0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

外网用户通过外网地址访问内网服务器实验配置

倩倩 来源:网络技术干货圈 作者:圈圈 2022-08-31 10:53 次阅读

外网用户通过外网地址访问内网服务器配置举例

1.组网需求

公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能:

外部的主机可以访问内部的服务器。

选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口

2.组网图

ac88a2ea-28bc-11ed-ba43-dac502259ad0.png外网用户通过外网地址访问内网服务器配置组网图

3.配置步骤

按照组网图配置各接口的IP地址,具体配置过程略。

进入接口GigabitEthernet1/0/2。

system-view

[Router]interfacegigabitethernet1/0/2

配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。

[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.121inside10.110.10.3ftp

配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。

[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.180inside10.110.10.1http

配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。

[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.18080inside10.110.10.2http

配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。

[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.38.1.1smtpinside10.110.10.4smtp

4.验证配置

以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。

[Router]displaynatall

NATinternalserverinformation:

Totally4internalservers.

Interface:GigabitEthernet1/0/2

Protocol:6(TCP)

GlobalIP/port:202.38.1.1/21

LocalIP/port:10.110.10.3/21

Rulename:ServerRule_1

NATcounting:0

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active

Localflow-tablestatus:Active



Interface:GigabitEthernet1/0/2

Protocol:6(TCP)

GlobalIP/port:202.38.1.1/25

LocalIP/port:10.110.10.4/25

Rulename:ServerRule_4

NATcounting:0

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active

Localflow-tablestatus:Active



Interface:GigabitEthernet1/0/2

Protocol:6(TCP)

GlobalIP/port:202.38.1.1/80

LocalIP/port:10.110.10.1/80

Rulename:ServerRule_2

NATcounting:0

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active

Localflow-tablestatus:Active



Interface:GigabitEthernet1/0/2

Protocol:6(TCP)

GlobalIP/port:202.38.1.1/8080

LocalIP/port:10.110.10.2/80

Rulename:ServerRule_3

NATcounting:0

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active

Localflow-tablestatus:Active



NATlogging:

Logenable:Disabled

Flow-begin:Disabled

Flow-end:Disabled

Flow-active:Disabled

Port-block-assign:Disabled

Port-block-withdraw:Disabled

Alarm:Disabled

NO-PATIPusage:Disabled



NATmappingbehavior:

Mappingmode:AddressandPort-Dependent

ACL:---

Configstatus:Active



NATALG:

DNS:Enabled

FTP:Enabled

H323:Enabled

ICMP-ERROR:Enabled

ILS:Enabled

MGCP:Enabled

NBT:Enabled

PPTP:Enabled

RTSP:Enabled

RSH:Enabled

SCCP:Enabled

SIP:Enabled

SQLNET:Enabled

TFTP:Enabled

XDMCP:Enabled



StaticNATloadbalancing:Disabled

通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。

[Router]displaynatsessionverbose

Slot0:

Totalsessionsfound:0



Slot2:

Initiator:

SourceIP/port:202.38.1.10/1694

DestinationIP/port:202.38.1.1/21

DS-Litetunnelpeer:-

VPNinstance/VLANID/InlineID:-/-/-

Protocol:TCP(6)

Inboundinterface:GigabitEthernet1/0/2

Responder:

SourceIP/port:10.110.10.3/21

DestinationIP/port:202.38.1.10/1694

DS-Litetunnelpeer:-

VPNinstance/VLANID/InlineID:-/-/-

Protocol:TCP(6)

Inboundinterface:GigabitEthernet1/0/1

State:TCP_ESTABLISHED

Application:FTP

RuleID:-/-/-

Rulename:

Starttime:2012-08-151429TTL:3597s

Initiator->Responder:7packets308bytes

Responder->Initiator:5packets312bytes



Totalsessionsfound:1

外网用户通过域名访问内网服务器配置举例(地址不重叠)

1.组网需求

某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。

该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。

该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。

需要实现,外网主机可以通过域名访问内网的Web服务器。

2.组网图

acaf1e7a-28bc-11ed-ba43-dac502259ad0.png外网用户通过域名访问内网服务器配置组网图(地址不重叠)

3.配置思路

外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。

DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。

4.配置步骤

按照组网图配置各接口的IP地址,具体配置过程略。

开启DNS协议的ALG功能。

system-view

[Router]natalgdns

配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。

[Router]aclbasic2000

[Router-acl-ipv4-basic-2000]rulepermitsource10.110.10.20

[Router-acl-ipv4-basic-2000]quit

创建地址组1。

[Router]nataddress-group1

添加地址组成员202.38.1.3。

[Router-address-group-1]address202.38.1.3202.38.1.3

[Router-address-group-1]quit

在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。

[Router]interfacegigabitethernet1/0/2

[Router-GigabitEthernet1/0/2]natserverprotocoludpglobal202.38.1.2inside10.110.10.3dns

在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router-GigabitEthernet1/0/2]natoutbound2000address-group1no-patreversible

5.验证配置

以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。

[Router]displaynatall

NATaddressgroupinformation:

Totally1NATaddressgroups.

AddressgroupID:1

Portrange:1-65535

Addressinformation:

StartaddressEndaddress

202.38.1.3202.38.1.3



NAToutboundinformation:

Totally1NAToutboundrules.

Interface:GigabitEthernet1/0/2

ACL:2000

AddressgroupID:1

Port-preserved:NNO-PAT:YReversible:Y

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active



NATinternalserverinformation:

Totally1internalservers.

Interface:GigabitEthernet1/0/2

Protocol:17(UDP)

GlobalIP/port:202.38.1.2/53

LocalIP/port:10.110.10.3/53

Rulename:ServerRule_1

NATcounting:0

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active

Localflow-tablestatus:Active



NATlogging:

Logenable:Disabled

Flow-begin:Disabled

Flow-end:Disabled

Flow-active:Disabled

Port-block-assign:Disabled

Port-block-withdraw:Disabled

Alarm:Disabled

NO-PATIPusage:Disabled



NATmappingbehavior:

Mappingmode:AddressandPort-Dependent

ACL:---

Configstatus:Active



NATALG:

DNS:Enabled

FTP:Enabled

H323:Enabled

ICMP-ERROR:Enabled

ILS:Enabled

MGCP:Enabled

NBT:Enabled

PPTP:Enabled

RTSP:Enabled

RSH:Enabled

SCCP:Enabled

SIP:Enabled

SQLNET:Enabled

TFTP:Enabled

XDMCP:Enabled



StaticNATloadbalancing:Disabled

通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。

[Router]displaynatsessionverbose

Slot0:

Totalsessionsfound:0



Slot2:

Initiator:

SourceIP/port:200.1.1.2/1694

DestinationIP/port:202.38.1.3/8080

DS-Litetunnelpeer:-

VPNinstance/VLANID/InlineID:-/-/-

Protocol:TCP(6)

Inboundinterface:GigabitEthernet1/0/2

Responder:

SourceIP/port:10.110.10.2/8080

DestinationIP/port:200.1.1.2/1694

DS-Litetunnelpeer:-

VPNinstance/VLANID/InlineID:-/-/-

Protocol:TCP(6)

Inboundinterface:GigabitEthernet1/0/1

State:TCP_ESTABLISHED

Application:HTTP

RuleID:-/-/-

Rulename:

Starttime:2012-08-151429TTL:3597s

Initiator->Responder:7packets308bytes

Responder->Initiator:5packets312bytes



Totalsessionsfound:1

外网用户通过域名访问内网服务器配置举例(地址重叠)

1.组网需求

某公司内网使用的IP地址为192.168.1.0/24。

该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。

该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。

该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。

需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。

2.组网图

accdcdca-28bc-11ed-ba43-dac502259ad0.png外网用户通过域名访问内网服务器配置组网图(地址重叠)

3.配置思路

这是一个典型的双向NAT应用,具体配置思路如下。

外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。

DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。

外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。

NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/0/2。

4.配置步骤

按照组网图配置各接口的IP地址,具体配置过程略。

开启DNS协议的ALG功能。

system-view

[Router]natalgdns

配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

[Router]aclbasic2000

[Router-acl-ipv4-basic-2000]rulepermitsource192.168.1.00.0.0.255

[Router-acl-ipv4-basic-2000]quit

创建地址组1。

[Router]nataddress-group1

添加地址组成员202.38.1.2。

[Router-address-group-1]address202.38.1.2202.38.1.2

[Router-address-group-1]quit

创建地址组2。

[Router]nataddress-group2

添加地址组成员202.38.1.3。

[Router-address-group-2]address202.38.1.3202.38.1.3

[Router-address-group-2]quit

在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。

[Router]interfacegigabitethernet1/0/2

[Router-GigabitEthernet1/0/2]natserverprotocoludpglobal202.38.1.4inside192.168.1.3dns

在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router-GigabitEthernet1/0/2]natoutbound2000address-group1no-patreversible

在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。

[Router-GigabitEthernet1/0/2]natinbound2000address-group2

配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。

[Router]iproute-static202.38.1.332gigabitethernet1/0/220.2.2.2

5.验证配置

以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。

[Router]displaynatall

NATaddressgroupinformation:

Totally2NATaddressgroups.

AddressgroupID:1

Portrange:1-65535

Addressinformation:

StartaddressEndaddress

202.38.1.2202.38.1.2



AddressgroupID:2

Portrange:1-65535

Addressinformation:

StartaddressEndaddress

202.38.1.3202.38.1.3



NATinboundinformation:

Totally1NATinboundrules.

Interface:GigabitEthernet1/0/2

ACL:2000

AddressgroupID:2

Addroute:NNO-PAT:NReversible:N

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active



NAToutboundinformation:

Totally1NAToutboundrules.

Interface:GigabitEthernet1/0/2

ACL:2000

AddressgroupID:1

Port-preserved:NNO-PAT:YReversible:Y

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active



NATinternalserverinformation:

Totally1internalservers.

Interface:GigabitEthernet1/0/2

Protocol:17(UDP)

GlobalIP/port:202.38.1.4/53

LocalIP/port:200.1.1.3/53

Rulename:ServerRule_1

NATcounting:0

Servicecard:Slot2

Configstatus:Active

Globalflow-tablestatus:Active

Localflow-tablestatus:Active



NATlogging:

Logenable:Disabled

Flow-begin:Disabled

Flow-end:Disabled

Flow-active:Disabled

Port-block-assign:Disabled

Port-block-withdraw:Disabled

Alarm:Disabled

NO-PATIPusage:Disabled



NATmappingbehavior:

Mappingmode:AddressandPort-Dependent

ACL:---

Configstatus:Active



NATALG:

DNS:Enabled

FTP:Enabled

H323:Enabled

ICMP-ERROR:Enabled

ILS:Enabled

MGCP:Enabled

NBT:Enabled

PPTP:Enabled

RTSP:Enabled

RSH:Enabled

SCCP:Enabled

SIP:Enabled

SQLNET:Enabled

TFTP:Enabled

XDMCP:Enabled



StaticNATloadbalancing:Disabled

通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。

[Router]displaynatsessionverbose

Slot0:

Totalsessionsfound:0



Slot2:

Initiator:

SourceIP/port:192.168.1.2/1694

DestinationIP/port:202.38.1.2/8080

DS-Litetunnelpeer:-

VPNinstance/VLANID/InlineID:-/-/-

Protocol:TCP(6)

Inboundinterface:GigabitEthernet1/0/2

Responder:

SourceIP/port:192.168.1.2/8080

DestinationIP/port:202.38.1.3/1025

DS-Litetunnelpeer:-

VPNinstance/VLANID/InlineID:-/-/-

Protocol:TCP(6)

Inboundinterface:GigabitEthernet1/0/1

State:TCP_ESTABLISHED

Application:HTTP

RuleID:-/-/-

Rulename:

Starttime:2012-08-151429TTL:3597s

Initiator->Responder:7packets308bytes

Responder->Initiator:5packets312bytes



Totalsessionsfound:1
审核编辑 :李倩
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Web
    Web
    +关注

    关注

    2

    文章

    1263

    浏览量

    69454
  • 服务器
    +关注

    关注

    12

    文章

    9143

    浏览量

    85387
  • 组网
    +关注

    关注

    1

    文章

    353

    浏览量

    22341

原文标题:网络工程师 | 外网用户通过外网地址访问内网服务器实验配置

文章出处:【微信号:网络技术干货圈,微信公众号:网络技术干货圈】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    如何设置内网IP的端口映射到公网

    在现代网络环境中,端口映射(Port Mapping)是一项非常实用的技术,它允许用户内网设备的服务端口映射到公网,使外网用户可以
    的头像 发表于 11-14 14:23 493次阅读

    ElfBoard技术贴|如何完成FRP内网穿透

    及HTTPS等多种协议,广泛适用于远程家庭服务器访问、IoT设备管理、开发环境共享等多种场景。FRP的意义在于打破了内网设备无法直接由外网访问
    的头像 发表于 11-08 13:30 286次阅读
    ElfBoard技术贴|如何完成FRP<b class='flag-5'>内网</b>穿透

    内网通过公网地址访问内网服务器的设置方法

    在一些场景下,内部网络中的服务器需要通过公网地址进行访问,尤其是在没有固定公网IP或需要在外部访问时。为了解决这一问题,可以使用以下几种方法
    的头像 发表于 11-07 15:09 562次阅读

    打破网络边界:P2Link助力实现高效远程访问内网穿透

    ,具备易用性、灵活性和安全性,它的工作原理是通过动态域名解析和隧道技术,将内网中的设备暴露给外网用户,并生成可供访问
    发表于 10-31 11:54

    国外IP代理地址:提升网络访问体验

    国外IP代理地址通过提供位于国外的代理服务器,为用户访问外网站和
    的头像 发表于 10-31 07:04 316次阅读

    如何通过内网IP安全访问服务器

    通过内网IP安全访问服务器,您需要考虑以下几个步骤: 1、获取内网IP地址:首先,您需要确定
    的头像 发表于 09-23 13:36 485次阅读

    NAT设备实现内外网设备访问的优势

    内网服务器的需求愈发迫切。为实现这一目标,网络地址转换(NAT)设备成为了不可或缺的技术手段之一。本文将探讨外网用户
    的头像 发表于 08-23 13:57 383次阅读
    NAT设备实现内<b class='flag-5'>外网</b>设备<b class='flag-5'>访问</b>的优势

    外网用户通过NAT设备访问内网服务器解决方案

    随着网络技术的不断发展,越来越多的企业需要将内部服务器开放给外网员工访问,以便员工外出时也能使用企业内部资源。然而,由于网络安全和隐私保护的考虑,直接暴露内网
    的头像 发表于 08-23 13:51 364次阅读
    <b class='flag-5'>外网</b><b class='flag-5'>用户</b><b class='flag-5'>通过</b>NAT设备<b class='flag-5'>访问</b><b class='flag-5'>内网</b><b class='flag-5'>服务器</b>解决方案

    香港的云服务器能上外网吗?稳定性如何

    能,香港的云服务器可以访问外网。香港作为中国的特别行政区,拥有独立的网络基础设施和相对开放的互联网环境。香港的云服务器在物理层面上与中国大陆的服务器
    的头像 发表于 08-15 11:39 445次阅读

    Protal wifidog的认证流程

    一. 用户上线 1. 用户访问网络,通过iptables将未认证的用户dnat到wifidog进程,wifidog
    发表于 07-24 08:10

    想验证是否能够通过外网访问ESP8266, 请问如何申请手册中提到的云服务

    1. 由于开发的需要,我想验证是否能够通过外网访问ESP8266 2. 通过仔细阅读手册发现,可以申请相应的云服务,请问申请的具体步骤是什么
    发表于 07-22 06:49

    智能化室内网线和室外网线区别大不大

    智能化室内网线和室外网线在多个方面存在显著的区别,以下是详细的对比和归纳: 应用场景: 室内网线:主要用于室内布线,作为智能居家系统的基础传输通道,支持话音、数据、影像、视频、多媒体等多种服务
    的头像 发表于 07-04 09:46 417次阅读

    如何解决外贸公司打开国外网站慢的问题?

    服务器硬件配置 问题分析:服务器硬件配置不足可能是导致国外网站打开缓慢的主要原因之一。 解决方案:确保选择的国外
    的头像 发表于 03-27 11:19 1354次阅读

    一个深信服AF双向地址转换原理分析与配置案例

    使用防火墙发布了内网服务器供外部访问外网可以正常通过防火墙外网接口IP
    的头像 发表于 01-25 09:29 4309次阅读
    一个深信服AF双向<b class='flag-5'>地址</b>转换原理分析与<b class='flag-5'>配置</b>案例

    如何通过WebDAV服务器访问NAS

    WebDAV是 HTTP 协议的扩展,可让用户管理存储在远程服务器上的文件,可以使用用户名和密码来进行访问,同时直接拷贝,编辑或删除共享空间内的文件。启用WebDAV
    的头像 发表于 01-16 15:30 1057次阅读
    如何<b class='flag-5'>通过</b>WebDAV<b class='flag-5'>服务器</b><b class='flag-5'>访问</b>NAS