NAT反向代理技术的实现（外网访问内网）

NAT反向代理技术的实现（外网访问内网）(版权所有，引用 请联系作者，注明出处)

NAT技术是网络中的重要应用之一。当有一个场景：内网搭建了服务器，需要外网访问时，可以借助NAT映射来实现。如：单位建立了一个Web服务器，我们希望在员工回家之后，依然可以访问到它，那怎么实现呢？

下面的拓扑图，就用来示范这个应用反面场景的实现过程。

一、题目要求：

地址配置如图。使用静态路由：

1、配置右侧交换机2950T，实现单臂路由；

2、配置路由使网络连通；

3、配置NAT访问，实现外网对风网服务器的访问。

二、实现步骤：

（一）配置单臂路由

1、配置各PC的IP地址

Server－S0：192.168.1.10，掩码：255.255.255.0，网关：192.168.1.1

PC00：192.168.1.11，掩码：255.255.255.0，网关：192.168.1.1

PC01：202.1.1.10，掩码：255.255.255.0，网关：202.1.1.1

PC02：202.1.2.10，掩码：255.255.255.0，网关：202.1.2.1

2、配置右侧交换机

en              

conf t

vl 10                创建Vlan10、Vlan20

vl 20

in f 0/1             指向快速以太网端口f0/1

sw ac v 10           将端口f0/1的VID设置为Vlan10

in f 0/11

sw ac v 20           将端口f0/11的VID设置为Vlan20

in g 0/2             指向g0/2端口

sw m t              设置端口为trunk，并对所有Vlan的数据包做转发（允许所有vlan的数据包通过）

3、配置右侧路由器（这里把路由一起配置了）

en

conf t

int f0/0                          指向f0/0接口

no sh                             启动该接口

ip add 1.1.1.2 255.255.255.252    为该接口配置 IP地址，掩码为30位

int f1/0                          指向f1/0接口

no sh                             启动该接口

int f1/0.1                        指向f1/0.1子接口（应用于Dot1Q协议封装）

en d 10                           封装该子接口为Vlan10的接口

ip add 202.1.1.1 255.255.255.0    配置相应地址（Vlan10的网关）

int f1/0.2

en d 20

ip add 202.1.2.1 255.255.255.0

ip route 192.168.1.0 255.255.255.0 1.1.1.1   配置静态路由：到192.168.1.0的网络要经过1.1.1.1接口（配置目的是为了测试网络连通性）

4、验证单臂路由的连通性

通过PC01来ping PC02，可以看到ping通，且ttl＝127，说明经过了1个路由器。

（二）配置使整个网络连通

1、配置左侧路由器，使网络连通

en

conf t

in f 0/1                          指向f0/1接口

no sh                             启动该接口

ip ad 192.168.1.1 255.255.255.0   配置接口地址

int f0/0

no sh

ip add 1.1.1.1 255.255.255.252    配置接口地址

ip route 0.0.0.0 0.0.0.0 1.1.1.2  配置静态路由

2、测试网络的连通性

使用PC00来ping服务器Server、PC01、PC02，可以看到网络全部连通。

Ping Sever：

Ping PC01：

Ping PC02：

（三）配置NAT及访问验证

1、配置左侧路由器NAT反向代理

en

conf t                                 重新进入到全局配置模式

ip nat in so st 192.168.1.10 1.1.1.1   配置静态映射，将服务器的IP地址192.168.1.10映射

至外网的1.1.1.1

in f 0/1                               指向f0/1接口

ip na in                               设置该接口为内侧接口（NAT要转换的数据包的入口）

in f 0/0                               指向f0/0接口

ip na out                              设置该接口为外侧接口（NAT要转换的数据包的出口）

2、验证NAT反向代理

这时候，事实上还不是NAT状态，因为你在外网，如PC02上，也是可以ping到Server的。

这就算验证通过了吗？

当！然！不！是！

（1）公网PC能ping通内网Server，对吗？

考虑对于公网来说，私网是透明的（即不可能看见），所以，在公网ping内网192.168.1.10是不可能ping通的。当然不可能存在指向内网的路由（即使有也会被过滤掉），所以验证前要删除右侧路由器中指向内网的路由配置！！！！

右侧路由器：

en                                        重新进入全局配置状态

conf t

no ip route 192.168.1.0 255.255.255.0     删除配置的目标指向内网的路由

再试试用PC02来ping服务器Server，ping不通了吧~~

（2）反向代理访问的实现

①那怎么样公网才能访问内网的Server呢？还记得NAT配置吗？就是：

ip nat in so st 192.168.1.10 1.1.1.1

这句命令，说明了访问的方式，即访问内网映射到外网的接口：1.1.1.1

好了，ping下试试？通了！！！！

②到左侧路由上查看一下转换的结果，

可以看到内网的192.168.1.10已经被转换成了外网的1.1.1.1地址。

③怎么能说明：是能访问到的服务器的Web呢？

首先，找到Server的Services选项卡→单击HTTP服务，看到下方的窗口的Index.html→再单击(edit)→进入主页编辑状态

其次，编辑主页：我们在图中<p>Quick Links:位置添加一串0000000000000000000000做标识，然后：保存！！看看我们访问的是不是内网的主页。

最后，来验证一下：

 在PC01或PC02上，找到 WEB Browser

在其地址栏输入：1.1.1.1 — The free app that makes your Internet faster.，回车，看！！出现了什么？？是我们刚才修改过地主页！！

至此，所以配置、验证完成。希望能帮到你。