解决公网IP内部访问技术分析.docVIP

tcp/ip协议中，专门保留了三个IP地址区域作为私有地址，其地址范围如下： 　　/8：～55 　　 /12：～55 　　 /16：～55 　　使用保留地址的网络只能在内部进行通信，而不能与其他网络互连。因为本网络中的保留地址同样也可能被其他网络使用，如果进行网络互连，那么寻找路由时就会因为地址的不唯一而出现问题。但是这些使用保留地址的网络可以通过将本网络内的保留地址翻译转换成公共地址的方式实现与外部网络的互连。这也是保证网络安全的重要方法之一。 　　但是有一些宽带运营商尽管也使用了非私有地址分配给用户使用，但是由于路由设置的原因，Internet上的其他用户并不能访问到这些ip。 　　我们将这两种情况下应用的ip称为内网IP。 　　如果自己机器上网络接口的ip地址落在上述保留地址的范围内，则可以肯定自己处于内网模式下。 　　内网IP对Internet的访问必须通过代理的方式，NAT（网络地址转换）技术是基于TCP层面的代理，能够相当好地使用于各种IP服务应用，因此被广泛应用。 　　之所以说相当好，是因为NAT要求整个服务的连接是从内网向外网主动发起的，而外网的用户无法直接（主动）向内网的服务发起连接请求，除非在NAT的（所有）网关上针对服务的端口作了端口映射。 　　NAT方式要求最外围的网关至少有一个公网的IP，通过下面的链接内网用户可以获知自己访问Internet时使用的公网IP。 　　 /getip.php 　　将这个IP与自己机器上网络接口的ip比较，即可知道自己的ip是不是内网IP。即，如果是相同的，则恭喜你，你的ip是公网IP，不同，则是内网IP。 在Win2000和WinNT下面，执行ipconfig： c:\ipconfig Windows 2000 IP Configuration Ethernet adapter 本地连接: Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 78 Subnet Mask . . . . . . . . . . . : Default Gateway . . . . . . . . . : c:\ 其中78 就是本机网络接口“本地连接”的ip地址。 和4F有关的补充1 内网的只有本省内的宽带用户可以进 2 在浏览器地址栏打 或者 等一般可以进入猫的设置界面 公网、内网是两种Internet的接入方式。 公网接入方式：上网的计算机得到的IP地址是Inetnet上的非保留地址。公网的计算机和Internet上的其他计算机可随意互相访问。 NAT（Network Address Translator）是网络地址转换，它实现内网的IP地址与公网的地址之间的相互转换，将大量的内网IP地址转换为一个或少量的公网IP地址，减少对公网IP地址的占用。NAT的最典型应用是：在一个局域网内，只需要一台计算机连接上Internet，就可以利用NAT共享Internet连接，使局域网内其他计算机也可以上网。使用NAT协议，局域网内的计算机可以访问Internet上的计算机，但Internet上的计算机无法访问局域网内的计算机。 ? ? Windows操作系统的Internet连接共享、sygate、winroute、unix/linux的natd等软件，都是使用NAT协议来共享Internet连接。 所有ISP（Internet服务提供商）提供的内网Internet接入方式，几乎都是基于NAT协议的。 不是任何设备都存在此问题，拿cisco的设备来说，中低端系列就有问题，而netscreen的防火墙没有这个问题，但是究竟为什么有些设备不支持呢？ 以下所有内容均针对出口是以太网的情况，对于串口接入，不会出现这种问题。 本地出口地址是，isp对端是（掩码没写，稍后会分别讨论）。 和是内网两台服务器的内网地址，被静态映射到公网上的和. 内网的pc全部被pat到出口上。本地路由器一条缺省路由到isp对端。 我想这个拓扑应该是非常普遍的了，我认为就是因为这个非常普遍的拓扑，造成了很多人所反应的“内网不能通过公网地址访问内网服务器”这个问题。我认为这个问题的关键原因就在于掩码，就是在3层上做文章。 第一节 先来看看一般情况下，这个环境的掩码的规划。假设isp分配一段8地址子网给本地，这样isp路由器接口和本地路由器接口共占用2个，网络地址、广播地址共占用2个，可用的一共4个，掩码是248。对于图示的拓扑，假设本地路由器出口掩码是248（内网pc的pat地址相应的也就是掩码为248），被映射的两个地址掩码也是248，这个最普遍的掩码规划，结果是：