端口映射讓外部用戶同時訪問內部多個應用

3/3端口映射讓外部用戶同時訪問內部多個應用如下圖所示,這是企業(yè)部署NAＴ服務器的典型案例。如果現(xiàn)在企業(yè)內部有兩臺服務器，分別為WEＢ服務器（192．168．０．3）與ERP服務器(1９2.168。0.2)?，F(xiàn)在企業(yè)想讓出差在外的員工，也可以通過互聯(lián)網(wǎng)訪問企業(yè)內部的這兩個應用，該如何設計呢?

一、基于端口訪問的一般原理。在講解NAT服務器的具體端口映射配置之前,筆者覺得讀者有必要先了解一下基于端口訪問的一般原理。這有利于讀者了解下面的具體配置。下面筆者以員工訪問WEB服務器為例,談談基于端口訪問的基本步驟。假設現(xiàn)在某個用戶需要訪問WEB服務器，則客戶端的瀏覽器(假設采用的端口為3000）與ＷEB服務器（假設采用的端口為８0)是如何來進行通信的呢？第一步：發(fā)起連接請求。當用戶需要查看公司網(wǎng)頁時,用戶所用的主機會像WＥB服務器發(fā)送請求。在這個發(fā)起請求的過程中,會有一些參數(shù)傳遞。如在發(fā)送請求的過程中，用戶所用的主機需要知道WEB服務器的IP地址、所采用的協(xié)議(ＨTTＰ）等。另外就是兩個端口信息。一是用戶瀏覽器所用的端口，即為30０0。二是WＥＢ服務器網(wǎng)站所用的端口（如果采用的是ＨTＴP服務，則默認為80端口）.第二步：WＥＢ服務器轉發(fā)請求。當服務器接受到這個請求后,會分析數(shù)據(jù)包。他經(jīng)過分析包發(fā)現(xiàn),這個請求是要求端口為80的應用軟件來負責的。服務器確定了負責人之后,就會把這個請求轉發(fā)給具體的負責人，即WEＢ應用服務器來處理.第三步:服務器會把從ＷＥＢ應用服務那邊反饋回來的網(wǎng)頁傳送給用戶所用的計算機。在傳送的時候,其也會制定要把這個網(wǎng)頁給你的那個3００0端口(瀏覽器）對應的應用軟件。第四步：用戶的計算機收到數(shù)據(jù)包之后,也會對這個數(shù)據(jù)包進行分析,來判斷需要把這個數(shù)據(jù)包轉發(fā)給哪個端口(應用服務）.分析后發(fā)現(xiàn)是轉交給３000端口的，就會把這個數(shù)據(jù)包轉發(fā)給瀏覽器。二、基于端口映射的NＡT服務器配置。其實基于端口映射的NAT服務器其工作原理就跟上面這個基于端口訪問的工作過程類似.只是這里的NAT服務器就相當于用戶主機，而用戶相當于內部的服務器.由于用戶需要通過外網(wǎng)訪問企業(yè)內部應用的話，通常情況下要求內網(wǎng)服務器也要求有合法的外網(wǎng)IＰ。只有私網(wǎng)IP地址的服務器是無法直接跟外部客戶進行通信的。為此,如果沒有端口映射的話，用戶如果要同時訪問內部的WEB服務器與EＲP服務器,則就需要有兩個公網(wǎng)IP地址.但是，大家都知道現(xiàn)在公網(wǎng)IP地址嚴重缺乏。在沒有足夠多的ＩP地址的情況下，該如何實現(xiàn)這種需求呢？那就知道通過端口映射來完成。如上圖所示，用戶需要訪問企業(yè)內部的WEＢ服務與ERＰ服務器，他只需要知道NAT服務地址與WEB服務器與ERP服務器所采用的端口即可.如果WEB服務器采用的端口為８0，而ERP服務器所采用的端口為５0５０。而NAT服務器的IP地址假設為202．９6．９2。10０的話,那么當用戶訪問WEB服務器時，只需要輸入httｐ：//2０2．96．９2。100即可。由于HTTP協(xié)議默認采用的是80端口,故這里不用配置端口號。如果WＥB服務器中把這個端口改為了300０，則在訪問的時候就需要使用hｔｔp：/／202．96．９2。１00：3０００(地址+端口號)的形式了。用戶要訪問內部的ＥRP服務器也是類似的,只要把NＡＴ服務器的地址以及ERP服務器所采用的端口在客戶端上進行配置即可?？梢娡ㄟ^NAT服務器的端口映射功能，可以讓外部用戶同時訪問企業(yè)內部的WEB服務器與ERＰ服務器.那要實現(xiàn)這個需求具體該如何配置呢？ＮAT服務器讓內部的局域網(wǎng)用戶可以連接到互聯(lián)網(wǎng),以便用戶能夠收發(fā)互聯(lián)網(wǎng)郵件、瀏覽互聯(lián)網(wǎng)上的網(wǎng)站等等。但是默認情況下外部用戶是不能夠訪問內部的服務器。如果需要實現(xiàn)以上功能的話，就需要進行專門的配置。如上圖中,內部局域網(wǎng)計算機(192.16８.0.２）為WEB服務器，其采用的端口為80.如果現(xiàn)在外部用戶需要訪問這個WEB服務器站點,則用戶只知道這個ＷEB服務器的地址為２02.９６．9２。１０0（NAT服務器的地址)。而WEB服務器默認采用的端口為８0.當外部用戶通過瀏覽器訪問企業(yè)內部的WEB服務器時,他會在瀏覽器中輸入ｈｔtp://20２.９６.92。1０0路經(jīng)來連接網(wǎng)站.NAＴ服務器會將此請求發(fā)送給內部的計算機WEB服務器(19２。16８．0.2)，并由WＥＢ服務器將這個請求轉發(fā)給端口為80的軟件來負責。WＥB服務器會將網(wǎng)頁傳送給ＮAT服務器，再由NAT服務器負責將網(wǎng)頁傳送給外部用戶的計算機。如果用戶要訪問內部的ERP服務器，其過程也是如此.那么現(xiàn)在的問題是，NAT服務器怎么判斷要把用戶HＴＴP請求發(fā)送給服務器（1９2．168。０。2）而不是發(fā)送給(１9２.１68。0.３）呢?這主要是根據(jù)端口來判斷的。也就是說在NAT服務器中有一個端口映射的規(guī)則，只要用戶訪問的目的端口是80,就把這個請求轉發(fā)給ＷEB服務器;若請求的端口是5０50，則就把這個請求發(fā)送給ERP服務器。這就是端口映射的實質。了解這個內容之后，那么了解下面的配置也就簡單多了。打開路由和遠程訪問主控制窗口，選擇要配置的服務器。然后選擇IP路由選擇、NAT/基本防火墻。并雙擊右方對外連接的網(wǎng)絡接口(注意這里不要選擇連接內網(wǎng)的網(wǎng)絡接口），選擇服務和端口標簽。然后直接從服務列表中選取要對外開發(fā)的服務，如選擇WEB服務器。在公用地址中選擇在此接口，表示由互聯(lián)網(wǎng)服務提供商指派的NAT服務器的公網(wǎng)IＰ地址。然后再設置，如果把這個服務請求轉發(fā)給內部的IＰ地址為192。168.0．２的WEB服務器。通過這個簡單的配置，就實現(xiàn)基于端口的映射。

三、改善NＡT服務器的性能與便利性.可見這個端口映射配置是很簡單的。但是其難點在于如何提高這個NＡT服務器的性能，如何讓用戶使用的更加方便。這是網(wǎng)絡管理員所需要考慮的。對此筆者有如下幾個建議可供大家參考。1、利用域名來代替IP地址。當用戶訪問企業(yè)內部的網(wǎng)站服務器時,如果讓他們輸入服務器的IP地址,對普通用戶來說可能有點難度。要記住這202。96.92.100十一個沒有絲毫關系的數(shù)字有很大的難度.如果能夠把這個IP地址轉換為有實際意義的網(wǎng)址那就最好了。在企業(yè)內部,可以自己部屬一個DNS服務器，把IP地址轉換為網(wǎng)址。那么內部員工可以直接通過網(wǎng)址來訪問WEB服務器。但是在互聯(lián)網(wǎng)上，企業(yè)可不能自己隨便定義域名。為了提高用戶訪問的便捷性，企業(yè)網(wǎng)絡管理員最好能夠像當?shù)氐挠蛎詸C構,申請一個合適的域名并關聯(lián)到自己的NAＴ服務器公網(wǎng)IP地址。那么以后外部用戶訪問內部WEB服務器時，只需要輸入像新浪那樣的地址就可以了。而不用輸入這些難以記憶的地址。2、如果企業(yè)可以申請到多個IＰ地址的話，那么最好能夠分開來部署。即企業(yè)可以申請兩個ＡDSL帳號。其中一個專門用來連接內部的服務器；而另外一個用來內部員工跟互聯(lián)網(wǎng)的通信。這么做主要是為了減輕ＮAＴ服務器的壓力,提高其性能。如企業(yè)只有一個ＡDSL帳號的話,那么無論是外部用戶訪問企業(yè)內部服務器；還是企業(yè)內部員工訪問互聯(lián)網(wǎng),其數(shù)據(jù)流都要通過這臺NAＴ服務器來處理。為此,如果企業(yè)數(shù)據(jù)流量比較大或者ＮAT服務器配置不怎么理想的話，那么很可能這個NAT服務器就成為了企業(yè)網(wǎng)絡訪問的瓶頸資源。如果把他們分開，則可以減輕NAT服務器的壓力，提高外部用戶訪問企業(yè)內部服務器的效率。3、配置合適的IＣMＰ數(shù)據(jù)包策略,以加強阻擋黑客利用ＩＣMP的攻擊行為。使用ICMP攻擊的原理實際上就是通過Pinｇ大量的數(shù)據(jù)包使得NAＴ服務器的CPU使用率居高不下而崩潰.一般情況下黑客通常在一個時段內連續(xù)向計算機發(fā)出大量請求而導致CPU占用率太高而死機。而且會