nat端口回流

最新推荐文章于 2025-03-14 14:00:34 发布
最新推荐文章于 2025-03-14 14:00:34 发布
阅读量7k 收藏 20
点赞数 1
分类专栏: 华三
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44718856/article/details/104880530
版权
本文档详细介绍了如何配置NAT端口回流,以便内网和外网用户通过NAT地址访问内网服务器。包括配置NAT内部服务器、出方向动态地址转换、NAT hairpin功能等步骤,并提供了配置验证方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

内网用户通过NAT地址访问内网服务器

1. 组网需求

 

·     某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。

 

·     该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。

 

需要实现如下功能:

 

·     外网主机可以通过202.38.1.2访问内网中的FTP服务器。

 

·     内网主机也可以通过202.38.1.2访问内网中的FTP服务器。

2. 组网图

 

图1-11 内网用户通过NAT地址访问内网服务器

 

 

3. 配置思路

 

该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。

 

·     为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。

 

·     为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。

4. 配置步骤

 

# 按照组网图配置各接口的IP地址,具体配置过程略。

 

# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

 

<Router> system-view

 

[Router] acl number 2000

 

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

 

[Router-acl-basic-2000] quit

 

# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。

 

[Router] interface gigabitethernet 1/2

 

[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp

 

# 在接口GigabitEthernet1/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/2的IP地址进行源地址转换。

 

[Router-GigabitEthernet1/2] nat outbound 2000

 

[Router-GigabitEthernet1/2] quit

 

# 在接口GigabitEthernet1/1上使能NAT hairpin功能。

 

[Router] interface gigabitethernet 1/1

 

[Router-GigabitEthernet1/1] nat hairpin enable

 

[Router-GigabitEthernet1/1] quit

5. 验证配置

 

以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。

 

[Router]display nat all

 

NAT outbound information:

 

  There are 1 NAT outbound rules.

 

  Interface: GigabitEthernet1/2

 

    ACL: 2000         Address group: ---    Port-preserved: N

 

    NO-PAT: N         Reversible: N

 

NAT internal server information:

 

  There are 1 internal servers.

 

  Interface: GigabitEthernet1/2

 

    Protocol: 6(TCP)

 

    Global IP/port: 202.38.1.2/21

 

    Local  IP/port: 192.168.1.4/21

 

 

 

NAT logging:

 

  Log enable : Disabled

 

  Flow-begin : Disabled

 

  Flow-end   : Disabled

 

  Flow-active: Disabled

 

 

 

NAT hairpinning:

 

  There are 1 interfaces enabled with NAT hairpinning.

 

  Interface: GigabitEthernet1/1

 

 

 

NAT mapping behavior:

 

  Mapping mode: Address and Port-Dependent

 

  ACL         : ---

 

 

 

NAT ALG:

 

  DNS: Enabled

 

  FTP: Enabled

 

  H323: Enabled

 

  ICMP-ERROR: Enabled

 

# 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。

 

[Router] display nat session verbose

 

Initiator:

 

  Source      IP/port: 192.168.1.2/1694

 

  Destination IP/port: 202.38.1.2/21

 

  VPN instance/VLAN ID/VLL ID: -/-/-

 

  Protocol: TCP(6)

 

Responder:

 

  Source      IP/port: 192.168.1.4/21

 

  Destination IP/port: 202.38.1.1/1025

 

  VPN instance/VLAN ID/VLL ID: -/-/-

 

  Protocol: TCP(6)

 

State: TCP_ESTABLISHED

 

Application: HTTP

 

Start time: 2012-08-15 14:53:29  TTL: 3597s

 

Interface(in) : GigabitEthernet1/1

 

Interface(out): GigabitEthernet1/1

 

Initiator->Responder:            7 packets        308 bytes

 

Responder->Initiator:            5 packets        312 bytes

 

 

 

Total sessions found: 1

1.11.8  内网用户通过NAT地址互访

1. 组网需求

 

某P2P应用环境中,内网中的客户端首先需要向外网服务器进行注册,外网服务器会记录客户端的IP地址和端口号。如果内网的一个客户端要访问内网的另一个客户端,首先需要向服务器获取对方的IP地址和端口号。

 

需要实现如下功能:

 

·     内网客户端可以向外网中的服务器注册,且注册为一个相同的外网地址。

 

·     内网客户端能够通过从服务器获得的IP地址和端口进行互访。

2. 组网图

 

图1-12 内网用户通过NAT地址互访

 

 

3. 配置思路

 

该需求为典型的P2P模式的NAT hairpin应用,具体配置思路如下。

 

·     内网中的客户端需要向外网中的服务器注册,因此需要进行源地址转换,可以通过在外网侧接口配置出方向动态地址转换实现。

 

·     服务器记录客户端的IP地址和端口号,且该地址和端口号是NAT转换后的。由于服务器记录的客户端IP地址和端口号需要供任意源地址访问,因此客户端地址的转换关系必须不关心对端地址,这可以通过配置EIM模式的动态地址转换实现。

 

·     内部主机通过外网地址进行互访,需要在内网侧接口使能NAT hairpin功能。

4. 配置步骤

 

# 按照组网图配置各接口的IP地址,具体配置过程略。

 

# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

 

<Router> system-view

 

[Router] acl number 2000

 

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

 

[Router-acl-basic-2000] quit

 

# 在外网侧接口GigabitEthernet1/2上配置Easy IP方式的出方向动态地址转换,允许使用接口GigabitEthernet1/2的IP地址对内网访问外网的报文进行源地址转换,因为多个内部主机共用一个外网地址,因此需要配置为PAT方式,即转换过程中使用端口信息。

 

[Router] interface gigabitethernet 1/2

 

[Router-GigabitEthernet1/2] nat outbound 2000

 

[Router-GigabitEthernet1/2] quit

 

# 配置PAT方式下的地址转换模式为EIM,即只要是来自相同源地址和源端口号的且匹配ACL 2000的报文,不论其目的地址是否相同,通过PAT转换后,其源地址和源端口号都被转换为同一个外部地址和端口号。

 

[Router] nat mapping-behavior endpoint-independent acl 2000

 

# 在内网侧接口GigabitEthernet1/1上使能NAT hairpin功能。

 

[Router] interface gigabitethernet 1/1

 

[Router-GigabitEthernet1/1] nat hairpin enable

 

[Router-GigabitEthernet1/1] quit

5. 验证配置

 

以上配置完成后,Host A、Host B和Host C 分别向外网服务器注册之后,它们之间可以相互访问。通过查看如下显示信息,可以验证以上配置成功。

 

[Router] display nat all

 

NAT outbound information:

 

  There are 1 NAT outbound rules.

 

  Interface: GigabitEthernet1/2

 

    ACL: 2000         Address group: ---    Port-preserved: N

 

    NO-PAT: N         Reversible: N

 

 

 

NAT logging:

 

  Log enable : Disabled

 

  Flow-begin : Disabled

 

  Flow-end   : Disabled

 

  Flow-active: Disabled

 

 

 

NAT hairpinning:

 

  There are 1 interfaces enabled with NAT hairpinning.

 

  Interface: GigabitEthernet1/1

 

 

 

NAT mapping behavior:

 

  Mapping mode: Endpoint-Independent

 

  ACL         : 2000

 

 

 

NAT ALG:

 

  DNS: Enabled

 

  FTP: Enabled

 

  H323: Enabled

 

  ICMP-ERROR: Enabled

 

# 通过以下显示命令,可以看到Client A访问Client B时生成NAT会话信息。

 

[Router] display nat session verbose

 

Initiator:

 

  Source      IP/port: 192.168.1.3/44929

 

  Destination IP/port: 202.38.1.3/1

 

  VPN instance/VLAN ID/VLL ID: -/-/-

 

  Protocol: UDP(17)

 

Responder:

 

  Source      IP/port: 192.168.1.2/69

 

  Destination IP/port: 202.38.1.3/1024

 

  VPN instance/VLAN ID/VLL ID: -/-/-

 

  Protocol: UDP(17)

 

State: UDP_READY

 

Application: TFTP

 

Start time: 2012-08-15 15:53:36  TTL: 46s

 

Interface(in) : GigabitEthernet1/1

 

Interface(out): GigabitEthernet1/1

 

Initiator->Responder:            1 packets         56 bytes

 

Responder->Initiator:            1 packets         72 bytes

 

 

 

Total sessions found: 1

1.11.9  地址重叠的两个VPN之间互访

1. 组网需求

 

某公司两个部门由于需要业务隔而分属不同的MPLS L3VPN,且两个部门内部使用了相同的子网地址空间。现在要求这两个部门的主机Host A 和Host B之间能够通过NAT地址互相访问。

2. 组网图

 

图1-13 地址重叠的两个内网之间互访

 

 

3. 配置思路

 

这是一个典型的两次NAT应用:两个VPN之间主机交互的报文的源IP地址和目的IP地址都需要转换,即需要在连接两个VPN的接口上先后进行两次NAT,这可以通过在NAT设备的两侧接口上分别配置静态地址转换实现。

4. 配置步骤

 

# 按照组网图配置各接口的VPN实例和IP地址,具体配置过程略。

 

<Router> system-view

 

# 配置VPN 1内的IP地址192.168.1.2到VPN 2内的IP地址172.16.1.2之间的静态地址转换映射。

 

[Router] nat static outbound 192.168.1.2 vpn-instance vpn1 172.16.1.2 vpn-instance vpn2

 

# 配置VPN 2内的IP地址192.168.1.2到VPN 1内的IP地址172.16.2.2之间的静态地址转换映射。

 

[Router] nat static outbound 192.168.1.2 vpn-instance vpn2 172.16.2.2 vpn-instance vpn1

 

# 在接口GigabitEthernet1/2上使能静态地址转换。

 

[Router] interface gigabitethernet 1/2

 

[Router-GigabitEthernet1/2] nat static enable

 

[Router-GigabitEthernet1/2] quit

 

# 在接口GigabitEthernet1/1上使能静态地址转换。

 

[Router] interface gigabitethernet 1/1

 

[Router-GigabitEthernet1/1] nat static enable

 

[Router-GigabitEthernet1/1] quit

5. 验证配置

 

以上配置完成后,Host A和Host B可以互通,且Host A的对外地址为172.16.1.2,Host B的对外地址为172.16.2.2。通过查看如下显示信息,可以验证以上配置成功。

 

[Router] display nat all

 

Static NAT mappings:

 

  There are 2 outbound static NAT mappings.

 

  IP-to-IP:

 

    Local IP  : 192.168.1.2

 

    Global IP : 172.16.1.2

 

    Local VPN : vpn1

 

    Global VPN: vpn2

 

 

 

  IP-to-IP:

 

    Local IP  : 192.168.1.2

 

    Global IP : 172.16.2.2

 

    Local VPN : vpn2

 

    Global VPN: vpn1

 

 

 

Interfaces enabled with static NAT:

 

  There are 2 interfaces enabled with static NAT.

 

  Interface: GigabitEthernet1/1

 

             GigabitEthernet1/2

 

 

 

NAT logging:

 

  Log enable : Disabled

 

  Flow-begin : Disabled

 

  Flow-end   : Disabled

 

  Flow-active: Disabled

 

 

 

NAT mapping behavior:

 

  Mapping mode: Address and Port-Dependent

 

  ACL         : ---

 

 

 

NAT ALG:

 

  DNS: Enabled

 

  FTP: Enabled

 

  H323: Enabled

 

  ICMP-ERROR: Enabled

 

# 通过以下显示命令,可以看到Host A访问Host B时生成NAT会话信息。

 

[Router] display nat session verbose

 

Initiator:

 

  Source      IP/port: 192.168.1.2/42496

 

  Destination IP/port: 172.16.2.2/2048

 

  VPN instance/VLAN ID/VLL ID: vpn1/-/-

 

  Protocol: ICMP(1)

 

Responder:

 

  Source      IP/port: 192.168.1.2/42496

 

  Destination IP/port: 172.16.1.2/0

 

  VPN instance/VLAN ID/VLL ID: vpn2/-/-

 

  Protocol: ICMP(1)

 

State: ICMP_REPLY

 

Application: INVALID

 

Start time: 2012-08-16 09:30:49  TTL: 27s

 

Interface(in) : GigabitEthernet1/1

 

Interface(out): GigabitEthernet1/2

 

Initiator->Responder:            5 packets        420 bytes

 

Responder->Initiator:            5 packets        420 bytes

 

 

 

Total sessions found: 1

究竟为什么内网不能用外网地址访问内部服务器。通俗详细的解释
weixin_34362991的博客
01-18 4437
hi大家好,今天我们来讨论一个很多人都找不到答案得问题:究竟为什么内网不能用公网地址访问内网服务器。不是任何设备都存在此问题,拿cisco的设备来说,不同版本的ios,有的就没有这个问题,而有的版本就有问题,netscreen的防火墙也没有这个问题,关键是开发者有没有意识到这个问题,通过修改ios,完全可以避免。对于这个问题,解决方法是有,比如内网dns欺骗、pix上得ali...
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题...
weixin_30376509的博客
09-19 4818
问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段,需要通过申请的域名来访问公司内网的192.168.100.100的web服务。 做...
X86 RouterOS 7.18 设置笔记六:端口映射(IPv4、IPv6)及回流问题
最新发布
bonnyandsky的博客
03-14 933
【代码】X86 RouterOS 7.18 设置笔记六:端口映射(IPv4、IPv6)及回流问题。
AR路由器通过web及代码实现公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器
Crack_1的博客
12-16 1913
** AR 实现 公网用户使用公网地址访问内网服务器,同时内网用户实现通过公网地址访问内外那个服务器 ** 1、web实现 配置前提:设备已实现,基本的上网业务,需要映射服务器,实现内外网的访问。 (外网映射) 选择 IP业务—NAT—内部服务器 新建 选择您外网接口,转换类型是协议转换,协议类型是TCP/UDP(请根据您的需要选择),外部IP 当前接口接口IP地址,外部端口号,映射单个,输入您需要的端口,内部IP,输入服务器的内网IP地址,内部端口,输入对应的数据服务端口。 做完以上配置以后,就可以实现
NAT回流
qq_46127271的博客
05-11 4144
NAT回流
NAT回流,解决内网主机无法访问内网服务器问题
yao12_的博客
08-29 9060
解决内网主机无法通过公网地址或域名访问内网主机的问题
路由器NAT回流实施
weixin_34129696的博客
09-11 1437
此文原载于本人百度博客:http://hi.baidu.com/oldfile 刚才主任让我配置一下路由器,好使我们的校内也能通过域名访问,本校的主页。原来我们的主页在校外可以通过域名访问,而在校内却只能通过IP地址。因为,我在配置NAT的时候,没有发现内网不能访问,所以这个问题一直到今天才迫切需要解决,呵呵,现在得以解决了。 输入以下两条新命令【便可以搞...
华为路由web怎么设置?华为AR系列路由器web配置端口回流功能图文教程
10-01
华为AR系列路由器的Web配置教程主要涉及如何设置端口回流功能,以便内网服务器能够被外网访问。本文将详细解析这一过程。 首先,理解端口回流的重要性。在未开启端口回流时,只有外网主机可以通过外网IP加上特定...
防火墙NAT映射-端口回流-从零开始学RouterOS系列06
weixin_42588715的博客
08-05 1485
本教程适用于: 在内网里面使用公网地址去访问内网的服务器。 有点拗口,通俗来说,就是用一个公网IP就能内外网通吃,不用内网一个和外网一个的记。 端口回流,学名 Hairpin NAT。望文生义,就是发夹弯一样的NAT,当我们内网电脑使用公网地址访问网站服务器的时候,我们路由器立刻转手帮回送给网站服务器,就不用去走公网。 好处是:这样子不会受制于公网带宽限制,我们也不用记太多的访问方式。...
端口回流
weixin_34248849的博客
04-02 2844
思科、华为防火墙做端口回流解决内网主机无法通过公网访问内网服务的问题 问题产生原因分析: 网络环境介绍: 公司内网有一台web服务器,地址是192.168.100.100,web服务端口为80,并且为这台web服务器申请了DNS A记录的域名解析服务,解析记录是公司出口ip地址100.100.100.100。在办公区网络环境里,还有内网192.168.10.0网段...
ros端口映射和回流详解
02-06
在ROS 2.96中,进行端口映射的设置通常是在“Action”选项卡下,选择“dst-nat”,然后指定“To.Address”为内网服务器的IP,“To.Port”为服务器的端口号。完成设置后,外部用户可以通过路由器的外网IP访问到内网...
h3c路由器NAT端口映射配置
03-16
### H3C路由器NAT端口映射配置详解 #### 一、NAT(Network Address Translation)配置 NAT技术是一种将私有IP地址转换为合法公网IP地址的技术,常用于解决IPv4地址资源不足的问题。在H3C路由器上进行NAT配置时,...
nat hairpin 端口回流nat 回环)
qq_35382262的博客
04-25 7831
端口开启nat hairpin后,路径就是从192.168.1.2到nat端口10.0.0.2转换后再访问内网服务器192.168.1.254,相当于从外网nat接口绕了一圈后再访问192.168.1.254。内网地址:192.168.1.2,内网服务器:192.168.1.254,外网地址:10.0.0.2。这样做的好处就是所有访问服务器的流量都是经过防火墙控制,从而拒绝了来自内部的攻击,防止内鬼。
NAT回流,内网主机无法通过外网IP访问内网服务器问题
guganly的专栏
02-26 929
NAT回流是指服务器提供NAT映射,即满足公网用户通过公网地址访问;也满足内网用户通过公网地址访问,内网用户访问的数据能正常返回就是数据回流功能。出现Nat回流这是正常现象,任何设备只要做了端口映射,都绕不开这个问题,因为TCP/IP协议栈就是这样工作的。按理再做完这一步以后,nat回流的问题就应该解决了,但是实际情况是并没有生效。经过分析,原因就是做好端口映射以后,内部服务器通过外网IP访问内部server的时候流量没有回流到防火墙导致的。
华为AR3260路由器配置NAT地址回流
WINDOWS SERVER 2003使用组策略禁用U盘
06-01 6197
4:先用G0/0/0建立一个NAT,建完这个在公司外面,或者在公司内部使用流量就可以公网地址,打开公司内部的服务器了。接口选择外网的接口,外部IP当前接口IP地址默认是外网的地址,外部端口号,内部IP,内部端口号根据实际情况填写。8:配置完就实现了地址回流的功能,在公司内部可以使用公网地址加端口号的方式访问公司内部的服务器了。5:在新建一个NAT,这个时候接口名称选择内部接口G0/0/1,外部IP填写外网的地址,外部端口号,内部IP,内部端口号,更具实际情况填写。3:我一般是使用一对一地址转,点击新建。
nat回流的思考
weixin_34014277的博客
01-28 4249
nat回流的思考: 目前大多数企业网都存在nat回流现象,但是现在防火墙都能自动识别nat回流(所谓自动识别就是防火墙有dnat表),所以来回方向都经过防火墙的数据nat回流是不会造成影响的。或者也能通过dns服务器解决,内网访问时直接将域名映射到内网地址。 但是当企业网比较大,防火墙下部有核心时,就会经常出现服务器返回数据不经过防火墙(服务器客户端在同一...
端口回流与dns-map与域内NAT
dolphin98629的专栏
06-23 3202
端口回流与dns-map与域内NAT 回流的概念: 端口回流&DNS-map&域内NAT 组网分析: 某企业内部一台主机建了个WEB服务站点端口80,然后在网关Router上映射80端口到Web Server的80端口,这样外网上上就能以公网地址202.38.1.1:80的地址访问到Web Server的站点了。 但是Host A通过公网地址却无法访问服务器,如果Router
pfSense端口回流的设置
weixin_33979745的博客
11-13 579
端口回流的含义可以用一个例子来说明:如果你在路由器中设置了虚拟服务器或端口转发,例如把WAN接口8888端口转发到内网地址192.168.111.71的Web服务器上,通过访问路由器的外网地址如220.176.33.198:8888,就可以直接访问内部的这台Web服务器。如果支持端口回流,那么在局域网上的任何一台电脑上输入路由器220.176.33.198:8888的外网地址...
华为防火墙端口回流配置
05-13
华为防火墙的端口回流配置主要涉及到两种技术:端口映射和NAT。下面分别介绍: 1. 端口映射 端口映射是一种将外部网络中的IP地址和端口映射到内部网络中的IP地址和端口的技术。它的主要作用是将内部网络的服务暴露...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值