20260521网络配置-NAT Server实现外网访问内网服务
本文详细介绍了如何配置网络拓扑实现外网访问内网服务。首先完成R3和R4的基础接口IP配置,确保直连网段互通;接着在R3配置默认路由,R4配置静态路由,实现跨网段通信;然后在R3外网接口配置NAT端口映射,将HTTP(80)和FTP(21)服务映射到内网服务器Server2,并开启FTP ALG功能确保FTP协议正常工作。最终测试验证:外网客户端可通过R3公网IP访问Server2的HTTP和FTP
·
陪IP:
配默认路由:
做完之后去Server2的基础配置看一下连通性:
R3配EAT server??:做映射:
试一下内网是否能够ping通:
?平1..2发现ping不通
给R4做静态路由:
再试试1.2能不能出去,测试如下发现成功
然后再来内网看测试???
R3的FTP服务:
ftp映射:
看映射关系的命令:
s实现映射的另外一种方式?
按照图片的顺序把整个拓扑的配置流程、逻辑关系和最终效果完整梳理一遍👇:
一、整体拓扑与目标
拓扑结构
- Server2:内网服务器,IP
192.168.1.1/24,提供 HTTP(80)和 FTP(21)服务,网关指向 R3 的192.168.1.254。 - R3:内网出口路由器,负责连接内网 Server2 和外网 R4,并配置 NAT 端口映射。
- R4:外网路由器,连接 R3 和外网客户端 Client1。
- Client1:外网客户端,IP
200.1.1.1/24,网关指向 R4 的200.1.1.254。
核心目标
让外网的 Client1 能够访问内网 Server2 的 HTTP 和 FTP 服务,同时保证内网 Server2 能正常访问外网。
二、分步拆解(按图片顺序)
1. 基础接口 IP 配置(R3 & R4)
R3 配置
# 内网口(连接Server2)
[Huawei]int e0/0/0
[Huawei-Ethernet0/0/0]ip add 192.168.1.254 24
# 外网口(连接R4)
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]ip add 100.100.1.1 24
R4 配置
# 内网口(连接R3)
[Huawei]int e0/0/0
[Huawei-Ethernet0/0/0]ip add 100.100.1.2 24
# 外网口(连接Client1)
[Huawei]int e0/0/1
[Huawei-Ethernet0/0/1]ip add 200.1.1.254 24
逻辑:给所有路由器接口配置 IP,保证直连网段(192.168.1.0/24、100.100.1.0/24、200.1.1.0/24)的设备能互相 ping 通。
2. Server2 基础配置与连通性测试
- Server2 的 IP:
192.168.1.1/24,网关:192.168.1.254(R3 内网口 IP)。 - 测试 ping
100.100.1.1(R3 外网口 IP),结果成功。逻辑:验证 Server2 到 R3 的直连链路正常,说明内网侧基础网络无问题。
3. R3 默认路由配置
[Huawei]ip route-static 0.0.0.0 0.0.0.0 100.100.1.2
- 下一跳指向 R4 的
100.100.1.2,作用是让 R3 收到所有非直连网段(如 200.1.1.0/24)的数据包时,都转发给 R4。逻辑:保证 Server2 访问外网的流量能被正确转发到 R4。
4. Server2 访问 R4 测试
- Server2 ping
100.100.1.2(R4 的内网口 IP),结果成功。逻辑:验证 R3 的默认路由生效,Server2 的流量能成功通过 R3 转发到 R4。
5. R4 静态路由配置
[Huawei]ip route-static 192.168.1.0 255.255.255.0 100.100.1.1
- 作用:让 R4 收到去往
192.168.1.0/24的数据包时,转发给 R3 的100.100.1.1。逻辑:保证外网 Client1 访问 Server2 的流量,回包时能被 R4 转发回 R3,避免流量黑洞。
6. R3 配置 NAT 端口映射(HTTP 服务)
[Huawei-Ethernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.1 80
- 含义:外网用户访问 R3 外网口 IP(
100.100.1.1)的 80 端口时,流量会被映射到内网 Server2 的192.168.1.1:80。 - 设备会弹出 “知名端口警告”,输入
y确认即可。逻辑:让外网能直接通过 R3 的公网 IP 访问内网的 HTTP 服务。
7. 外网 Client1 测试 HTTP 访问
- Client1 访问
http://192.168.1.1(内网 IP),成功收到 HTTP 响应,说明 HTTP 服务正常。补充:后续还可以通过访问http://100.100.1.1(R3 外网口 IP)验证 NAT 映射是否生效。
8. R3 配置 NAT 端口映射(FTP 服务)
[Huawei-Ethernet0/0/1]nat server protocol tcp global current-interface 21 inside 192.168.1.1 21
[Huawei-Ethernet0/0/1]nat alg ftp enable
- 含义:外网用户访问 R3 外网口 IP 的 21 端口时,流量映射到 Server2 的
192.168.1.1:21;开启nat alg ftp enable保证 FTP 主动 / 被动模式正常工作。逻辑:完成 FTP 服务的外网发布,让外网能访问内网的 FTP 服务。
三、整体逻辑关系与最终效果
配置流程的核心逻辑链
- 接口 IP 配置 → 直连网段互通
- 默认 / 静态路由配置 → 跨网段流量可达
- NAT Server 配置 → 外网用户可访问内网服务
- 连通性 / 服务测试 → 验证所有配置生效
最终实现效果
- ✅ 内网 Server2 可以正常访问外网(Client1 所在的 200.1.1.0/24 网段)。
- ✅ 外网 Client1 可以通过
100.100.1.1:80访问 Server2 的 HTTP 服务。 - ✅ 外网 Client1 可以通过
100.100.1.1:21访问 Server2 的 FTP 服务。
补充说明与常见问题
- 为什么要在 R4 上配置静态路由?
- 如果不配置,R4 收到 Server2 的回包时,不知道
192.168.1.0/24的路由,会直接丢弃,导致访问失败。
- 如果不配置,R4 收到 Server2 的回包时,不知道
- 为什么要开启 FTP ALG?
- FTP 协议会使用额外的数据端口,NAT 默认无法识别这些端口,开启 ALG 后路由器会自动处理 FTP 报文,保证数据通道正常建立。
- NAT Server 必须在哪个接口配置?
- 必须在 ** 外网接口(R3 的 E0/0/1)** 配置,否则外网流量无法触发 NAT 映射规则。
一、R3 完整配置(带详细注释)
shell
# 进入系统视图
system-view
# 配置内网接口 E0/0/0(连接 Server2)
interface Ethernet0/0/0
ip address 192.168.1.254 255.255.255.0 # 配置内网网关IP
quit
# 配置外网接口 E0/0/1(连接 R4)
interface Ethernet0/0/1
ip address 100.100.1.1 255.255.255.0 # 配置公网侧接口IP
quit
# 配置默认路由,所有未知网段都发给 R4(100.100.1.2)
ip route-static 0.0.0.0 0.0.0.0 100.100.1.2
# 进入外网接口配置 NAT 端口映射(必须在外网口配置)
interface Ethernet0/0/1
# 配置 HTTP 80端口映射:公网IP 80 → 内网服务器 80
nat server protocol tcp global current-interface 80 inside 192.168.1.1 80
# 配置 FTP 21端口映射:公网IP 21 → 内网服务器 21
nat server protocol tcp global current-interface 21 inside 192.168.1.1 21
# 开启 FTP ALG 功能,保证 FTP 传输正常
nat alg ftp enable
quit
# 查看 NAT 配置是否生效(验证用)
display nat server
二、R4 完整配置(带详细注释)
shell
# 进入系统视图
system-view
# 配置连接 R3 的接口 E0/0/0
interface Ethernet0/0/0
ip address 100.100.1.2 255.255.255.0 # 与 R3 对接的IP
quit
# 配置连接客户端的接口 E0/0/1
interface Ethernet0/0/1
ip address 200.1.1.254 255.255.255.0 # 外网客户端网关
quit
# 配置静态路由:访问内网 192.168.1.0 网段 → 发给 R3(100.100.1.1)
ip route-static 192.168.1.0 255.255.255.0 100.100.1.1
三、Server2 配置(你图片里的服务器)
plaintext
IP:192.168.1.1
子网掩码:255.255.255.0
网关:192.168.1.254 (必须指向 R3 内网口)
四、Client1 配置(外网测试机)
plaintext
IP:200.1.1.1
子网掩码:255.255.255.0
网关:200.1.1.254 (指向 R4)
五、整套配置的逻辑(一句话看懂)
- 先配接口 IP → 让设备之间能直连通信
- 再配路由 → 让跨网段可以互相访问
- 最后配 NAT 端口映射 → 让外网能访问内网服务器
- 测试 HTTP/FTP → 验证服务发布成功
六、最终实现效果(完全符合你图片要求)
✅ 外网 Client1 可以访问
- 访问
http://100.100.1.1→ 打开 Server2 的网页 - 访问
ftp://100.100.1.1→ 连接 Server2 的 FTP 服务
✅ 内网 Server2 可以访问外网
openEuler 是由开放原子开源基金会孵化的全场景开源操作系统项目,面向数字基础设施四大核心场景(服务器、云计算、边缘计算、嵌入式),全面支持 ARM、x86、RISC-V、loongArch、PowerPC、SW-64 等多样性计算架构
更多推荐
2
0- 0
已为社区贡献1条内容
所有评论(0)