是说这是我们的接入ISP服务商（中国电信、联通、网通、铁通等）应该提供的服务，因为这种技术的实现对他们来说是举手之劳，而对我们来说是比较困难的，首先得得到系统管理员的支持才能够实现。

因为这一切的设置必须在代理服务器上做的。

要实现这一点，可以用Windows 2000 Server 的端口映射功能，除此之外Winroute Pro也具有这样的功能，还有各种企业级的防火墙。

而对于我们这些普通用户，恐怕还是用Windows 2000 Server最为方便。

先来介绍一下NAT，NAT（网络地址转换）是一种将一个IP地址域映射到另一个IP地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

端口映射功能可以让内部网络中某台机器对外部提供WWW服务，这不是将真IP 地址直接转到内部提供WWW服务的主机，如果这样的话，有二个蔽端，一是内部机器不安全，因为除了WWW之外，外部网络可以通过地址转换功能访问到这台机器的所有功能；二是当有多台机器需要提供这种服务时，必须有同样多的IP地址进行转换，从而达不到节省IP地址的目的。

解决NAT后内网主机无法通过域名访问内网服务器的方法1问题分析众所周知，在采用NAT上网的时候，如果内网有服务器需要让互联网用户访问，这时我们要做静态NAT或者端口映射（后面都以端口映射举例说明）。

一般来说，我们都会为服务器申请一个互联网上的域名。

既然有域名，当然就需要DNS的解析，我们也肯定不会让DNS 解析成服务器内网的IP地址，因为这个IP地址是互联网上不可能到达的，所以正常情况下我们都是将域名绑定到路由器的inside globle 地址上，当互联网用户访问这个地址时，互联网会将由指向我们的路由器，路由器则通过NAT转换成服务器的内网地址，并发送给服务器，实现外网用户的访问。

过程如下：很多时候，我们可能希望内网用户也能通过域名访问到内网服务器，但是如果您使用的是思科的路由器作为网关，那么您会发现根本访问不了（一般家用的路由器是可以的）。

问题在于思科的路由器在处理NAT时，有个优先级的问题，来自inside区域的流量先路由后NAT，来自outside区域的流量先NAT且路由，而且要求流量必须穿越inside和outside两个区域，也就是说思科的NAT是工作在inside和outside两个区域的中间，而内网用户访问域名时，DNS会返回路由器的inside globle地址，如果这个地址是路由器自己的outside接口地址，当内网主机试图访问该地址时，路由器根本不会将流量发出outside接口，而是自己路由给自己处理了，因为它是自己的接口地址。

这时流量没有穿越（发出）outside 接口，所以路由器不会对这个流量进行NAT转换，而是路由器自己直接回包了。

2实验一：证实NAT存在的问题2.1实验说明我们可以用实验证实这一点，以下是实验拓扑：R1作为内网的网关，提供NAT转换；R2作为内网的服务器，提供telnet服务；R3作为内网的PC，用于测试；R4作为互联网DNS服务器，用于域名解析；R5作为外网服务器，既可用于内网访问互联网测试，也可用于从外部访问内网服务器的测试。

VMware NAT端口映射外网可以访问内网虚拟机在虚拟机VMware上安装了win2003的web服务器，为了使因特网上的其他主机能够访问我的虚拟机上的web服务，需要对这个虚拟机VMware NAT 端口映射配置。

具体如下：首先说明一下我的操作系统环境，主机是一台winxp，安装了虚拟机软件Vmware6.5版，虚拟机是win2003版的web服务器，虚拟机利用VMnet8网络连接主机。

要求：用户通过因特网上的其他主机能够访问我在虚拟机中架设的win2003的WEB服务，就是我的网站。

虚拟机WIN2003的IP为 192.168.10.4，真实主机XP系统有两个IP，内网连接虚拟IP地址为192.168.10.1，外网真实IP为221.196.193.220。

外网其他计算机可以通过访问我的真实主机221.196.193.220，访问到虚拟机win2003的WEB网站。

再来说下原理，因为 WEB服务是利用80端口，所以在Win2003上建立了WEB服务，80也就自动被打开，因为Win2003是内网虚拟ip（192.168.10.4），外网无法直接访问这个地址，也就无法直接访问我的虚拟机上的网站服务，但是可以通过外网地址（221.196.193.220）访问我的XP系统，XP又能连接到Win2003，所以把80映射到我的Winxp的系统上是有可能的!接下来说实际操作，打开--编辑--虚拟网络设置--NAT选项卡，选择编辑，打开NAT设置，这里保持默认就可以，如果你对你自己的网络很熟悉，可以更改网关等项目。

直接打开端口转递，这里就是NAT的端口映射配置了，用实例的WEB服务举例，因为WEB属TCP连接，所以在TCP上做个转换，点击添加主机端口，填入真实主机要被转换的端口8001，这里我在真实的主机上http:// 221.196.193.220:8001举了个例子。

虚拟机IP地址192.168.10.4,填入内网虚拟机的IP,服务端口80,对应那个服务就填入哪个端口,你可以参考其他文章,常用端口。

网络设备：Juniper SRX系列防火墙网络拓扑：问题描述：在实现Destination NAT的时候，如果需要从内网访问映射后的公网地址，默认会有一些问题，在内网可以ping 通映射地址，但是不能访问服务；问题分析：[edit security]set zones security-zone trust address-book address server-2 192.168.1.200/32[edit security policies from-zone untrust to-zone trust]set policy server-access match source-address any destination-address server-2 application any set policy server-access then permit[edit security nat destination]set pool dst-nat-pool-2 address 192.168.1.200 port 8000set rule-set rs1 from zone untrustset rule-set rs1 rule r2 match destination-address 1.1.1.101set rule-set rs1 rule r2 match destination-port 80set rule-set rs1 rule r2 then destination-nat pool dst-nat-pool-2[edit security nat]set proxy-arp interface ge-0/0/2.0 address 1.1.1.101一般的我们如上配置完设备后，外网用户便可以访问映射地址了，但是如果内网用户访问会有问题，不能通过1.1.1.101访问服务；原因是内部地址访问1.1.1.101的时候，防火墙不做地址转换，将内网地址路由给目的服务器，服务器会看到这个地址，回包的时候直接把数据包回给这个内网地址，TCP形成一个半连接，故服务不能访问。