求助,处于 NAT 内网访问外网的网络摄像头,如何在外网进行访问
点击联系发帖人
时间:2017-11-04 10:32
本案例介绍内网用户通过NAT地址访问外网的典型配置举例。
本案例适用于使用Comware V7软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本案例中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本案例假设您已了解NAT和WLAN接入特性。
组网信息及描述
如图所示,AP和Client通过DHCP服务器获取IP地址,用于地址转换的两个公网地址为202.38.1.2、202.38.1.3。具体要求如下:
&&&&&&&&&&&&&& 只允许192.168.1.0/24网段的用户访问Internet,其它网段的用户不能访问Internet。
&&&&&&&&&&&&&& 在AC出接口配置动态地址转换。
需要保证各设备间路由可达,本例路由配置略。
(1)&&&&& 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
&AC& system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 192.168.0.1 24
[AC-Vlan-interface100] quit
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client将使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 192.168.1.1 24
[AC-Vlan-interface200] quit
# 创建VLAN 300及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该VLAN进行动态地址转换。
[AC] vlan 300
[AC-vlan300] quit
[AC] interface vlan-interface 300
[AC-Vlan-interface300] ip address 202.38.1.1 24
[AC-Vlan-interface300] quit
(2)&&&&& 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置无线服务模板VLAN为200。
[AC-wlan-st-1] vlan 200
# 开启无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP,配置AP名称为officeap,型号名称选择WA4320i-ACN,并配置序列号GQC。
[AC] wlan ap officeap model WA4320i-ACN
[AC-wlan-ap-officeap] serial-id GQC
# 进入Radio 2视图。
[AC-wlan-ap-officeap] radio 2
# 将无线服务模板1绑定到radio 2,并开启射频。
[AC-wlan-ap-officeap-radio-2] service-template 1
[AC-wlan-ap-officeap-radio-2] radio enable
[AC-wlan-ap-officeap-radio-2] quit
[AC-wlan-ap-officeap] quit
(3)&&&&& 配置动态地址转换
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[AC] nat address-group 0
[AC-address-group-1] address 202.38.1.2 202.38.1.3
[AC-address-group-1] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[AC] acl basic 2000
[AC-acl-ipv4-adv-2000] rule permit source 192.168.1.0 0.0.0.255
[AC-acl-ipv4-adv-3000] quit
# 在接口Vlan-interface300上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[AC] interface vlan-interface 300
[AC-Vlan-interface300] nat outbound 2000 address-group 0
[AC-Vlan-interface300] quit
1.1.2& 配置Switch
# 创建VLAN 100,用于转发AC和AP间CAPWAP隧道内的流量。
&Switch& system-view
[Switch] vlan 100
[Switch-vlan100] quit
# 创建VLAN 200,用于转发Client无线报文。
[Switch] vlan 200
[Switch-vlan200] quit
# 创建VLAN 300,用于转发访问外网的流量。
[Switch] vlan 300
[Switch-vlan2] quit
# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,允许VLAN 100、VLAN 200和VLAN 300通过。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port access vlan 100
# 使能PoE功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
上述配置完成后,当192.168.1.0/24网段的用户访问Internet时,会进行动态NAT转换。在AC上使用 display nat session verbose命令,可以看到客户端访问外网时生成的NAT会话信息。
[AC] display nat session verbose
Initiator:
& Source&&&&& IP/port: 192.168.1.2/1628
& Destination IP/port: 202.38.1.100/21
& DS-Lite tunnel peer: -
& VPN instance/VLAN ID/Inline ID: -/-/-
& Protocol: TCP(6)
& Inbound interface: Vlan-interface200
Responder:
& Source&&&&& IP/port: 202.38.1.100/21
& Destination IP/port: 202.38.1.2/1024
& DS-Lite tunnel peer: -
& VPN instance/VLAN ID/Inline ID: -/-/-
& Protocol: TCP(6)
& Inbound interface: Vlan-interface300
State: TCP_ESTABLISHED
Application: FTP
Start time:
16:54:35& TTL: 2699s
Initiator-&Responder:&&&&&&&&&&& 1 packets&&&&&&&&& 84 bytes
Responder-&Initiator:&&&&&&&&&&& 1 packets&&&&&&&&& 84 bytes
Total sessions found: 1 s
&&&&&&&&&&&&&& AC:
wlan service-template 1
&ssid service
&service-template enable
interface Vlan-interface100
&ip address 192.168.0.1 255.255.255.0
interface Vlan-interface200
&ip address 192.168.1.1 255.255.255.0
interface Vlan-interface300
&ip address 202.38.1.1 255.255.255.0
&nat outbound 2000 address-group 1
acl basic 2000
&rule 0 permit source 192.168.1.0 0.0.0.255
nat address-group 0
&address 202.38.1.2 202.38.1.3
wlan ap officeap model WA4320i-ACN
&serial-id GQC
& radio enable
& service-template 1
&&&&&&&&&&&&&& Switch:
interface GigabitEthernet1/0/1
&port link-type trunk
&port trunk permit vlan 1 100 200 300
interface GigabitEthernet1/0/2
&port link-type access
&port access vlan 100
poe enable
配置关键点及注意事项
&&&&&&&&&&&&&& VLAN接口下应用NAT时,建议采用地址组(nat address-group)的形式进行动态地址转换。
&&&&&&&&&&&&&& 地址组(nat address-group)中不要添加VLAN接口自己的公网IP地址。
&&&&&&&&&&&&&& 如果整个AC只有VLAN接口一个公网IP地进行动态地址转换,则需要通过命令port-range配置合理的起始端口号和结束端口号,建议使用,确保AC的业务端口号不被用于NAT转发。
还可输 200 字
0 个赞 | 619 次点击
0 个赞 | 225 次点击
0 个赞 | 380 次点击
13 个赞 | 1138 次点击
3 个赞 | 350 次点击
2 个赞 | 771 次点击
2 个赞 | 548 次点击
42 个赞 | 4411 次点击
0 个赞 | 61 次点击
0 个赞 | 524 次点击
近期专家排名
最近发表 8 篇文章
最近发表 7 篇文章
最近发表 7 篇文章
40 个赞 | 9882 次点击
2 个赞 | 8966 次点击
45 个赞 | 8821 次点击
42 个赞 | 6566 次点击
42 个赞 | 6060 次点击外网如何访问内网机器_文档库
文档库最新最全的文档下载
当前位置: & 外网如何访问内网机器
外网如何访问内网机器
外网远程控制访问内网服务器
解决方案:通过NAT 网络地址转换技术或相关技术应用实现。
解决方法大概过程:
在内网建立NAT 网络地址转换,也叫端口映射,将内网服务器IP 和远程控制端口利用nat123应用进行端口映射。
然后即可在外网用nat123应用分配的公网IP 和自定义的端口,进行远程控制访问内网服务器了。
一.准备阶段:
准备目标是确定内网可以正常远程控制。
确定允许远程控制。
内网PC (192.168.1.20)设置允许远程控制。计算机属性/远程设置,启动远程桌面允许。
确定内网远程控制端口。
明确内网PC (192.168.1.20)远程桌面端口。默认是3389,可以在注册表修改。 “开始”→“运行”→输入“regedit” 回车,进入注册表,找到这个路径
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\ 修改参数PortNamber 参数是默认是16进制的,hexadecimal 改为 decimal 可以变成10进制,默认端口是3389可以自己修改。
确定远程控制使用的帐号密码。
设置远程登录用户密码。控制面板/用户帐户,设置administrator 用户密码(或添加配置其他用户密码)。
内网远程控制测试。
测试内网远程登录。内网成功远程控制。
二.Nat123端口映射:
1. 访问nat123
内网PC 登录nat123。
2. 远程控制配置。
端口映射添加。内网IP 内网端口,外网网址(为空),外网端口(自定义,只能是之间)。对应远程控制内网IP 端口,和外网远程控制连接的自定义端口。
Word文档免费下载:&&&&&&&&NAT外网访问内网方法_内网端口映射外网ip
正在努力加载播放器,请稍等…
正在努力加载播放器
大小:765.65KB&&所需金币:50
&& & 金币不足怎么办?
下载量:-次 浏览量:155次
贡献时间: 11:27:06
文档标签:
已有-位用户参与评分
同类热门文档
你可能喜欢
看过这篇文档的还看过
阅读:1673&&下载:5
阅读:582&&下载:4
阅读:831&&下载:3
阅读:381&&下载:2
阅读:771&&下载:0
阅读:282&&下载:0
阅读:142&&下载:0
阅读:653&&下载:0
阅读:331&&下载:0
阅读:135&&下载:0
该用户的其他文档
所需财富值:
50文件大小:765.65KB
您当前剩余财富值:&&
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
举报该文档侵犯版权。
例: /help.shtml怎么配置路由器使得外网只能通过NAT映射访问内网
最新回复: 17:45:45
不知道我这提法对不对:
1、 我的0/3端口接普通宽带路由器LAN口,宽带路由器LAN下还接另外几台电脑,而且这几台电脑不受我控制;
2、 0/0接内部办公网络,已配置NAT策略,使内部办公电脑可以上网;
3、 路由器配置了NAT端口映射,使得互联网上可以访问0/0地址的指定端口以访问我的内部服务器。
那么问题来了,那几台不受控制的电脑如果把网关设为我0/0的IP,那么他们就可以直接以路由方式访问我的内部网络的IP,但这是不能被允许的
我想要知道的是:怎样配合防火墙策略和NAT策略使得0/0端口外的电脑只能通过NAT映射的方式访问0/1下的电脑,路由方式的访问全部禁止
怎么配置路由器使得外网只能通过NAT映射访问内网
帮顶顶。。
怎么配置路由器使得外网只能通过NAT映射访问内网
怎么配置路由器使得外网只能通过NAT映射访问内网
你是不是做了路由?配置发出来看下吧!!
怎么配置路由器使得外网只能通过NAT映射访问内网
前面配置文本发不了,现在好了
怎么配置路由器使得外网只能通过NAT映射访问内网
以下是我现在的配置,原来是供货商帮我配的,后来我通过WEB修改了一些,可能有些垃圾信息吧
0/0属trust区,0/1,0/2,0/3属untrust区
0/0接的是我内部网,有一些服务器
0/1接的互联网
0/2暂时未用
0/3接的是210.10.10.10 和 172.168.2.2, 是联通和电信给的固定IP,当然,这不是公网地址,是我单位的VPN地址,
联通的远端地址是192.168.0.0/255.255.192.0,
电信的远端地址是192.168.64.0/255.255.192.0
0/3外还接一些不受控的电脑,现在的问题,他们如果把网关设成172.168.2.2 或 210.10.10.10就能直接访问我内网的192.169.0.0/24,我想加访问控制,但是加了后untrust区的通过NAT映射对服务器的访问也控制住了,我也试着对指定TCP/UDP端口允许访问,但还是感觉不能达到我的需求,我现在就想要untrust区对trust区的访问只能通过NAT映射,直接(路由)访问的禁止
ip address-set server type object
address 1 range 192.168.0.1 192.168.0.255
ip address-set dx_internet type object
address 0 192.100.1.0 mask 24
address 1 221.226.142.202 mask 32
address 3 202.102.116.115 mask 32
address 4 range 0.0.0.0 255.255.255.255
ip address-set dx type object
address 0 range 172.168.2.0 172.168.2.254
address 1 range 192.168.64.0 192.168.127.254
ip address-set lt type object
address 0 range 192.168.4.0 192.168.63.254
address 1 range 210.10.10.1 210.10.10.254
ip address-set epm type object
address 0 range 172.16.1.1 172.16.1.255
ip address-set office type object
address 0 192.100.1.0 mask 24
ip service-set csjtports type group
description 城市交通端口
service 0 service-set csjt
service 1 service-set ftp
ip service-set sql1433 type object
service 0 protocol tcp source-port 0 to 65535 destination-port
ip service-set csjt type object
service 0 protocol tcp source-port 802 destination-port 802
service 1 protocol tcp source-port 1433 destination-port 1433
service 2 protocol tcp source-port 4899 destination-port 82
service 3 protocol tcp source-port 123 destination-port 123
service 4 protocol tcp source-port 9100 destination-port 9100
service 5 protocol tcp source-port 3389 destination-port 3388
service 6 protocol tcp source-port 803 destination-port 802
service 7 protocol tcp source-port 802 destination-port 803
acl number 3003
rule 11 permit ip source 192.168.0.0 0.0.0.255
acl number 3010
sysname USG5310
update schedule dpi daily 01:41
security server domain
web-manager enable
web-manager security enable
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone local vzone direction inbound
firewall packet-filter default permit interzone local vzone direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone trust vzone direction inbound
firewall packet-filter default permit interzone trust vzone direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound
firewall packet-filter default permit interzone untrust vzone direction inbound
firewall packet-filter default permit interzone untrust vzone direction outbound
firewall packet-filter default permit interzone dmz vzone direction inbound
firewall packet-filter default permit interzone dmz vzone direction outbound
怎么配置路由器使得外网只能通过NAT映射访问内网
nat address-group 1 ChinaNet 172.168.2.2 172.168.2.2
nat address-group 2 UniCom 210.10.10.10 210.10.10.10
nat address-group 3 Internet 192.100.1.80 192.100.1.80
nat address-group 172 e172 172.16.1.1 172.16.1.254
nat server 1 protocol tcp global 172.168.2.2 ftp inside 192.168.0.6 ftp no-reverse
nat server 2 protocol tcp global 172.168.2.2 82 inside 192.168.0.2 4899 no-reverse
nat server 3 protocol udp global 172.168.2.2 ntp inside 192.168.0.2 ntp no-reverse
nat server 5 protocol tcp global 210.10.10.10 ftp inside 192.168.0.6 ftp no-reverse
nat server 6 protocol tcp global 210.10.10.10 82 inside 192.168.0.2 4899 no-reverse
nat server 7 protocol tcp global 210.10.10.10 1433 inside 192.168.0.2 1433 no-reverse
nat server 8 protocol tcp global 172.168.2.2 1433 inside 192.168.0.2 1433 no-reverse
nat server 9 protocol tcp global 192.100.1.80 803 inside 192.168.0.2 802 no-reverse
nat server 10 protocol udp global 210.10.10.10 ntp inside 192.168.0.2 ntp no-reverse
nat server 11 protocol tcp global 172.168.2.2 802 inside 192.168.0.2 802 no-reverse
nat server 12 protocol tcp global 192.100.1.80 9100 inside 192.168.0.252 9100
nat server 13 protocol tcp global 192.100.1.80 802 inside 192.168.0.1 802 no-reverse
nat server 14 protocol tcp global 172.168.2.2 www inside 192.168.0.6 3389 no-reverse
nat server 15 protocol tcp global 192.100.1.80 3388 inside 192.168.0.1 3389 no-reverse
firewall statistic system enable
interface GigabitEthernet0/0/0
ip address 192.168.0.251 255.255.255.0
ip address 172.16.1.1 255.255.255.0 sub
dhcp select interface
interface GigabitEthernet0/0/1
ip address 192.100.1.80 255.255.255.0
dhcp select interface
interface GigabitEthernet0/0/2
speed 1000
ip address 210.100.10.10 255.255.255.0
interface GigabitEthernet0/0/3
ip address 172.168.2.2 255.255.255.0
ip address 210.10.10.10 255.255.255.0 sub
dhcp select interface
interface NULL0
firewall zone local
set priority 100
firewall zone trust
set priority 85
detect ftp
detect sqlnet
add interface GigabitEthernet0/0/0
firewall zone untrust
set priority 5
detect ftp
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2
add interface GigabitEthernet0/0/3
firewall zone dmz
set priority 50
detect ftp
firewall zone vzone
set priority 0
firewall interzone trust untrust
detect ftp
policy interzone trust untrust inbound
action permit
policy service service-set csjtports
policy source address-set dx
policy source address-set lt
policy source address-set dx_internet
policy source address-set office
policy destination 192.168.0.0 mask 24
action deny
policy source 172.168.2.0 mask 24
policy destination 192.168.0.0 mask 24
action deny
policy source 210.10.10.0 mask 24
policy destination 192.168.0.0 mask 24
action deny
policy 3 disable
action deny
policy source 192.100.1.0 mask 24
policy destination 192.168.0.0 mask 24
policy 4 disable
policy zone trust
action permit
policy service service-set ftp
policy service service-set sql1433
policy source address-set epm
policy destination address-set server
action deny
policy logging
policy source address-set epm
policy destination address-set server
policy zone dmz
action permit
nat-policy interzone trust untrust outbound
action source-nat
policy source address-set server
policy source address-set epm
policy destination address-set lt
address-group UniCom
action source-nat
policy source address-set server
policy source address-set epm
policy destination address-set dx
address-group ChinaNet
action source-nat
policy source address-set server
policy source address-set epm
policy destination address-set dx_internet
address-group Internet
nat-policy zone dmz
action source-nat
local-user admin password cipher 6[N#:(%AS_#Q=^Q`MAF4<1!!
local-user admin service-type ftp web terminal
local-user admin level 3
ip pool 0 192.168.0.1 192.168.0.8
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
right-manager server-group
ip route-static 122.194.7.4 255.255.255.255 192.100.1.1
ip route-static 192.168.1.0 255.255.255.0 192.100.1.1
ip route-static 192.168.4.0 255.255.252.0 210.10.10.1
ip route-static 192.168.8.0 255.255.248.0 210.10.10.1
ip route-static 192.168.16.0 255.255.240.0 210.10.10.1
ip route-static 192.168.32.0 255.255.224.0 210.10.10.1
ip route-static 192.168.64.0 255.255.192.0 172.168.2.1
ip route-static 202.102.116.115 255.255.255.255 192.100.1.1
ip route-static 221.226.142.202 255.255.255.255 192.100.1.1
user-interface con 0
user-interface vty 0 4
怎么配置路由器使得外网只能通过NAT映射访问内网
2.把你想限制的IP段改一端口接,新建一个域,把你想限制的端口添加进来,然后设置域间访问,DENY
怎么配置路由器使得外网只能通过NAT映射访问内网
因为有不受控的电脑(或路由)直接接在了我的路由端口上,所以ip段也就不固定了,他完全可以再加个路由改变电脑的ip
怎么配置路由器使得外网只能通过NAT映射访问内网
按照我的配置,我已经加了允许tcp9100访问,在下面有加了禁止所有访问,可这时我9100访问不了了
* 是否包含第三方商业秘密:
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息,包括但不限于:产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问,请联系:e.(各社区公共邮箱)。
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
`@trans`universal_genius`~trans`
`@trans`universal_genius_des`~trans`
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`
`@trans`bright_future`~trans`
`@trans`bright_future_des`~trans`}
本案例适用于使用Comware V7软件版本的无线控制器和接入点产品,不严格与具体硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本案例中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本案例假设您已了解NAT和WLAN接入特性。
组网信息及描述
如图所示,AP和Client通过DHCP服务器获取IP地址,用于地址转换的两个公网地址为202.38.1.2、202.38.1.3。具体要求如下:
&&&&&&&&&&&&&& 只允许192.168.1.0/24网段的用户访问Internet,其它网段的用户不能访问Internet。
&&&&&&&&&&&&&& 在AC出接口配置动态地址转换。
需要保证各设备间路由可达,本例路由配置略。
(1)&&&&& 配置AC的接口
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。AP将获取该IP地址与AC建立CAPWAP隧道。
&AC& system-view
[AC] vlan 100
[AC-vlan100] quit
[AC] interface vlan-interface 100
[AC-Vlan-interface100] ip address 192.168.0.1 24
[AC-Vlan-interface100] quit
# 创建VLAN 200及其对应的VLAN接口,并为该接口配置IP地址。Client将使用该VLAN接入无线网络。
[AC] vlan 200
[AC-vlan200] quit
[AC] interface vlan-interface 200
[AC-Vlan-interface200] ip address 192.168.1.1 24
[AC-Vlan-interface200] quit
# 创建VLAN 300及其对应的VLAN接口,并为该接口配置IP地址。AC将使用该VLAN进行动态地址转换。
[AC] vlan 300
[AC-vlan300] quit
[AC] interface vlan-interface 300
[AC-Vlan-interface300] ip address 202.38.1.1 24
[AC-Vlan-interface300] quit
(2)&&&&& 配置无线服务
# 创建无线服务模板1,并进入无线服务模板视图。
[AC] wlan service-template 1
# 配置SSID为service。
[AC-wlan-st-1] ssid service
# 配置无线服务模板VLAN为200。
[AC-wlan-st-1] vlan 200
# 开启无线服务模板。
[AC-wlan-st-1] service-template enable
[AC-wlan-st-1] quit
# 创建AP,配置AP名称为officeap,型号名称选择WA4320i-ACN,并配置序列号GQC。
[AC] wlan ap officeap model WA4320i-ACN
[AC-wlan-ap-officeap] serial-id GQC
# 进入Radio 2视图。
[AC-wlan-ap-officeap] radio 2
# 将无线服务模板1绑定到radio 2,并开启射频。
[AC-wlan-ap-officeap-radio-2] service-template 1
[AC-wlan-ap-officeap-radio-2] radio enable
[AC-wlan-ap-officeap-radio-2] quit
[AC-wlan-ap-officeap] quit
(3)&&&&& 配置动态地址转换
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[AC] nat address-group 0
[AC-address-group-1] address 202.38.1.2 202.38.1.3
[AC-address-group-1] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[AC] acl basic 2000
[AC-acl-ipv4-adv-2000] rule permit source 192.168.1.0 0.0.0.255
[AC-acl-ipv4-adv-3000] quit
# 在接口Vlan-interface300上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[AC] interface vlan-interface 300
[AC-Vlan-interface300] nat outbound 2000 address-group 0
[AC-Vlan-interface300] quit
1.1.2& 配置Switch
# 创建VLAN 100,用于转发AC和AP间CAPWAP隧道内的流量。
&Switch& system-view
[Switch] vlan 100
[Switch-vlan100] quit
# 创建VLAN 200,用于转发Client无线报文。
[Switch] vlan 200
[Switch-vlan200] quit
# 创建VLAN 300,用于转发访问外网的流量。
[Switch] vlan 300
[Switch-vlan2] quit
# 配置Switch与AC相连的GigabitEthernet1/0/1接口的属性为Trunk,允许VLAN 100、VLAN 200和VLAN 300通过。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] port link-type trunk
[Switch-GigabitEthernet1/0/1] port trunk permit vlan 100 200 300
[Switch-GigabitEthernet1/0/1] quit
# 配置Switch与AP相连的GigabitEthernet1/0/2接口属性为Access,并允许VLAN 100通过。
[Switch] interface gigabitethernet 1/0/2
[Switch-GigabitEthernet1/0/2] port link-type access
[Switch-GigabitEthernet1/0/2] port access vlan 100
# 使能PoE功能。
[Switch-GigabitEthernet1/0/2] poe enable
[Switch-GigabitEthernet1/0/2] quit
上述配置完成后,当192.168.1.0/24网段的用户访问Internet时,会进行动态NAT转换。在AC上使用 display nat session verbose命令,可以看到客户端访问外网时生成的NAT会话信息。
[AC] display nat session verbose
Initiator:
& Source&&&&& IP/port: 192.168.1.2/1628
& Destination IP/port: 202.38.1.100/21
& DS-Lite tunnel peer: -
& VPN instance/VLAN ID/Inline ID: -/-/-
& Protocol: TCP(6)
& Inbound interface: Vlan-interface200
Responder:
& Source&&&&& IP/port: 202.38.1.100/21
& Destination IP/port: 202.38.1.2/1024
& DS-Lite tunnel peer: -
& VPN instance/VLAN ID/Inline ID: -/-/-
& Protocol: TCP(6)
& Inbound interface: Vlan-interface300
State: TCP_ESTABLISHED
Application: FTP
Start time:
16:54:35& TTL: 2699s
Initiator-&Responder:&&&&&&&&&&& 1 packets&&&&&&&&& 84 bytes
Responder-&Initiator:&&&&&&&&&&& 1 packets&&&&&&&&& 84 bytes
Total sessions found: 1 s
&&&&&&&&&&&&&& AC:
wlan service-template 1
&ssid service
&service-template enable
interface Vlan-interface100
&ip address 192.168.0.1 255.255.255.0
interface Vlan-interface200
&ip address 192.168.1.1 255.255.255.0
interface Vlan-interface300
&ip address 202.38.1.1 255.255.255.0
&nat outbound 2000 address-group 1
acl basic 2000
&rule 0 permit source 192.168.1.0 0.0.0.255
nat address-group 0
&address 202.38.1.2 202.38.1.3
wlan ap officeap model WA4320i-ACN
&serial-id GQC
& radio enable
& service-template 1
&&&&&&&&&&&&&& Switch:
interface GigabitEthernet1/0/1
&port link-type trunk
&port trunk permit vlan 1 100 200 300
interface GigabitEthernet1/0/2
&port link-type access
&port access vlan 100
poe enable
配置关键点及注意事项
&&&&&&&&&&&&&& VLAN接口下应用NAT时,建议采用地址组(nat address-group)的形式进行动态地址转换。
&&&&&&&&&&&&&& 地址组(nat address-group)中不要添加VLAN接口自己的公网IP地址。
&&&&&&&&&&&&&& 如果整个AC只有VLAN接口一个公网IP地进行动态地址转换,则需要通过命令port-range配置合理的起始端口号和结束端口号,建议使用,确保AC的业务端口号不被用于NAT转发。
还可输 200 字
0 个赞 | 619 次点击
0 个赞 | 225 次点击
0 个赞 | 380 次点击
13 个赞 | 1138 次点击
3 个赞 | 350 次点击
2 个赞 | 771 次点击
2 个赞 | 548 次点击
42 个赞 | 4411 次点击
0 个赞 | 61 次点击
0 个赞 | 524 次点击
近期专家排名
最近发表 8 篇文章
最近发表 7 篇文章
最近发表 7 篇文章
40 个赞 | 9882 次点击
2 个赞 | 8966 次点击
45 个赞 | 8821 次点击
42 个赞 | 6566 次点击
42 个赞 | 6060 次点击外网如何访问内网机器_文档库
文档库最新最全的文档下载
当前位置: & 外网如何访问内网机器
外网如何访问内网机器
外网远程控制访问内网服务器
解决方案:通过NAT 网络地址转换技术或相关技术应用实现。
解决方法大概过程:
在内网建立NAT 网络地址转换,也叫端口映射,将内网服务器IP 和远程控制端口利用nat123应用进行端口映射。
然后即可在外网用nat123应用分配的公网IP 和自定义的端口,进行远程控制访问内网服务器了。
一.准备阶段:
准备目标是确定内网可以正常远程控制。
确定允许远程控制。
内网PC (192.168.1.20)设置允许远程控制。计算机属性/远程设置,启动远程桌面允许。
确定内网远程控制端口。
明确内网PC (192.168.1.20)远程桌面端口。默认是3389,可以在注册表修改。 “开始”→“运行”→输入“regedit” 回车,进入注册表,找到这个路径
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\ 修改参数PortNamber 参数是默认是16进制的,hexadecimal 改为 decimal 可以变成10进制,默认端口是3389可以自己修改。
确定远程控制使用的帐号密码。
设置远程登录用户密码。控制面板/用户帐户,设置administrator 用户密码(或添加配置其他用户密码)。
内网远程控制测试。
测试内网远程登录。内网成功远程控制。
二.Nat123端口映射:
1. 访问nat123
内网PC 登录nat123。
2. 远程控制配置。
端口映射添加。内网IP 内网端口,外网网址(为空),外网端口(自定义,只能是之间)。对应远程控制内网IP 端口,和外网远程控制连接的自定义端口。
Word文档免费下载:&&&&&&&&NAT外网访问内网方法_内网端口映射外网ip
正在努力加载播放器,请稍等…
正在努力加载播放器
大小:765.65KB&&所需金币:50
&& & 金币不足怎么办?
下载量:-次 浏览量:155次
贡献时间: 11:27:06
文档标签:
已有-位用户参与评分
同类热门文档
你可能喜欢
看过这篇文档的还看过
阅读:1673&&下载:5
阅读:582&&下载:4
阅读:831&&下载:3
阅读:381&&下载:2
阅读:771&&下载:0
阅读:282&&下载:0
阅读:142&&下载:0
阅读:653&&下载:0
阅读:331&&下载:0
阅读:135&&下载:0
该用户的其他文档
所需财富值:
50文件大小:765.65KB
您当前剩余财富值:&&
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
举报该文档侵犯版权。
例: /help.shtml怎么配置路由器使得外网只能通过NAT映射访问内网
最新回复: 17:45:45
不知道我这提法对不对:
1、 我的0/3端口接普通宽带路由器LAN口,宽带路由器LAN下还接另外几台电脑,而且这几台电脑不受我控制;
2、 0/0接内部办公网络,已配置NAT策略,使内部办公电脑可以上网;
3、 路由器配置了NAT端口映射,使得互联网上可以访问0/0地址的指定端口以访问我的内部服务器。
那么问题来了,那几台不受控制的电脑如果把网关设为我0/0的IP,那么他们就可以直接以路由方式访问我的内部网络的IP,但这是不能被允许的
我想要知道的是:怎样配合防火墙策略和NAT策略使得0/0端口外的电脑只能通过NAT映射的方式访问0/1下的电脑,路由方式的访问全部禁止
怎么配置路由器使得外网只能通过NAT映射访问内网
帮顶顶。。
怎么配置路由器使得外网只能通过NAT映射访问内网
怎么配置路由器使得外网只能通过NAT映射访问内网
你是不是做了路由?配置发出来看下吧!!
怎么配置路由器使得外网只能通过NAT映射访问内网
前面配置文本发不了,现在好了
怎么配置路由器使得外网只能通过NAT映射访问内网
以下是我现在的配置,原来是供货商帮我配的,后来我通过WEB修改了一些,可能有些垃圾信息吧
0/0属trust区,0/1,0/2,0/3属untrust区
0/0接的是我内部网,有一些服务器
0/1接的互联网
0/2暂时未用
0/3接的是210.10.10.10 和 172.168.2.2, 是联通和电信给的固定IP,当然,这不是公网地址,是我单位的VPN地址,
联通的远端地址是192.168.0.0/255.255.192.0,
电信的远端地址是192.168.64.0/255.255.192.0
0/3外还接一些不受控的电脑,现在的问题,他们如果把网关设成172.168.2.2 或 210.10.10.10就能直接访问我内网的192.169.0.0/24,我想加访问控制,但是加了后untrust区的通过NAT映射对服务器的访问也控制住了,我也试着对指定TCP/UDP端口允许访问,但还是感觉不能达到我的需求,我现在就想要untrust区对trust区的访问只能通过NAT映射,直接(路由)访问的禁止
ip address-set server type object
address 1 range 192.168.0.1 192.168.0.255
ip address-set dx_internet type object
address 0 192.100.1.0 mask 24
address 1 221.226.142.202 mask 32
address 3 202.102.116.115 mask 32
address 4 range 0.0.0.0 255.255.255.255
ip address-set dx type object
address 0 range 172.168.2.0 172.168.2.254
address 1 range 192.168.64.0 192.168.127.254
ip address-set lt type object
address 0 range 192.168.4.0 192.168.63.254
address 1 range 210.10.10.1 210.10.10.254
ip address-set epm type object
address 0 range 172.16.1.1 172.16.1.255
ip address-set office type object
address 0 192.100.1.0 mask 24
ip service-set csjtports type group
description 城市交通端口
service 0 service-set csjt
service 1 service-set ftp
ip service-set sql1433 type object
service 0 protocol tcp source-port 0 to 65535 destination-port
ip service-set csjt type object
service 0 protocol tcp source-port 802 destination-port 802
service 1 protocol tcp source-port 1433 destination-port 1433
service 2 protocol tcp source-port 4899 destination-port 82
service 3 protocol tcp source-port 123 destination-port 123
service 4 protocol tcp source-port 9100 destination-port 9100
service 5 protocol tcp source-port 3389 destination-port 3388
service 6 protocol tcp source-port 803 destination-port 802
service 7 protocol tcp source-port 802 destination-port 803
acl number 3003
rule 11 permit ip source 192.168.0.0 0.0.0.255
acl number 3010
sysname USG5310
update schedule dpi daily 01:41
security server domain
web-manager enable
web-manager security enable
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone local vzone direction inbound
firewall packet-filter default permit interzone local vzone direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone trust vzone direction inbound
firewall packet-filter default permit interzone trust vzone direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound
firewall packet-filter default permit interzone untrust vzone direction inbound
firewall packet-filter default permit interzone untrust vzone direction outbound
firewall packet-filter default permit interzone dmz vzone direction inbound
firewall packet-filter default permit interzone dmz vzone direction outbound
怎么配置路由器使得外网只能通过NAT映射访问内网
nat address-group 1 ChinaNet 172.168.2.2 172.168.2.2
nat address-group 2 UniCom 210.10.10.10 210.10.10.10
nat address-group 3 Internet 192.100.1.80 192.100.1.80
nat address-group 172 e172 172.16.1.1 172.16.1.254
nat server 1 protocol tcp global 172.168.2.2 ftp inside 192.168.0.6 ftp no-reverse
nat server 2 protocol tcp global 172.168.2.2 82 inside 192.168.0.2 4899 no-reverse
nat server 3 protocol udp global 172.168.2.2 ntp inside 192.168.0.2 ntp no-reverse
nat server 5 protocol tcp global 210.10.10.10 ftp inside 192.168.0.6 ftp no-reverse
nat server 6 protocol tcp global 210.10.10.10 82 inside 192.168.0.2 4899 no-reverse
nat server 7 protocol tcp global 210.10.10.10 1433 inside 192.168.0.2 1433 no-reverse
nat server 8 protocol tcp global 172.168.2.2 1433 inside 192.168.0.2 1433 no-reverse
nat server 9 protocol tcp global 192.100.1.80 803 inside 192.168.0.2 802 no-reverse
nat server 10 protocol udp global 210.10.10.10 ntp inside 192.168.0.2 ntp no-reverse
nat server 11 protocol tcp global 172.168.2.2 802 inside 192.168.0.2 802 no-reverse
nat server 12 protocol tcp global 192.100.1.80 9100 inside 192.168.0.252 9100
nat server 13 protocol tcp global 192.100.1.80 802 inside 192.168.0.1 802 no-reverse
nat server 14 protocol tcp global 172.168.2.2 www inside 192.168.0.6 3389 no-reverse
nat server 15 protocol tcp global 192.100.1.80 3388 inside 192.168.0.1 3389 no-reverse
firewall statistic system enable
interface GigabitEthernet0/0/0
ip address 192.168.0.251 255.255.255.0
ip address 172.16.1.1 255.255.255.0 sub
dhcp select interface
interface GigabitEthernet0/0/1
ip address 192.100.1.80 255.255.255.0
dhcp select interface
interface GigabitEthernet0/0/2
speed 1000
ip address 210.100.10.10 255.255.255.0
interface GigabitEthernet0/0/3
ip address 172.168.2.2 255.255.255.0
ip address 210.10.10.10 255.255.255.0 sub
dhcp select interface
interface NULL0
firewall zone local
set priority 100
firewall zone trust
set priority 85
detect ftp
detect sqlnet
add interface GigabitEthernet0/0/0
firewall zone untrust
set priority 5
detect ftp
add interface GigabitEthernet0/0/1
add interface GigabitEthernet0/0/2
add interface GigabitEthernet0/0/3
firewall zone dmz
set priority 50
detect ftp
firewall zone vzone
set priority 0
firewall interzone trust untrust
detect ftp
policy interzone trust untrust inbound
action permit
policy service service-set csjtports
policy source address-set dx
policy source address-set lt
policy source address-set dx_internet
policy source address-set office
policy destination 192.168.0.0 mask 24
action deny
policy source 172.168.2.0 mask 24
policy destination 192.168.0.0 mask 24
action deny
policy source 210.10.10.0 mask 24
policy destination 192.168.0.0 mask 24
action deny
policy 3 disable
action deny
policy source 192.100.1.0 mask 24
policy destination 192.168.0.0 mask 24
policy 4 disable
policy zone trust
action permit
policy service service-set ftp
policy service service-set sql1433
policy source address-set epm
policy destination address-set server
action deny
policy logging
policy source address-set epm
policy destination address-set server
policy zone dmz
action permit
nat-policy interzone trust untrust outbound
action source-nat
policy source address-set server
policy source address-set epm
policy destination address-set lt
address-group UniCom
action source-nat
policy source address-set server
policy source address-set epm
policy destination address-set dx
address-group ChinaNet
action source-nat
policy source address-set server
policy source address-set epm
policy destination address-set dx_internet
address-group Internet
nat-policy zone dmz
action source-nat
local-user admin password cipher 6[N#:(%AS_#Q=^Q`MAF4<1!!
local-user admin service-type ftp web terminal
local-user admin level 3
ip pool 0 192.168.0.1 192.168.0.8
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
right-manager server-group
ip route-static 122.194.7.4 255.255.255.255 192.100.1.1
ip route-static 192.168.1.0 255.255.255.0 192.100.1.1
ip route-static 192.168.4.0 255.255.252.0 210.10.10.1
ip route-static 192.168.8.0 255.255.248.0 210.10.10.1
ip route-static 192.168.16.0 255.255.240.0 210.10.10.1
ip route-static 192.168.32.0 255.255.224.0 210.10.10.1
ip route-static 192.168.64.0 255.255.192.0 172.168.2.1
ip route-static 202.102.116.115 255.255.255.255 192.100.1.1
ip route-static 221.226.142.202 255.255.255.255 192.100.1.1
user-interface con 0
user-interface vty 0 4
怎么配置路由器使得外网只能通过NAT映射访问内网
2.把你想限制的IP段改一端口接,新建一个域,把你想限制的端口添加进来,然后设置域间访问,DENY
怎么配置路由器使得外网只能通过NAT映射访问内网
因为有不受控的电脑(或路由)直接接在了我的路由端口上,所以ip段也就不固定了,他完全可以再加个路由改变电脑的ip
怎么配置路由器使得外网只能通过NAT映射访问内网
按照我的配置,我已经加了允许tcp9100访问,在下面有加了禁止所有访问,可这时我9100访问不了了
* 是否包含第三方商业秘密:
第三方商业秘密是指第三方不为公众所知悉、具有商业价值并经权利人采取保密措施的技术信息和经营信息,包括但不限于:产品的价格信息、路标规划、商务授权、核心算法和源代码等。如有疑问,请联系:e.(各社区公共邮箱)。
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
`@trans`universal_genius`~trans`
`@trans`universal_genius_des`~trans`
`@trans`drinking_poetry`~trans`
`@trans`drinking_poetry_des`~trans`
`@trans`bright_future`~trans`
`@trans`bright_future_des`~trans`}
我要回帖
更多关于 内网和外网 的文章
更多推荐
- ·芯片封装尺寸大全开盖图,哪位大神芯片封装尺寸大全的型号?多谢多谢
- ·国际歌可以转发微信朋友圈如何转发吗
- ·搜了宝网上购物选哪个最好和淘宝有什么区别?
- ·福州对外贸易职业中专学校地址市福外技术学校的招生代码是什么?
- ·tana的周期怎么求=0.5求tan多少度
- ·索尼和先锋先锋和索尼和先锋有什么不同
- ·为什么vivo手机铃声怎么设置设置铃声后又恢复默认了??
- ·f/R这个指示tcs指示灯是什么意思思
- ·华为荣耀手环zero3NFC只能刷公交一个用处吗?那么山东什么时候能用呢?还有荣耀手环3能不能遥控拍照
- ·vv7和广汽传祺gs7底盘多高8哪个性价比高
- ·三星更新固件失败C9 Pro固件更新了什么 三星更新固件失败C9 Pro固件更新介绍
- ·世界强国最新排名SurfaceBook2和MacBookPro哪个强
- ·philipsbt25驱动程序 bt3900怎么连接电脑
- ·为什么爱医课手机接收不到验证码手机验证码?
- ·这两款24寸显示器哪款好选择哪个 好难决定
- ·如何才能彻底戒掉王者荣耀我是个无业游民,混子,没有职业,在家颓废等死,4s怎么才能玩王者荣耀耀,
- ·什么样的平板可以流畅运行王者荣耀最流畅的设置
- ·金士顿u盘保修多久这样子可以保修吗
- ·努比亚z17与华为p10和华为p10拍照哪个更好
- ·【音量减】键和【电源键加音量下键】键在哪
- ·求助,处于 NAT 内网访问外网的网络摄像头,如何在外网进行访问
- ·photodirector是什么 ultra8怎么安装
- ·三星s8三星s8刷机后混合密码码和手机密码一样么?
- ·千元左右什么显示器品牌比较好,哪几款比较好
- ·两人合伙开公司,一人盯两人疚三人游出本钱什么都不懂,一人盯两人疚三人游会技术会管理,赚的钱应该怎样分。
- ·买小产权房有保障吗的房子可以买吗
- ·物流政策分析有哪些学具有哪些学科属性
- ·工行用美元和工行人民币对美元汇率买黄金有什么区别
- ·俄罗斯边境那里有巴奴毛肚火锅批发
- ·银行广告语:能不能手机京东整点秒杀技巧实在些的
- ·2,013,313.94元是多少万元
- ·全国工商联合会美容化妆品业广东省异地商会联合会属于国家认证机构吗
- ·这是啥问题。在银行还能取钱吗
- ·公司经济不景气气就一定要裁员么
- ·有朋友推荐粉宝推广,不知道粉丝福利购怎么做推广样?
- ·泥土的清香开封哪里大盘鸡
