私网用户怎样用公网地址访问本地私网内的SERVER.docVIP

私网用户如何用公网地址访问本地私网内的SERVER NAT（Network Address Translation，地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP地址代表多数的私有IP地址的方式将有助于减缓可用IP地址空间枯竭的速度。在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP服务器。使用NAT可以灵活地添加内部服务器，例如，可以使用0作为Web服务器的外部地址；使用1作为FTP服务器的外部地址；甚至还可以使用2:8080这样的地址作为Web的外部地址；还可为外部用户提供多台同样的服务器（如提供多台Web服务器）。在实际应用当中，用户有这样的需求：本地私网用户想通过域名（SERVER的公网地址）访问其私网的SERVER。正常情况下是访问不了的，只有通过访问SERVER的私网IP地址才可以。据说其他厂家的路由器可以实现私网用户通过公网IP地址来访问本地私网内的SERVER，也可以通过配置私网的DNS来解决。实现方式有很多种，本文只讨论华为-3COM路由器是如何可以通过其他配置手段来达到私网地址可以通过公网IP地址来访问本地私网内的SERVER。下面方案都是建立在SERVER可以支持配置两个IP地址的基础之上的。 如下图所示，要求PC2通过SERVER的公网地址访问该服务器，分为两种情况来讨论： SERVER的公网地址和路由器R2的公网接口不一样，有两个或两个以上公网IP 方案一：公网接口不要配置NAT SERVER 要求SERVER支持两个IP地址，一个是公网地址，另一个是私网地址；R2支持路由重定向。 R2上的配置数据： acl number 2000 //定义ACL用做接口做NAT使用 rule 0 permit source 55 rule 1 deny interface Ethernet0/0 ip address //私网接口 interface Ethernet1/0 ip address //公网接口 nat outbound 2000 //做Easy NAT，为私网IP访问外网使用 arp-proxy enable //做ARP代理，为R1访问SERVER使用 ip route-static 55 54 preference 60 ip route-static 55 preference 60 SERVER的上的配置： 主用IP地址：/24 网关：（只要保证和主用IP地址在同一个网段就可以了）。 下面是关键配置，可能比较难了解为什么这样配置： 备用IP地址：54/24 网关：不要配置 配置一条静态ARP：arp –s 00E0-FC5B-7E58 (此MAC是R2的Eth0/0接口的MAC地址) 公网接口如果是以太口，那么一般要求在该接口上启用ARP代理，这是因为ISP在向用户分配IP地址的时候，SERVER的公网IP地址和路由器的公网接口IP地址一般是同一个网段的。还有一种方法就在R1上做一条32位掩码的主机路由指向，但是这样一般都不太现实，R1是在ISP侧。 路由器的公网接口不用配置NAT SERVER静态映射私网的IP地址。 配置一条32位的静态路由，目的地址是SERVER的公网接口地址，下一条是SERVER的私网地址。 配置acl 2000，在公网接口Ethernet1/0做Easy nat，为私网用户上公网使用。 因为外网用户是通过公网的IP地址访问SERVER的，而SERVER已经暴露在公网上，所以如果只想把外网用户访问SERVER的固定端口，可以通过ACL来做限制，防止SERVER收到外网攻击。比如只要外网访问SERVER的WWW端口，可以通过ACL做响应的限制，然后在公网接口的inbound方向下发ACL。 SERVER的公网网关的IP地址静态ARP，主要是用来封装SERVER发出去的报文，MAC是R2的Eth0/0，可以把报文的目的MAC封装为R2的Eth0/0的MAC，这样就把报文发给R2。 SERVER的备用IP地址作用是响应R2发出的重定向报文使用的。 报文转发过程： PC2（私网用户）访问SERVER域名的报文转发过程，经过DNS解析到公网地址是，而后PC2就用封装报文，该报文目的地址是，源地址是。PC2把报文送给网关R2处理，R2根据报文的目的地址（），查询路由表发现一个32位的静态路由，其下一条指向Ethernet1/0接口下54，由于报文的入接口和出现接口是一样，所以R2发出重定向报文告知P