网站大量收购独家精品文档,联系QQ:2885784924

内网输入外网IP访问内网服务器NAT分析.docVIP

内网输入外网IP访问内网服务器NAT分析.doc

  1. 1、本文档共3页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
内网输入外网IP访问内网服务器NAT分析

1.拓朴图: 2.环境假设: ?? 内网服务器的私网地址为51,将服务器的80端口映射至的80端口上,并申请域名,内网PC机的IP地址为,现在我们在路由器的外网口配置如下命令: ? sys ? acl number 2000 ? rule permit source 55 ??quit ? int g0/0 //外网口 ? ip address ? nat server protocol tcp global www indise 51 www ? nat outbound 2000 ? quit ? 经过以上配置后: ?一、外网用户通过域名或者公网IP地址应该是可以访问服务器,数据流程如下: ? 1.外网用户发起到的TCP 80端口的连接,IP报头结构如下:源IP:外网用户的公网IP,目的IP: ? 2.数据经过路由,到企业边源路由器,由于外网口上有端口映射,则数据会匹配映射,将IP报头结构改变成:源IP:外网用户的公网IP,目的IP:51 ? 3.数据经过内网路由,交到服务器,服务器回应用户数据,IP报头结构如下:源IP:51,目的IP:外网用户的IP ? 4.数据经过边界路由器出公司,由于NAT Server的优先级高于NAT Outbound,所以,数据到达路由器后会先匹配NAT Server记录的会话表项,将IP报头转换成:源IP:,目的IP:外网用户的公网IP ? 5.数据最终通过公网路由到达访问用户,数据访问成功。 二、内网用户通过域名是不能访问服务器的,数据流程如下: ? 1.内网用户发起DNS请求,域名解地址为,客户机发出请求,IP报头结构如下:源IP:,目的IP: ? 2.数据到达路由器后,由于路由器上有的直连路由,数据直接交到外网口,由于外网口配置有NAT Server,目的IP被转换后发到服务器,IP报头结构如下:源IP:,目的IP:51 ? 3.服务器收到数据后,发现源IP就是一个本地IP地址,此时服务器就不会以为ip回复,而是以51为源地址回复。此时的IP数据包结构为:源IP:51,目的IP:,数据将到客户机后,客户机认为,自己请求的是的数据,但是收到的是发送的,则认为这个数据不是自己要的,此时会丢弃掉该数据,从而引起TCP等待超时,导致无法访问。 方法一: 为了解决该问题,我们在内网口做如下设置: ?? acl number 3000 ?? rule permit ip source 55 destination 51 ?? quit ?? int g0/1 //内网口 ?? nat outbound 3000 ?? nat server protocol tcp global www inside 51 www ?? quit 经过以上配置后,我们再在内网使用域名访问该服务器,看看数据流程: ?? 1.内网用户发起DNS请求,域名解析为地址,客户机发出请求,IP报头结构如下:源IP:,目的IP: ?? 2.数据交到路由器的内网口,首先匹配端口映射,将目的IP更换掉,此时IP报头结构如下:源IP:,目的IP:51 ?? 3.路由器发现该数据为内网数据,会再从内网口发出去,此时再匹配nat outbound,将源IP换掉,此时IP报头结构为:源IP:,目的IP:51 ?? 4.服务器收到数据后响应请求,回复数据包IP报头结构为:源IP:51,目的IP: ?? 5.数据到达路由器后,根据NAT Outbound和NAT Server的记录表项,将源IP和目的IP替换掉,此时IP报头结构为:源IP:,目的IP为 ?? 6.数据到达客户,目的IP和源IP正确,访问成功。 现在我们假设没有nat server protocol tcp global www inside 51 www,来看一下数据报文是否能完整地走完:(目前MSR路由器上的端口映射配置全局有效,不需要再在内网口配置该命令了。) ?? 1.内网用户发起DNS请求,域名解析为地址,客户机发出请求,IP报头结构如下:源IP:,目的IP: ?? 2.数据将到路由器,由于外网口上有端口映射,则数据会匹配映射,将IP报文结构改变成:?源IP:,目的IP:51 ?? 3.数据将到路由器内网口,匹配nat outbound,将源IP地址变掉,IP报文结构改变成:源IP:,目的IP:51 ?? 4.数据交至服务器,服务器回复报文,IP报头为:源IP:51,目的IP: ?? 5.路由器收到后,匹配内网口NAT Outbound的记录表项,将其IP报头改为:源IP:51,目的IP: ?? 6.数据直接交给客户机,客户机依然认为不是自己请求的数据,丢弃,继续等待,超时,失败。 方法二: dns-map:内网用户使用公网域名访问内网服

文档评论(0)

wannian118 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档