基于NAT技术访问路由下WEB站点方法的探讨

摘 要：该文主要探讨实现经由公用网络访问路由下WEB站点的两类方法。两类方法均简单易行，成本极低。而借助第三方软件协助NAT端口映射的方法相对于设置路由器的方法而言更为简易，且能为用户提供域名，使之更为符合用户的访问习惯。

关键词：NAT技术 WEB站点 路由

中图分类号：TP39 文献标识码：A 文章编号：1674-098X（2014）09（a）-0042-02

Exploration of How to Access the Website Below Router by Internet Based on NAT Technology

He Qinglong

（First Monitoring Center， China Earthquake Administration，Tianjin 300180，China）

Abstract：This paper mainly discusses how to access the website below router with the help of NAT technology.There exist two methods which are both simple and low cost.And the method through NAT technology is easier than through setting router，and it could support domain access which is more aligned with the users’habit.

Key words：NAT technology Website Router

由于互联网的飞速发展，基于IPv4协议设定的IP地址呈现捉襟见肘的局面，而新一代IP协议-IPv6仍停留在研究和实验阶段，尚没有得到普及应用[1]。引入路由不失为解决IP地址短缺的较好方法。路由是互联网的主要节点，作为不同网络之间互相连接的枢纽，路由器系统构成了基于TCP/IP的国际互联网络（因特网，Internet）的主体脉络，其主要作用包括实现网络的互联和隔离、数据传送及其路径选择等。当包含WEB站点的计算机位于路由器下时，由于相应的IP地址相对路由器外部网络来讲是不能识别的，因而经由公用网络是不能够直接访问该WEB站点。

此时可借助NAT技术对WEB站点所在计算机进行端口映射处理，NAT（网络地址转换，Net Address Transformation）通过将局域网中的网络地址映射为Internet上的合法IP地址[1]，提升映射端口所处网络位置的级别，从而使公网用户通过WEB站点域名或者对应的IP地址便可以访问。本文主要针对如何解决公用网络访问路由器下WEB站点的问题进行了总结和探讨。

1 NAT技术原理

位于NAT路由内侧的计算机向Internet获取请求服务经过路由器时，路由器将查询NAT地址转换表，根据外网地址与私有地址映射的情况，将请求信息包中的内网IP地址转换为路由器所在的公有地址发送到公用网络主机[2]。公用网络主机接收到数据包后，用接收到的合法公网IP及端口作为目的IP地址及端口来响应。当路由器接收到公网主机发送的数据包，按照相反的顺序转换IP地址及端口，最后再将数据包交给最初请求信息服务的内部计算机。

假设某一路由内网IP地址为：192.168.1.1，相应的外网IP地址为：100.100.100.100。而该路由器内部其中一台计算机IP地址为192.168.1.6。当这台计算机通过80端口向外网主机（IP地址及端口为200.200.200.200：1234）发送数据包，此时数据包中包含的信息为（192.168.1.6：80至200.200.200.200.1234）。当数据包传送到路由器经过NAT时，NAT会自动将数据包中的IP地址修改为：100.100.100.100，而不再是192.168.1.6。接着NAT会创建Session，同时为Session随机分配端口（比如8080），此时数据包的端口也被更改为8080，数据包中的信息相应的被更改为（100.100.100.100：8080至200.200.200.200：1234）。

2 实现方法

一般情况下，可通过以下两种方式实现公用网络访问路由下的WEB站点。

2.1 开启DMZ+NAT端口映射

DMZ（Demilitarized Zone）即俗称的非军事区，与军事区和信任区相对应，作用是把WEB，E-mail等允许外部访问的服务器单独接在该区端口，使整个需要保护的内部网络接在信任区端口后，不允许任何访问，实现内外网分离，达到用户需求。DMZ可以理解为一个不同于外网或内网的特殊网络区域，DMZ内通常放置一些不含机密信息的公用服务器，比如Web、Mail、FTP等。这样来自外网的访问者可以访问DMZ中的服务，但不可能接触到存放在内网中的公司机密或私人信息等，即使DMZ中服务器受到破坏，也不会对内网中的机密信息造成影响。

针对现有常用的路由器（如D-LINK，TP-LINK，NETGEAR等），一般均具有开启DMZ及“端口映射”的功能，以NETGEAR WGR614v9为例，开启DMZ的步骤为：WAN设置-勾选“缺少DMZ服务器”―填写作为DMZ的计算机IP地址；设置端口映射的步骤为：端口映射/端口触发―添加自定义服务―设置相应的服务名、服务类型、端口以及IP地址。在此基础上，获取计算机所对应的外网地址，通过浏览器访问该外网地址即可。比如，映射的计算机内网IP地址及端口为192.168.1.6：80，对应的外网地址为100.100.100.100，此时在浏览器中输入100.100.100.100：80或者100.100.100.100（80端口为默认的网络端口，访问时可忽略输入端口信息）即可访问在本地计算机上的WEB站点。

2.2 借助第三方软件实现NAT端口映射

借助第三方软件协助进行NAT端口映射相对来讲更为简单些。目前较为流行的第三方软件诸如花生壳[3]、NAT123均可以轻松实现端口映射。此外，利用上述第三方软件的优势在于可以为WEB站点提供域名。通过域名访问WEB站点显然更符合用户的习惯。两种软件的映射方法基本相同。如图1所示为NAT123的端口映射操作界面，用户将WEB站点的IP地址及端口映射到由软件提供的域名地址上即可。域名中一部分可以由用户自己设计，但前提条件该域名还没有被使用过。

3 案例应用

在WIN7系统下，以基于开发的WEB网站为例，该网站主机IP地址为：192.168.1.6，所在上级路由器IP地址为：192.168.1.1。首先利用IIS该网站（其中，网站端口设置为80），IIS（Internet Information Services，互联网信息服务），是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包，随后内置在Windows 2000、Windows XP Professional和Windows Server 2003一起发行。具体设置如表1所示。

在此基础上，借助软件NAT123进行端口映射处理，内网地址以及端口的设置应与IIS相同，而对于外网网址，如果用户已经拥有了域名，则填写相关域名；如果没有，可以使用由NAT123免费提供的域名：*，其中“*”所表示的字段可以由用户自己设计，前提条件是该域名还没有被使用。

4 结语

WEB站点处于路由器下是常见的现象，当要求网站搭建的成本较低或几乎没有成本的情况下，本文所述的基于NAT端口映射技术的两类方法用于搭建WEB站点再合适不过。在计算机已经接入互联网的基础上，已经不需要购置任何软、硬件设施甚至包括域名。

参考文献

[1] 王晨阳.一种NAT端口映射保持的自适应算法[J].科学技术与工程，2010（34）：8582-8585.

[2] 孙中廷.NAT技术解决IP地址短缺问题的实现[J].办公自动化，2013（14）：42-44.

[3] 王玺联.“花生壳”与端口映射在GPRS流量监控系统中的应用实现[J].中国科技信息，2009（24）：99，104.