内网不能通过外部访问内网服务器.doc

如图,这个图是本贴的初始图,大圈是本地路由器,和他相连的是isp路由器,上随便一个路由器。
本地出口地址是5。5。5。1,isp对端是5。5。5。2(掩码没写,稍后会分别讨论)。 1。1。1。1和1。1。1。2是内网两台服务器的内网地址,被静态映射到公网上的5。5。5。4和5。5。5。5。内网的pc全部被pat到出口上。本地路由器一条缺省路由到isp对端。
我想这个拓扑应该是非常普遍的了,我认为就是因为这个非常普遍的拓扑,造成了很多人所反应的“内网不能通过公网地址访问内网服务器”这个问题。我认为这个问题的关键原因就在于掩码,就是在3层上做文章。
第一节
先来看看一般情况下,这个环境的掩码的规划。假设isp分配一段8地址子网给本地,这样isp路由器接口和本地路由器接口共占用2个,网络地址、广播地址共占用2个,可用的一共4个,掩码是248。对于图示的拓扑,假设本地路由器出口掩码是248(内网pc的pat地址相应的也就是掩码为248),被映射的两个地址掩码也是248,这个最普遍的掩码规划,结果是:服务器、内网pc的pat地址、本地出口地址全部处于同一个网段。我们分析一个包的来龙去脉,来看看
到底内网pc通过公网地址可否访问到内网服务器。
假设内网一台pc1。1。1。111发出ping 5。5。5。4(服务器的公网地址)请求,包源地址1。1。1。111,目的地址5。5。5。4,路由器收到这个包后,检查路由表,发现5。5。5。4就位于自己的出口网段(假设出口为以太口),所以直接通过arp广播请求5。5。5。4的mac地址,问题出现了,谁会应答这个请求呢?没有人,所以,这种情况下(所有公网地址在同网段)当然不会通。不但内网访问服务器不行,服务器之间通过公网地址访问也不会通。
结论一:只要出口地址和服务器映射的公网地址在同网段,就有问题。
第二节
基于上面的讨论,我们知道了只要出口地址和服务器映射的公网地址在同网段,就会发生“无人应答”的必然结果,所以我们这次改变掩码规划,将出口掩码变长,变为252(isp掩码也要相应改变)。在这里首先声明一个要点,就是nat池的地址可以和出口不在同网段,以前有帖子也讨论过,我自己一开始也迷惑,后来想明白了,只要isp路由器上有这些地址的路由就可以,下一条是本地路由器,这样本地路由器便可以接受到这些包。
我们再次分析一个包的流程。内网pc1。1。1。111发出ping 5。5。5。4请求,包源地址1。1。1。111,目的地址5。5。5。4,路由器收到这个包后,检查路由表,这一次,发现5。5。5。4不在本地的任何接口,所以走了缺省路由,将包发给了isp对端口,并在本地nat表中生成一条项目,记录内网地址1。1。1。111被转换成公网地址5。5。5。1加上端口号(假设端口号是8888),isp接受到的包,目的地址是5。5。5。4,源地址变成了5。5。5。1,它检查它的路由表,发现5。5。5。4路由下一条是5。5。5。1,也就是本地路由器,所以又将此包发给本地路由器,经过了一次往返后,本地收到这个包,首先接受nat引擎的过虑,发现5。5。5。4正在被静态映射到内网的1。1。1。1的主机,所以改变目的地址为1。1。1。1,源地址还是5。5。5。1,这样就交给了路由引擎,查看路由表,1。1。1。1的路由当然有了,通过2层