H3C路由器NAT典型配置案例课件.pptx

《H3C路由器NAT典型配置案例课件.pptx》由会员分享，可在线阅读，更多相关《H3C路由器NAT典型配置案例课件.pptx（17页珍藏版）》请在三一办公上搜索。

1、学 海 无 涯,H3C 路由器NAT 典型配置案列（史上最详细）,神马 CCIE，H3CIE,HCIE 等网络工程师日常实施运维必备，你懂的。NAT 典型配置举例内网用户通过NAT 地址访问外网（静态地址转换）组网需求内部网络用户 10.110.10.8/24 使用外网地址 202.38.1.100 访问 Internet。组网图图 1-5 静态地址转换典型配置组网图,配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#配置内网 IP 地址 10.110.10.8 到外网地址 202.38.1.100 之间的一对一静态地址转换映射。system-viewRouter nat sta

2、tic outbound 10.110.10.8 202.38.1.100#使配置的静态地址转换在接口 GigabitEthernet1/2 上生效。Router interface gigabitethernet 1/2 Router-GigabitEthernet1/2 nat static enable Router-GigabitEthernet1/2 quit验证配置#以上配置完成后，内网主机可以访问外网服务器。通过查看如下显示信息，可以验证以上 配置成功。Router display nat static Static NAT mappings:There are 1 outbou

3、nd static NAT mappings.IP-to-IP:Local IP:10.110.10.8 Global IP:202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface:GigabitEthernet1/2#通过以下显示命令，可以看到 Host 访问某外网服务器时生成 NAT 会话信息。Router display nat session verbose Initiator:SourceIP/port:10.110.10.8/424

4、96 Destination IP/port:202.38.1.111/2048 VPN instance/VLAN ID/VLL ID:-/-/-,1,学 海 无 涯,Protocol:ICMP(1)Responder:SourceIP/port:202.38.1.111/42496 Destination IP/port:202.38.1.100/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:ICMP(1)State:ICMP_REPLY Application:INVALIDStart time:2012-08-16 09:30:49 TTL:2

5、7sInterface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/2,Initiator-Responder:Responder-Initiator:,5 packets5 packets,420 bytes420 bytes,Total sessions found:11.11.2 内网用户通过NAT 地址访问外网（地址不重叠）1.组网需求某公司内网使用的 IP 地址为 192.168.0.0/16。该公司拥有 202.38.1.2 和 202.38.1.3 两个外网 IP 地址。需要实现，内部网络中 192.168.1.0

6、/24 网段的用户可以访问 Internet，其它网段的用户不能 访问 Internet。使用的外网地址为 202.38.1.2 和 202.38.1.3。2.组网图图 1-6 内网用户通过NAT 访问外网（地址不重叠）,3.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#配置地址组 0，包含两个外网地址 202.38.1.2 和 202.38.1.3。system-view Router nat address-group 0Router-nat-address-group-0 address 202.38.1.2 202.38.1.3 Router-nat-address-

7、group-0 quit#配置 ACL 2000，仅允许对内部网络中 192.168.1.0/24 网段的用户报文进行地址转换。Router acl number 2000Router-acl-basic-2000 rule permit source 192.168.1.0 0.0.0.255,2,3,学 海 无 涯 Router-acl-basic-2000 quit#在接口 GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 0 中的地址对匹 配 ACL 2000 的报文进行源地址转换，并在转换过程中使用端口信息。Router interface gigabi

8、tethernet 1/2Router-GigabitEthernet1/2 nat outbound 2000 address-group 0 Router-GigabitEthernet1/2 quit4.验证配置以上配置完成后，Host A 能够访问 WWW server，Host B 和 Host C 无法访问 WWW server。通过查看如下显示信息，可以验证以上配置成功。Router display nat allNAT address group information:There are 1 NAT address groups.Group NumberStart Addre

9、ssEnd Address 0202.38.1.2202.38.1.3NAT outbound information:There are 1 NAT outbound rules.Interface:GigabitEthernet1/2,Port-preserved:N,ACL:2000 NO-PAT:N,Address group:0 Reversible:N,NAT logging:Log enable:Disabled Flow-begin:DisabledFlow-end:Disabled Flow-active:DisabledNAT mapping behavior:Mappin

10、g mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323:EnabledICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host A 访问 WWW server 时生成 NAT 会话信息。Router display nat session verbose Initiator:SourceIP/port:192.168.1.10/52992 Destination IP/port:200.1.1.10/2048 VPN instance/VLAN ID/VLL ID:-/-/-Pro

11、tocol:ICMP(1)Responder:,学 海 无 涯 SourceIP/port:200.1.1.10/4 Destination IP/port:202.38.1.3/0 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:ICMP(1)State:ICMP_REPLY Application:INVALIDStart time:2012-08-15 14:53:29 TTL:12sInterface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/2,Total sessions fou

12、nd:11.11.3 内网用户通过NAT 地址访问外网（地址重叠）1.组网需求某公司内网网段地址为 192.168.1.0/24，该网段与要访问的外网 Web 服务器所在网段地 址重叠。该公司拥有 202.38.1.2 和 202.38.1.3 两个外网 IP 地址。需要实现，内网用户可以通过域名访问外网的 Web 服务器。2.组网图图 1-7 内网用户通过NAT 访问外网（地址重叠）,3.配置思路这是一个典型的双向NAT 应用，具体配置思路如下。内网主机通过域名访问外网 Web 服务器时，首先需要向外网的 DNS 服务器发起 DNS 查询请求。由于外网 DNS 服务器回复给内网主机的DNS

13、应答报文载荷中的携带的 Web 服务器 地址与内网主机地址重叠，因此 NAT 设备需要将载荷中的 Web 服务器地址转换为动态分配 的一个 NAT 地址。动态地址分配可以通过入方向动态地址转换实现，载荷中的地址转换需 要通过 DNS ALG 功能实现。内网主机得到外网 Web 服务器的 IP 地址之后（该地址为临时分配的 NAT 地址），通过 该地址访问外网Web 服务器。由于内网主机的地址与外网 Web 服务器的真实地址重叠，因 此也需要为其动态分配一个的NAT 地址，可以通过出方向动态地址转换实现。外网 Web 服务器对应的NAT 地址在NAT 设备上没有路由，因此需要手工添加静态路由，使

14、得目的地址为外网服务器 NAT 地址的报文出接口为 GigabitEthernet1/2。,4,5,学 海 无 涯 配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#开启 DNS 的 NAT ALG 功能。system-view Router nat alg dns#配置 ACL 2000，仅允许对 192.168.1.0/24 网段的用户报文进行地址转换。Router acl number 2000Router-acl-basic-2000 rule permit source 192.168.1.0 0.0.0.255 Router-acl-basic-2000 quit#创

15、建地址组 1。Router nat address-group 1#添加地址组成员 202.38.1.2。Router-nat-address-group-1 address 202.38.1.2 202.38.1.2 Router-nat-address-group-1 quit#创建地址组 2。Router nat address-group 2#添加地址组成员 202.38.1.3。Router-nat-address-group-2 address 202.38.1.3 202.38.1.3 Router-nat-address-group-2 quit#在接口GigabitEther

16、net1/2 上配置入方向动态地址转换，允许使用地址组 1 中的地址对 DNS 应答报文载荷中的外网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址 转换。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat inbound 2000 address-group 1 no-pat reversible#在接口 GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 2 中的地址对内 网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。Router-GigabitEthern

17、et1/2 nat outbound 2000 address-group 2 Router-GigabitEthernet1/2 quit#配置静态路由，目的地址为外网服务器 NAT 地址 202.38.1.2，出接口为 GigabitEthernet1/2，下一跳地址为 20.2.2.2（20.2.2.2 为本例中的直连下一跳地址，实际使用中请以具体组网情 况为准）。Router ip route-static 202.38.1.2 32 gigabitethernet 1/2 20.2.2.2验证配置以上配置完成后，Host A 能够通过域名访问Web server。通过查看如下显示信息

18、，可以验证 以上配置成功。Router display nat allNAT address group information:There are 2 NAT address groups.Group NumberStart AddressEnd Address,NAT inbound information:There are 1 NAT inbound rules.,6,学 海 无 涯 Interface:GigabitEthernet1/2,Add route:N,ACL:2000 NO-PAT:Y,Address group:1 Reversible:Y,NAT outbound i

19、nformation:There are 1 NAT outbound rules.Interface:GigabitEthernet1/2,Port-preserved:N,ACL:2000 NO-PAT:N,Address group:2 Reversible:N,NAT logging:Log enable:DisabledFlow-begin:Disabled Flow-end:Disabled Flow-active:DisabledNAT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DN

20、S:Enabled FTP:Enabled H323:EnabledICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host A 访问 WWW server 时生成 NAT 会话信息。Router display nat session verbose Initiator:SourceIP/port:192.168.1.10/1694 Destination IP/port:202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:192.168.1.10/8

21、080 Destination IP/port:202.38.1.3/1025VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStart time:2012-08-15 14:53:29 TTL:3597sInterface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/2,学 海 无 涯 Total sessions found:11.11.4 外网用户通过外网地址访问内网服务器1.组网需求某公司内部对外提供

22、 Web、FTP 和 SMTP 服务，而且提供两台 Web 服务器。公司内部网址 为 10.110.0.0/16。其中，内部 FTP 服务器地址为 10.110.10.3/16，内部 Web 服务器 1 的 IP 地址为 10.110.10.1/16，内部 Web 服务器 2 的 IP 地址为 10.110.10.2/16，内部 SMTP 服务器 IP 地址为 10.110.10.4/16。公司拥有 202.38.1.1 至 202.38.1.3 三个公网 IP 地址。需要实现如 下功能：外部的主机可以访问内部的服务器。选用 202.38.1.1 作为公司对外提供服务的 IP 地址，Web 服

23、务器 2 对外采用 8080 端口。2.组网图图 1-8 外网用户通过外网地址访问内网服务器,配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#进入接口GigabitEthernet1/2。system-viewRouter interface gigabitethernet 1/2#配置内部FTP 服务器，允许外网主机使用地址 202.38.1.1、端口号 21 访问内网FTP 服务器。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp#配置内

24、部 Web 服务器 1，允许外网主机使用地址 202.38.1.1、端口号 80 访问内网 Web 服 务器 1。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www#配置内部 Web 服务器 2，允许外网主机使用地址 202.38.1.1、端口号 8080 访问内网 Web服务器 2。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10

25、.2 www#配置内部 SMTP 服务器，允许外网主机使用地址 202.38.1.1 以及 SMTP 协议定义的端口访 问内网 SMTP 服务器。Router-GigabitEthernet1/2 nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4smtpRouter-GigabitEthernet1/2 quit验证配置,7,8,学 海 无 涯 以上配置完成后，外网 Host 能够通过NAT 地址访问各内网服务器。通过查看如下显示信息，可以验证以上配置成功。Router display nat allNAT in

26、ternal server information:There are 4 internal servers.Interface:GigabitEthernet1/2 Protocol:6(TCP)Global IP/port:202.38.1.1/21 Local IP/port:10.110.10.3/21Interface:GigabitEthernet1/2 Protocol:6(TCP)Global IP/port:202.38.1.1/25 Local IP/port:10.110.10.4/25Interface:GigabitEthernet1/2 Protocol:6(TCP

27、)Global IP/port:202.38.1.1/80 Local IP/port:10.110.10.1/80Interface:GigabitEthernet1/2 Protocol:6(TCP)Global IP/port:202.38.1.1/8080 Local IP/port:10.110.10.2/80NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:DisabledNAT mapping behavior:Mapping mode:Address and Por

28、t-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323:EnabledICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host 访问 FTP server 时生成NAT 会话信息。Router display nat session verbose Initiator:SourceIP/port:202.38.1.10/1694,学 海 无 涯 Destination IP/port:202.38.1.1/21 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder

29、:SourceIP/port:10.110.10.3/21 Destination IP/port:202.38.1.10/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:FTPStart time:2012-08-15 14:53:29 TTL:3597sInterface(in):GigabitEthernet1/2 Interface(out):GigabitEthernet1/1,Total sessions found:11.11.5 外网用户通过域名访问内网服

30、务器（地址不重叠）1.组网需求某公司内部对外提供 Web 服务，Web 服务器地址为 10.110.10.2/24。该公司在内网有一台 DNS 服务器，IP 地址为 10.110.10.3/24，用于解析 Web 服务器的域 名。该公司拥有两个外网 IP 地址：202.38.1.2 和 202.38.1.3。需要实现，外网主机可以通过域名访问内网的 Web 服务器。2.组网图图 1-9 外网用户通过域名访问内网服务器（地址不重叠）,3.配置思路外网主机通过域名访问 Web 服务器，首先需要通过访问内网 DNS 服务器获取 Web 服务 器的 IP 地址，因此需要通过配置 NAT 内部服务器将

31、DNS 服务器的内网 IP 地址和 DNS 服务 端口映射为一个外网地址和端口。DNS 服务器回应给外网主机的 DNS 报文载荷中携带了 Web 服务器的内网 IP 地址，因此 需要将 DNS 报文载荷中的内网 IP 地址转换为一个外网 IP 地址。外网地址分配可以通过出方 向动态地址转换功能实现，转换载荷信息可以通过 DNS ALG 功能实现。,9,10,学 海 无 涯 配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#开启 DNS 协议的 ALG 功能。system-view Router nat alg dns#配置 ACL 2000，允许对内部网络中 10.110.10.

32、2 的报文进行地址转换。Router acl number 2000Router-acl-basic-2000 rule permit source 10.110.10.2 0 Router-acl-basic-2000 quit#创建地址组 1。Router nat address-group 1#添加地址组成员 202.38.1.3。Router-nat-address-group-1 address 202.38.1.3 202.38.1.3 Router-nat-address-group-1 quit#在接口 GigabitEthernet1/2 上配置 NAT 内部服务器，允许外网

33、主机使用地址 202.38.1.2 访 问内网 DNS 服务器。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat server protocol udp global 202.38.1.2 inside 10.110.10.3 domain#在接口GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 1 中的地址对 DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址 转换。Router-GigabitEthernet1/2 nat outbound 2

34、000 address-group 1 no-pat reversibleRouter-GigabitEthernet1/2 quit验证配置以上配置完成后，外网 Host 能够通过域名访问内网Web server。通过查看如下显示信息，可以验证以上配置成功。Router display nat allNAT address group information:There are 1 NAT address groups.Group NumberStart AddressEnd Address 1202.38.1.3202.38.1.3NAT outbound information:Ther

35、e are 1 NAT outbound rules.Interface:GigabitEthernet1/2,ACL:2000 NO-PAT:Y,Address group:1Port-preserved:N Reversible:Y,NAT internal server information:There are 1 internal servers.Interface:GigabitEthernet1/2 Protocol:17(UDP)Global IP/port:202.38.1.2/53 Local IP/port:10.110.10.3/53,11,学 海 无 涯,NAT lo

36、gging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:DisabledNAT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:EnabledH323：Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host 访问 Web server 时生成 NAT 会话信息。Router display nat session verbose Initia

37、tor:SourceIP/port:202.1.1.2/1694 Destination IP/port:202.38.1.3/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:10.110.10.2/8080 Destination IP/port:202.1.1.2/1694 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStart time:2012-08-15

38、14:53:29 TTL:3597sInterface(in):GigabitEthernet1/2 Interface(out):GigabitEthernet1/1,Total sessions found:11.11.6 外网用户通过域名访问内网服务器（地址重叠）1.组网需求某公司内网使用的 IP 地址为 192.168.1.0/24。该公司内部对外提供 Web 服务，Web 服务器地址为 192.168.1.2/24。该公司在内网有一台 DNS 服务器，IP 地址为 192.168.1.3/24，用于解析 Web 服务器的域 名。该公司拥有三个外网 IP 地址：202.38.1.2、2

39、02.38.1.3 和 202.38.1.4。,学 海 无 涯 需要实现，外网主机可以通过域名访问与其地址重叠的内网 Web 服务器。2.组网图图 1-10 外网用户通过域名访问内网服务器（地址重叠）,3.配置思路这是一个典型的双向NAT 应用，具体配置思路如下。外网主机通过域名访问 Web 服务器，首先需要访问内部的 DNS 服务器获取 Web 服务器 的 IP 地址，因此需要通过配置 NAT 内部服务器将 DNS 服务器的内网 IP 地址和 DNS 服务端 口映射为一个外网地址和端口。DNS 服务器回应给外网主机的 DNS 报文载荷中携带了 Web 服务器的内网 IP 地址，该地 址与外网

40、主机地址重叠，因此在出方向上需要为内网 Web 服务器动态分配一个 NAT 地址，并将载荷中的地址转换为该地址。NAT 地址分配可以通过出方向动态地址转换功能实现，转 换载荷信息可以通过 DNS ALG 功能实现。外网主机得到内网 Web 服务器的 IP 地址之后（该地址为 NAT 地址），使用该地址访问 内网 Web 服务器，因为外网主机的地址与内网 Web 服务器的真实地址重叠，因此在入方向 上也需要为外网主机动态分配一个NAT 地址，可以通过入方向动态地址转换实现。NAT 设备上没有目的地址为外网主机对应NAT 地址的路由，因此需要手工添加静态路由，使得目的地址为外网主机NAT 地址的报

41、文的出接口为 GigabitEthernet1/2。4.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#开启 DNS 协议的 ALG 功能。system-view Router nat alg dns#配置 ACL 2000，允许对内部网络中 192.168.1.0/24 网段的报文进行地址转换。Router acl number 2000Router-acl-basic-2000 rule permit source 192.168.1.0 0.0.0.255 Router-acl-basic-2000 quit#创建地址组 1。Router nat address-grou

42、p 1#添加地址组成员 202.38.1.2。Router-nat-address-group-1 address 202.38.1.2 202.38.1.2 Router-nat-address-group-1 quit#创建地址组 2。Router nat address-group 2,12,13,学 海 无 涯#添加地址组成员 202.38.1.3。Router-nat-address-group-2 address 202.38.1.3 202.38.1.3 Router-nat-address-group-2 quit#在接口 GigabitEthernet1/2 上配置 NAT

43、内部服务器，允许外网主机使用地址 202.38.1.4 访 问内网 DNS 服务器。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat server protocol udp global 202.38.1.4 inside 200.1.1.3 domain#在接口GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 1 中的地址对 DNS 应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址 转换。Router-GigabitEthernet1/2 nat o

44、utbound 2000 address-group 1 no-pat reversible#在接口 GigabitEthernet1/2 上配置入方向动态地址转换，允许使用地址组 2 中的地址对外 网访问内网的报文进行源地址转换，并在转换过程中使用端口信息。Router-GigabitEthernet1/2 nat inbound 2000 address-group 2 Router-GigabitEthernet1/2 quit#配置到达 202.38.1.3 地址的静态路由，出接口为 GigabitEthernet1/2，下一跳地址为 20.2.2.2（20.2.2.2 为本例中的直连

45、下一跳地址，实际使用中请以具体组网情况为准）。Router ip route-static 202.38.1.3 32 gigabitethernet1/2 20.2.2.25.验证配置以上配置完成后，外网 Host 能够通过域名访问内网相同 IP 地址的 Web server。通过查看如 下显示信息，可以验证以上配置成功。Router display nat allNAT address group information:There are 2 NAT address groups.Group NumberStart AddressEnd Address,NAT inbound infor

46、mation:There are 1 NAT inbound rules.Interface:GigabitEthernet1/2,Add route:N,ACL:2000 NO-PAT:N,Address group:2 Reversible:N,NAT outbound information:There are 1 NAT outbound rules.Interface:GigabitEthernet1/2,Port-preserved:N,ACL:2000 NO-PAT:Y,Address group:1 Reversible:Y,NAT internal server inform

47、ation:There are 1 internal servers.Interface:GigabitEthernet1/2 Protocol:17(UDP),14,学 海 无 涯 Global IP/port:202.38.1.4/53 Local IP/port:200.1.1.3/53NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:DisabledNAT mapping behavior:Mapping mode:Address and Port-Dependent AC

48、L:-NAT ALG:DNS:Enabled FTP:EnabledH323：Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host 访问 Web server 时生成 NAT 会话信息。Router display nat session verbose Initiator:Source IP/port:192.168.1.2/1694 Destination IP/port:202.38.1.2/8080 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:192

49、.168.1.2/8080 Destination IP/port:202.38.1.3/1025 VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStart time:2012-08-15 14:53:29 TTL:3597sInterface(in):GigabitEthernet1/2 Interface(out):GigabitEthernet1/1,Total sessions found:11.11.7 内网用户通过NAT 地址访问内网服务器1.组网需求某公司内

50、部网络中有一台 FTP 服务器，地址为 192.168.1.4/24。该公司拥有两个外网 IP 地址：202.38.1.1 和 202.38.1.2。需要实现如下功能：,学 海 无 涯 外网主机可以通过 202.38.1.2 访问内网中的FTP 服务器。内网主机也可以通过 202.38.1.2 访问内网中的 FTP 服务器。2.组网图图 1-11 内网用户通过NAT 地址访问内网服务器,3.配置思路该需求为典型的C-S 模式的 NAT hairpin 应用，具体配置思路如下。为使外网主机可以通过外网地址访问内网 FTP 服务器，需要在外网侧接口配置NAT 内部 服务器。为使内网主机通过外网地址