端口映射技术有效的解决了这个问题,我们可以把NAT设备看做是一道门,这扇门使外网主机“看不到”内网的服务器,我们可以在这扇门上“打洞”,让外网主机可以通过这个“洞”看到内网的服务器,这个“洞”就是我们服务器的端口,例如我们可以在这扇门上开通80端口,让该端口映射为内网网站的80端口,这样就可以实现外网主机就可以通过访问这个80端口,间接访问到内网的网站了!
网络拓扑图
实验步骤
1、定义客户端地址
PC0
IP:192.168.0.100、子网掩码:255.255.255.0、网关:192.168.0.1
Server0
IP:60.60.60.60、子网掩码:255.0.0.0、网关:不要设置网关!
注意点:Server0不要添加网关,PC0访问Server0的方法是通过NAT的地址转换,将原本192.168.0.100的源IP地址替换成60网段的地址,实现PC0访问Server0。
2、定义内网接口和外网接口
NAT(config)#int e1/0
NAT(config-if)#ip nat inside
NAT(config-if)#ip address 192.168.0.1 255.255.255.0
NAT(config-if)#no shutdown
NAT(config)#int f0/0
NAT(config-if)#ip nat outside
NAT(config-if)#ip address 60.0.0.1 255.0.0.0
NAT(config-if)#no shutdown
3、定义内网地址集合
NAT(config)#access-list 1 permit 192.168.0.0 0.0.0.255
4、做一个简单的基于端口的NAT
NAT(config)#ip nat inside source list 1 interface e1/1 overload
6、设置端口映射
NAT(config)#ip nat inside source static tcp 192.168.0.100 80 60.0.0.1 80
这里重点解释一下,将内网服务器192.168.0.100的tcp 80端口映射到外网接口60.0.0.1的tcp 80端口,外网主机通过访问60.0.0.1的tcp 80端口实现对内网服务器192.168.0.100的tcp 80端口访问,这样就可以看到内网的网站了。
7、验证实验效果
验证效果图:在Server0内网服务器上设置一个网站
验证效果图:在Laptop0外网主机上访问NAT外网接口地址
验证效果图:在NAT设备上查看地址翻译情况
通过show ip nat translations指令可以查询到外网主机访问60.0.0.1:80,通过NAT的端口映射功能,最终访问到192.168.0.100:80,实验完成!
总结
端口映射技术是一种很常用的NAT功能,可以实现公司内网服务器的对外发布,方便出差员工访问。
端口映射技术的使用,也对网络管理员维护企业网安全提出了更高的要求,合理的端口映射需要提前规划,切不可随意设置端口映射,因为端口映射规则做的越多,内网服务器的安全性就越差,所以如何平衡方便性和安全性,是管理员在实际工作中要面临的首要任务。
