在服务器上传了网站结果本机不能访问服务器该怎么设置

Posted 2023-05-02

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了在服务器上传了网站结果本机不能访问服务器该怎么设置相关的知识，希望对你有一定的参考价值。

自己的服务器用的ADSL 域名解析绑定都没有问题了上传的网站无法访问

66个进程肯定得关掉一些，太多了。再开始菜单运行 msconfig.msc 关掉些服务

Win 7服务详解及其建议

Adaptive Brightness
监视氛围光传感器，以检测氛围光的变化并调节显示器的亮度。如果此服务停止或被禁用，显示器亮度将不根据照明条件进行调节。
该服务的默认运行方式是手动，如果你没有使用触摸屏一类的智能调节屏幕亮度的设备，该功能就可以放心禁用。

Application Experience
在应用程序启动时为应用程序处理应用程序兼容性缓存请求。
该服务的默认运行方式是自动，建议手动。

Application Information
使用辅助管理权限便于交互式应用程序的运行。如果停止此服务，用户将无法使用辅助管理权限启动应用程序，而执行所需用户任务可能需要这些权限。
该服务的默认运行方式是手动，不建议更改。

Application Layer Gateway Service
为 Internet 连接共享提供第三方协议插件的支持
如果装有第三方防火墙且不需要用ICS方式共享上网，完全可以禁用掉。

Application Management
为通过组策略部署的软件处理安装、删除以及枚举请求。如果该服务被禁用，则用户将不能安装、删除或枚举通过组策略部署的软件。如果此服务被禁用，则直接依赖于它的所有服务都将无法启动。
该服务默认的运行方式为手动，该功能主要适用于大型企业环境下的集中管理，因此家庭用户可以放心禁用该服务。

Ati External Event Utility
装了ATI显卡驱动的就会有这个进程，建议手动。

Background Intelligent Transfer Service
使用空闲网络带宽在后台传送文件。如果该服务被禁用，则依赖于 BITS 的任何应用程序(如 Windows Update 或 MSN Explorer)将无法自动下载程序和其他信息。
这个服务的主要用途还是用于进行WindowsUpdate或者自动更新，如果是采用更新包来更新的话，完全可以禁用。

Base Filtering Engine
基本筛选引擎(BFE)是一种管理防火墙和 Internet 协议安全(IPsec)策略以及实施用户模式筛选的服务。停止或禁用 BFE 服务将大大降低系统的安全。还将造成 IPsec 管理和防火墙应用程序产生不可预知的行为。同样为系统防火墙，VPN以及IPsec提供依赖服务，同时也是系统安全方面的服务，如果使用第三方VPN拨号软件并且不用系统的防火墙以及ICS共享上网，为了系统资源，关闭它吧，否则就别动它。

BitLocker Drive Encryption Service
BDESVC 承载 BitLocker 驱动器加密服务。BitLocker 驱动器加密为操作系统提供安全启动保障，并为 OS、固定卷和可移动卷提供全卷加密功能。使用此服务，BitLocker 可以提示用户执行与已安装卷相关的各种操作，并自动解锁卷而无需用户交互。此外，它还会将恢复信息存储至 Active Directory (如果这种方法可用并且需要这样做)，并确保使用最近的恢复证书。停止或禁用该服务可以防止用户使用此功能。该服务的默认运行方式是手动，如果你没有使用 BitLocker设备，该功能就可以放心禁用。

Block Level Backup Engine Service
执行块级备份和恢复的引擎。估计是和备份恢复方面用的服务，无任何依赖关系，默认是手动，也从来没有看他启动过。就放那吧，不用管了。

Bluetooth Support Service
Bluetooth 服务支持发现和关联远程 Bluetooth 设备。停止或禁用此服务可能导致已安装的 Bluetooth 设备无法正确操作，还会阻止发现和关联新设备。该服务的默认运行方式是手动，如果你没有使用蓝牙设备，该功能就可以放心禁用。

Certificate Propagation
为智能卡提供证书。该服务的默认运行方式是手动。如果你没有使用智能卡，那么可以放心禁用该服务。

CNG Key Isolation
CNG 密钥隔离服务宿主在 LSA 进程中。如一般原则所要求，该服务为私钥和相关加密操作提供密钥进程隔离。该服务在与一般原则要求相一致的安全进程中存储和使用生存期长的密钥。如果 Wired AutoConfig/WLAN AutoConfig 两个服务被打开，而且使用了 EAP (ExtensibleAuthentication Protocol)，那么这个服务将被使用，建议不使用自动有线网络配置和无线网络的可以关掉。

COM Event System
支持系统事件通知服务 (SENS)，此服务为订阅的组件对象模型 (COM) 组件提供自动分布事件功能。如果停止此服务，SENS 将关闭，而且不能提供登录和注销通知。如果禁用此服务，显式依赖此服务的其他服务都将无法启动。
一个很原始的古老服务，该服务的默认运行方式为自动，这是一个重要的系统服务，设为手动也会自动运行，设为禁用好像也没什么影响，但是日志中会出现大量的错误。我们最好不要乱动。

COM System Application
管理基于组件对象模型 (COM ) 的组件的配置和跟踪。如果停止该服务，则大多数基于COM 的组件将不能正常工作。如果禁用该服务，则任何明确依赖它的服务都将无法启动。
搞开发的比较清楚，以前的COM 程序甚至IIS/.NET中的应用都会用到这个服务。只要不设置为禁用就行了，基本上也是很少运行的服务。

Computer Browser
维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。
该服务的默认运行方式为自动，不过如果你没有使用局域网，这项服务可以设为禁用。就算要在局域网内使用，也只设为手动，因为说不准什么时候会要用上，用的时候它会自个启动。

Credential Manager
为用户、应用程序和安全服务包提供凭据的安全存储和检索。
该服务的默认运行方式是手动，建议保持默认。

Cryptographic Services
提供四种管理服务: 目录数据库服务，用于确认 Windows 文件的签名和允许安装新程序；受保护的根服务，用于从该计算机中添加与删除受信任根证书颁发机构的证书；自动根证书更新服务，用于从 Windows Update 中检索根证书和启用 SSL 等方案；密钥服务，用于协助注册此计算机以获取证书。如果此服务已停止，这些管理服务将无法正常运行。如果此服务已禁用，任何明确依赖它的服务将无法启动。维护和管理系统的所有证书，密钥以及安全数据库。另外访问一些网站所需要的服务，比如微软的网站，WindowsUpdate，或者DRM的网站，很多时候它会提供和确认Windows文件的签名信息。强烈建议也是必须不能去动它，永远别想禁用这个服务。

DCOM Server Process Launcher
DCOMLAUNCH 服务可启动响应对象激活请求的 COM 和 DCOM 服务器。如果此服务停止或禁用，则使用 COM 或 DCOM 的程序将无法正常工作。强烈建议您运行 DCOMLAUNCH 服务。该服务的默认运行方式是自动，最好不要乱动。以前的DCOM服务，也就是远程服务，是比COM 更基本的服务，看看注册表就知道Windows系统中有多少DCOM组件，虽然禁用也没什么问题，但是临时用到的设为手动的服务会无法自动启动，而且任务栏的图标也会消失不见，所以最好不要修改这个选项。

Desktop Window Manager Session Manager
提供桌面窗口管理器启动和维护服务
Aero风格必须的，所有AeroGlass和Flip3D效果均依赖这个服务。如果喜欢这个风格就要设为自动，否则就禁用吧。

DHCP Client
为此计算机注册并更新 IP 地址。如果此服务停止，计算机将不能接收动态 IP 地址和DNS 更新。如果此服务被禁用，所有明确依赖它的服务都将不能启动。该服务的默认运行方式是自动，如果是手动指定的IP，完全可以禁用。

Diagnostic Policy Service
诊断策略服务启用了 Windows 组件的问题检测、疑难解答和解决方案。如果该服务被停止，诊断将不再运行。该服务的默认运行方式是自动，Vista或IE7有时会弹出对话框问你是否需要让它帮忙找到故障的原因，只有1%的情况下它会帮忙修复Internet断线的问题，建议禁用。

Diagnostic Service Host
诊断服务主机被诊断策略服务用来承载需要在本地系统上下文中运行的诊断。如果停止该服务，则依赖于该服务的任何诊断将不再运行。
这就是帮上面Diagnostic Policy Service 做具体事情的服务，会随着上面的服务启动，可以一起禁用。

Diagnostic System Host
诊断系统主机被诊断策略服务用来承载需要在本地系统上下文中运行的诊断。如果停止该服务，则依赖于该服务的任何诊断将不再运行。
基本和Diagnostic Policy Service/Diagnostic Service Host是同类，可以一起禁用。

Disk Defragmenter
提供磁盘碎片整理功能。
该服务的默认运行方式是手动，建议保持默认。

Distributed Link Tracking Client
维护某个计算机内或某个网络中的计算机的 NTFS 文件之间的链接。该服务的默认运行方式是自动，不过这个功能一般都用不上，完全可以放心禁用。

Distributed Transaction Coordinator
协调跨多个数据库、消息队列、文件系统等资源管理器的事务。如果停止此服务，这些事务将会失败。如果禁用此服务，显式依赖此服务的其他服务将无法启动。很多应用以及SQL，ExchangeBiztalk等服务器软件都依赖这个服务，可以不启动它，但不要禁用它，建议手动。

DNS Client
DNS 客户端服务(dnscache)缓存域名系统(DNS)名称并注册该计算机的完整计算机名称。如果该服务被停止，将继续解析 DNS 名称。然而，将不缓存DNS 名称的查询结果，且不注册计算机名称。如果该服务被禁用，则任何明确依赖于它的服务都将无法启动。该服务的
默认运行方式是自动，如果是在域的环境中要设置为自动，但是这个服务可以泄露你浏览过哪些网站，所以一般用户出于安全考虑，禁用了吧。

Encrypting File System (EFS)
提供用于在 NTFS 文件系统卷上存储加密文件的核心文件加密技术。如果停止或禁用此服务，则应用程序将无法访问加密的文件。
该服务的默认运行方式是手动，建议保持默认。

Extensible Authentication Protocol
可扩展的身份验证协议(EAP)服务在以下情况下提供网络身份验证: 802.1x 有线和无线、VPN 和网络访问保护(NAP)。EAP 在身份验证过程中也提供网络访问客户端使用的应用程序编程接口(API)，包括无线客户端和 VPN 客户端。如果禁用此服务，该计算机将无法访问需要 EAP 身份验证的网络。如果禁用此服务，该计算机将无法访问需要EAP身份验证的网络。不用802.1x认证、无线网络或VPN可以不启动它，不要禁用它，建议保持手动。

Function Discovery Provider Host
FDPHOST 服务承载功能发现(FD)网络发现提供程序。这些 FD 提供程序为简单服务发现协议(SSDP)和 Web 服务发现(WS-D)协议提供网络发现服务。使用 FD 时停止或禁用 FDPHOST 服务将禁用这些协议的网络发现。当该服务不可用时，使用 FD 和依靠这些发现协议的网络服务将无法找到网络服务或资源。
PnP-X和SSDP相关，如果无相关设备就禁用了吧。

Function Discovery Resource Publication
发布该计算机以及连接到该计算机的资源，以便能够在网络上发现这些资源。如果该服务被停止，将不再发布网络资源，网络上的其他计算机将无法发现这些资源。
PnP-X和SSDP相关，如果无相关设备就关了吧。

Group Policy Client
该服务负责通过组策略组件应用管理员为计算机和用户配置的设置。如果停止或禁用该服务，将无法应用设置，并且将无法通过组策略管理应用程序和组件。如果停止或禁用该服务，依赖于组策略的任何组件或应用程序都将无法正常运行。
系统重要服务，保持自动不变。

Health Key and Certificate Management
为网络访问保护代理(NAPAgent)提供 X.509 证书和密钥管理服务。使用 X.509 证书的强制技术在没有此服务的情况下可能无法正常工作推测是NAP的一个服务，其中提到要实现一个 HealthRegistrationAuthority机制，默认手动即可。

HomeGroup Provider
执行与主组的配置和维护相关的网络任务。如果停止或禁用此服务，您的计算机将无法检测到其他主组，且您的主组可能无法正常工作。建议您保持此服务的运行状态。
如果你不使用家庭群组来共享图片视频及文档,那么该服务可以禁用。

Human Inte***ce Device Access
启用对智能界面设备(HID)的通用输入访问，它激活并保存键盘、远程控制和其它多媒体设备上的预先定义的热按钮。如果此服务被终止，由此服务控制的热按钮将不再运行。如果此服务被禁用，任何依赖它的服务将无法启动。如果你不想你机器或笔记本键盘上面的那些特别的附加按键起作用、不用游戏手柄之类,可以禁用这个服务。

IKE and AuthIP IPsec Keying Modules
IKEEXT 服务托管 Internet 密钥交换(IKE)和身份验证 Internet 协议(AuthIP)键控模块。这些键控模块用于 Internet 协议安全(IPSec)中的身份验证和密钥交换。停止或禁用 IKEEXT 服务将禁用与对等计算机的 IKE/AuthIP 密钥交换。通常将 IPSec 配置为使用 IKE 或 AuthIP，因此停止或禁用 IKEEXT 服务将导致 IPSec 故障并且危及系统的安全。强烈建议运行 IKEEXT 服务。主要是针对VPN等网络环境的进行认证。不用VPN或用第三方VPN拨号的话可以禁用。

Interactive Services Detection
启用交互式服务的用户输入的用户通知，这样当交互式服务创建的对话框出现时可以访问这些对话框。如果此服务已停止，将不再有新的交互式服务对话框通知，而且可能再也无法访问交互式服务对话框。如果此服务已禁用，则不再有新的交互式服务对话框通知，也无法访问这些对话框。我也不清楚什么算交互式服务，默认也是手动，保持默认吧。

Internet Connection Sharing (ICS)
为家庭和小型办公网络提供网络地址转换、寻址、名称解析和/或入侵保护服务。该服务的默认运行方式是禁用，如果你不打算让这台计算机充当ICS主机，那么该服务可以禁用，否则需要启用。

IP Helper
在 IPv4 网络上提供自动的 IPv6 连接。如果停止此服务，则在计算机连接到本地 IPv6 网络时，该计算机将只具有 IPv6 连接。主要是提供IPv6的支持，说白了就是让IPv4和IPv6相互兼容，现在的情况下不是特别需要，其实设置成禁用也无妨。

IPsec Policy Agent
Internet 协议安全(IPSec)支持网络级别的对等身份验证、数据原始身份验证、数据完整性、数据机密性(加密)以及重播保护。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netsh ipsec" 创建的 IPSec 策略。停止此服务时，如果策略需要连接使用 IPSec，可能会遇到网络连接问题。同样，此服务停止时，Windows 防火墙的远程管理也不再可用。此服务强制执行通过 IP 安全策略管理单元或命令行工具 "netshipsec" 创建的 IPSec策略。停止此服务时，如果策略需要连接使用 IPSec，可能会遇到网络连接问题。同样，此服务停止时，Windows 防火墙的远程管理也不再可用。某些公司的网络环境要求必须打开，它提供一个TCP/IP网络上客户端和服务器之间端到端的安全连接。其他的情况建议设置成禁用。

KtmRm for Distributed Transaction Coordinator
协调分布式事务处理协调器(MSDTC)和内核事务管理器(KTM)之间的事务。如果不需要，建议保持该服务的停止状态。如果需要，MSDTC 和 KTM 将自动启动该服务。如果此服务已禁用，任何与内核资源管理器交互的 MSDTC 事务将失败，并且任何显式依赖它的服务将无法启动。协调 MSDTC 和核心事务管理器(KTM)之间的事务。Vista提供的另外一种事务服务，对开发人员来说是比较有用，对于一般的用户或者非开发人员来说，设置成手动。

Link-Layer Topology Discovery Mapper
创建网络映射，它由 PC 和设备拓扑(连接)信息以及说明每个 PC 和设备的元数据组成。如果禁用此服务，则网络映射将不能正常工作。
应该是支持LLTD(LinkLayerTopologyDiscovery) 技术，可以精确地显示支持LLTD的设备在网络结构中的位置，比如Vista的无线地图，保持默认手动。

Microsoft .NET Framework NGEN v2.0.50727_X86
Microsoft .NET Framework NGEN
NET开发人员都知道 NGEN的用法，保持默认的手动即可，以后会有很多基于.NET FX3的应用，那么这个服务会有用的。

Microsoft iSCSI Initiator Service
管理从这台计算机到远程 iSCSI 目标设备的 Internet SCSI (iSCSI)会话。如果该服务已停止，则该计算机将无法登录或访问 iSCSI 目标设备。如果该服务已禁用，则所有显式依赖于该服务的服务将不会启动。如果本机没有iSCSI设备也不需要连接和访问远程iSCSI设备，设置成禁用。

Microsoft Software Shadow Copy Provider
管理卷影复***务制作的基于软件的卷影副本。如果该服务被停止，将无法管理基于软件的卷影副本。如果该服务被禁用，任何依赖它的服务将无法启动。卷影拷贝，如果不需要就可以设为禁用，一般用户基本都不会用到。

Multimedia Class Scheduler
基于系统范围内的任务优先级启用工作的相对优先级。这主要适用于多媒体应用程序。如果此服务停止，个别任务将使用其默认的优先级。主要是针对一些多媒体应用的音／视频流设置优先级，禁用可能会导致声卡功能出现问题，建议打开这个服务，设成手动一般也会自动启动。

Net.Tcp Port Sharing Service
提供通过 net.tcp 协议共享 TCP 端口的功能。
WCF要用的，一般用户和非开发人员，还是禁用就行了。

Netlogon
为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册DNS 记录。如果此服务被禁用，任何依赖它的服务将无法启动。登陆活动目录时，和域服务通讯验证的一个服务，一般验证通过之后，域服务器会注册你的DNS记录，推送软件补丁和策略等等，登陆域会用到它。工作组环境可以设为禁用。

Network Access Protection Agent
网络访问保护(NAP)代理服务收集和管理网络上客户端计算机的健康信息。NAP 代理收集的信息用于确保客户端计算机具有所需的软件和设置。如果客户端计算机与健康策略不兼容，则可以为其提供受限的网络访问权限，直至更新其配置。根据健康策略的配置，可能自动更新客户端计算机，以便用户可以迅速重新获取完全网络访问权限，无须手动更新他们的计算机。在客户端计算机上启用网络访问保护 (NAP)功能，这是NAP架构中的客户端，默认设置手动即可。

Network Connections
管理“网络和拨号连接”文件夹中对象，在其中您可以查看局域网和远程连接。当你点击网络和拨号连接时这个服务就开始工作，主要是获得局域网和远程连接的对象，只要你联网这个服务就会启动。不要关闭它。

Network List Service
识别计算机已连接的网络，收集和存储这些网络的属性，并在更改这些属性时通知应用程序。
这个服务是列举现有的网络，展示目前的连接状态。关闭它会导致网络不正常，所以不要去动它。

Network Location Awareness
收集和存储网络的配置信息，并在此信息被修改时向程序发出通知。如果停止此服务，则配置信息可能不可用；如果禁用此服务，则显式依赖此服务的所有服务都将无法启动。就是NLA，能够很好的支持和标示多网卡，或者是你从家庭、个人、公司的网络中进行切换和变化时，给你提供增强的功能，大多数情况会随着 NetworkConnections自动启动。和XP的NLA不同，关闭它网络正常但是会提示没插网线，最好别去动它。

Network Store Inte***ce Service
此服务向用户模式客户端发送网络通知(例如，添加/删除接口等)。停止此服务将导致丢失网络连接。如果禁用此服务，则显式依赖此服务的所有其他服务都将无法启动。这是支持NLA的一个服务，比如保存每个网络的 Profile，所以它的运行状态会和NLA相同，最好别去动它。

Offline Files
脱机文件服务在脱机文件缓存中执行维护活动，响应用户登录和注销事件，实现公共 API 的内部部分，并将相关的事件分配给关心脱机文件活动和缓存更改的用户。脱机文件服务，使用这个功能系统会将网络上的共享内容在本地进行缓存，可以禁用。

Peer Name Resolution Protocol
使用对等名称解析协议(PNRP)在 Internet 上启用无服务器对等名称解析。如果禁用该功能，则某些对等应用程序和协作应用程序(如远程协助)可能无法运行。如果你不尝试WCF的P2P功能或开发，那么连同下面两个服务都可以禁用。

Peer Networking Grouping
Peer Networking Identity Manager
Performance Logs Alerts
性能日志和警报根据预配置的计划参数从本地或远程计算机收集性能数据，然后将该数据写入日志或触发警报。如果停止此服务，将不收集性能信息。如果禁用此服务，则明确依赖它的所有服务将无法启动。EventLog和任务调度器等多个服务会用到它，个人认为它也是比较耗费资源的，但不建议设置成禁用，手动即可。

Plug and Play
使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改。终止或禁用此服务会造成系统不稳定。即插即用，最基本的服务之一，想关也关不了。

PnP-X IP Bus Enumerator
PnP-X 总线枚举器服务管理虚拟网络总线。该服务使用 SSDP/WS 发现协议来发现网络连接设备并使其存在于 PnP 中。如果停止或禁用此服务，则NCD 设备将不会继续保持在 PnP 中。所有基于 pnpx 的方案都将停止运行。PnP-X 总线枚举服务器-WindowsConnectNow(WCN)，即微软网络和装置平台的组件之一，它是即插即用的扩展，支持某些联网的智能家电装置(比如能联网的电饭锅、冰箱)连接到你的 PC上面。目前还用不上，禁用它！

PNRP Machine Name Publication Service
此服务使用对等名称解析协议发布计算机名称。配置是通过 Netsh 上下文“p2p pnrp peer”管理的。
这个是用来对P2P网络中发布服务器进行命名解析的，一般不需要它。默认即可。

Portable Device Enumerator Service
强制可移动大容量存储设备的组策略。使应用程序(如 Windows Media Player 和图像导入向导)能够使用可移动大容量存储设备传输和同步内容。如不需要同步建议关闭。

Power
管理电源策略和电源策略通知传递。
该服务的默认运行方式是自动，保持默认。

Print Spooler
将文件加载到内存供稍后打印
不用多说了，有打印机（包括虚拟的）就开，没有就关。

Problem Reports and Solutions Control Panel Support
此服务为查看、发送和删除“问题报告和解决方案”控制面板的系统级问题报告提供支持。开了它基本也解决不了你计算机出的问题。禁用吧。

Program Compatibility Assistant Service
此服务为程序兼容性助手(PCA)提供支持。PCA 监视由用户安装和运行的程序，并检测已知兼容性问题。如果停止此服务，PCA 将无法正常运行。如果你使用到 Program CompatibilityAssistant或者需要将你的程序设置成兼容模式运行，比如运行在Win98 或 Windows2000的方式下，就修改成自动，强烈建议设置为自动。

Protected Storage
为敏感数据(如密码)提供保护存储，以防止未授权的服务、进程或用户访问。2000/XP流传下来的服务，尽管用处不大，但为了安全还是保留着吧，禁用或手动均可。
参考技术A 这个待看看你服务器了配置有没有问题最好截图给我看下我得QQ 6837464 参考技术B 用IP就可以访问了。

服务器本机上不能通过域名方式访问部署服务器上网站双向NAT

摘要：服务器采用一个网口的方式同时支持内网外，在服务器部署网站后在服务器本机（同一网络）上不能通过域名、公网 IP 的形式进行访问，可以通过内网 IP 的方式进行访问。其他未接入内网的电脑设备可以通过域名正常访问。

一、问题现状

环境如下：

网络：一个物理网口，同时支持内网与外网
网站：域名 + 采用443端口（https）

1.1 服务器本机及同一网络其他设备通过域名及公网 IP 不能访问

同服务器同一网络设备、服务器本机不能通过域名、公网 IP 访问，通过内网的 IP 可以正常访问。

1、域名访问失败

2、公网 IP 访问失败

1.2 服务本机及同一网络其他设备通过内网 IP 正常访问

二、解决办法

在防火墙设备（本处采用的为 H3C 设备）打开双向 NAT即可。

三、什么是NAT（转载至华为：什么是NAT？）

NAT是一种地址转换技术，它可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。NAT作为一种缓解IPv4公网地址枯竭的过渡技术，由于实现简单，得到了广泛应用。

目录：
NAT解决了什么问题？
NAT的类型
NAT是如何工作的？
如何使用NAT？

3.1 NAT解决了什么问题？

随着网络应用的增多，IPv4地址枯竭的问题越来越严重。尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，使用一些过渡技术（如CIDR、私网地址等）是解决这个问题的主要方式，NAT就是这众多过渡技术中的一种。

当私网用户访问公网的报文到达网关设备后，如果网关设备上部署了NAT功能，设备会将收到的IP数据报文头中的IP地址转换为另一个IP地址，端口号转换为另一个端口号之后转发给公网。在这个过程中，设备可以用同一个公网地址来转换多个私网用户发过来的报文，并通过端口号来区分不同的私网用户，从而达到地址复用的目的。

早期的NAT是指Basic NAT，Basic NAT在技术上实现比较简单，只支持地址转换，不支持端口转换。因此，Basic NAT只能解决私网主机访问公网问题，无法解决IPv4地址短缺问题。后期的NAT主要是指网络地址端口转换NAPT（Network Address Port Translation），NAPT既支持地址转换也支持端口转换，允许多台私网主机共享一个公网IP地址访问公网，因此NAPT才可以真正改善IP地址短缺问题。

3.2 NAT的类型

根据NAT转换是对报文中的源地址进行转换还是对目的地址进行转换，NAT可以分为源NAT、目的NAT和双向NAT，下面我们分别介绍这三种NAT类型。

源NAT
源NAT在NAT转换时，仅对报文中的源地址进行转换，主要应用于私网用户访问公网的场景。当私网用户主机访问Internet时，私网用户主机发送的报文到达NAT设备后，设备通过源NAT技术将报文中的私网IPv4地址转换成公网IPv4地址，从而使私网用户可以正常访问Internet。

根据转换时是否同时转换源端口号，源NAT可以细分为如下几种类型，详见下表。


类别	描述	使用场景
NAT No-PAT	NAT No-PAT是一种只转换地址，不转换端口的NAT。NAT No-PAT可以实现私网地址到公网地址的一对一转换。	NAT No-PAT适用于.上网用户较少且公网地址数与同时上网的用户数量相同的场景。
NAPT ( PAT )	NAPT是一种同时转换地址和端口的NAT。NAPT使用一个地址池，地址池里有多个公网地址可供转换。NAPT可以实现多个私网地址到一个或多个公网地址的转换。	NAPT适用于公网地址数量少，但需要.上网的私网用户数量大的场景。
Easy IP	NAT Server是一种特殊的静态目的NAT，NAT Server将发往私网服务器的报文中的公网地址转换为与之对应的私网地址。	在-一些特殊场景下，例如，学校或公司内会部署-些服务器对公网用户提供服务。由于这些服务器的地址一般都用私网地址，公网用户无法直接访问，此时，可以使用NAT Server技术，将服务器的私网地址映射成公网地址后供公网用户访问。

目的NAT
目的NAT在NAT转换时，仅对报文中的目的地址和目的端口号进行转换，主要应用于公网用户访问私网服务的场景。当公网用户主机发送的报文到达NAT设备后，设备通过目的NAT技术将报文中的公网IPv4地址转换成私网IPv4地址，从而使公网用户可以使用公网地址访问私网服务。

根据转换前后的地址是否存在一种固定的映射关系，目的NAT可以细分为如下几种类型，详见下表。


类别	描述	使用场景
静态目的NAT	静态目的NAT是一种转换报文目的IP地址的方式，转换前后的地址存在一种固定的映射关系。	通常情况下，出于安全的考虑，不允许外部网络主动访问内部网络。但是在某些情况下，还是希望能够为外部网络访问内部网络提供一种途径。例如，公司需要将内部网络中的资源提供给外部网络中的客户和出差员工访问，此时，可以使用静态目的NAT。
动态目的NAT	动态目的NAT是一种动态转换报文目的IP地址的方式，转换前后的地址不存在一种固定的映射关系。	通常情况下，静态目的NAT可以满足大部分目的地址转换的场景。但是在某些情况下，希望转换后的地址不固定。例如，移动终端通过转换目的地址访问无线网络，此时，可以使用动态目的NAT。
NAT Server	NAT Server是一种特殊的静态目的NAT, NAT Server将发往私网服务器的报文中的公网地址转换为与之对应的私网地址。	在一些特殊场景下，例如，学校或公司内会部署一些服务器对公网用户提供服务。由于这些服务器的地址一般都用私网地址,公网用户无法直接访问，此时，可以使用NAT Server技术，将服务器的私网地址映射成公网地址后供公网用户访问。

双向NAT
双向NAT指的是在转换过程中同时转换报文的源信息和目的信息。双向NAT不是一个单独的功能，而是源NAT和目的NAT的组合。双向NAT是针对同一条流，在其经过设备时同时转换报文的源地址和目的地址。双向NAT主要应用在同时有外网用户访问内部服务器和私网用户访问内部服务器的场景。

STUN中定义的NAT类型
在 STUN标准中，根据私网IP地址和端口到NAT出口的公网IP地址和端口的映射方式，把NAT分为如下四种类型，详见下图。

Full Cone NAT（完全锥型NAT）
所有从同一个私网IP地址和端口（IP1:Port1）发送过来的请求都会被映射成同一个公网IP地址和端口（IP:Port）。并且，任何外部主机通过向映射的公网IP地址和端口发送报文，都可以实现和内部主机进行通信。
这是一种比较宽松的策略，只要建立了私网IP地址和端口与公网IP地址和端口的映射关系，所有的Internet上的主机都可以访问该NAT之后的主机。
Restricted Cone NAT（限制锥型NAT）
所有从同一个私网IP地址和端口（IP1:Port1）发送过来的请求都会被映射成同一个公网IP和端口号（IP:Port）。与完全锥型NAT不同的是，当且仅当内部主机之前已经向公网主机发送过报文，此时公网主机才能向私网主机发送报文。
Port Restricted Cone NAT（端口限制锥型NAT）
与限制锥型NAT很相似，只不过它包括端口号。也就是说，一台公网主机（IP2:Port2）想给私网主机发送报文，必须是这台私网主机先前已经给这个IP地址和端口发送过报文。
Symmetric NAT（对称NAT）
所有从同一个私网IP地址和端口发送到一个特定的目的IP地址和端口的请求，都会被映射到同一个IP地址和端口。如果同一台主机使用相同的源地址和端口号发送报文，但是发往不同的目的地，NAT将会使用不同的映射。此外，只有收到数据的公网主机才可以反过来向私网主机发送报文。
这和端口限制锥型NAT不同，端口限制锥型NAT是所有请求映射到相同的公网IP地址和端口，而对称NAT是不同的请求有不同的映射。

3.3 NAT是如何工作的？

根据前面的分类，我们分别从源NAT和目的NAT中各选一种NAT为代表，介绍其工作原理。其他类型的NAT虽然在转换时，转换的内容有细微差别，但是工作原理都相似，不再重复介绍。此外，双向NAT是源NAT和目的NAT的组合，双向NAT的工作原理也不再重复介绍。

NAPT工作原理
NAPT在进行地址转换的同时还进行端口转换，可以实现多个私网用户共同使用一个公网IP地址上网。NAPT根据端口来区分不同用户，真正做到了地址复用。

当Host访问Web Server时，设备的处理过程如下：

设备收到Host发送的报文后查找NAT策略，发现需要对报文进行地址转换。
设备根据源IP Hash算法从NAT地址池中选择一个公网IP地址，替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。
设备收到Web Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。

NAT Server工作原理
使用NAT Server时，需要先在设备上配置公网地址和私网地址的固定映射关系。配置完成后，设备将会生成Server-Map表项，存放公网地址和私网地址的映射关系。该表项将一直存在除非NAT Server的配置被删除。

内部Server的私网IPv4地址为192.168.1.2/24，对外的公网IPv4地址为1.1.1.10，端口号都为80，它们之间的映射关系在设备上已提前配置好。当Host访问Server时，设备的处理过程如下：

设备收到Internet上用户访问1.1.1.10的报文的首包后，查找并匹配到Server-Map表项，将报文的目的IP地址转换为192.168.1.2。
设备建立会话表，然后将报文发送至Intranet。
设备收到Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的源地址替换为1.1.1.10，然后将报文发送至Internet。
后续Host继续发送给Server的报文，设备都会直接根据会话表项的记录对其进行转换，而不会再去查找Server-map表项。

3.4 如何使用NAT？

前面已经介绍了，不同的NAT类型适用于不同的应用场景。下面介绍几种典型的NAT应用，帮助用户使用NAT。

私网用户通过NAPT访问Internet
在许多小区、学校和企业的私网规划中，由于公网地址资源有限，通常给私网用户分配私网IPv4地址。此时，可以配置源NAT来实现私网用户访问Internet。用户可以根据自己拥有的公网IPv4地址的个数，选择使用NAPT或者Easy IP。

当用户拥有的公网IP地址个数较多时，配置了NAT设备出接口的IP地址和其他应用之后，还有可用的空闲公网IP地址时，可以选择NAPT。NAPT使用地址池内的IPv4地址作为私网主机转换后的公网IPv4地址。如下图所示，在设备上配置NAPT，实现私网主机访问Internet功能。

私网用户通过Easy IP访问Internet
当用户拥有的公网IPv4地址个数较少时，配置了NAT设备出接口的IPv4地址和其他应用之后，没有可用的空闲公网IPv4地址时，可以选择Easy IP。Easy IP使用出接口的IPv4地址作为私网主机转换后的公网IPv4地址。如下图所示，在设备上配置Easy IP，实现私网主机访问Internet功能。

公网用户通过NAT Server访问私网服务器
在某些场合，私网中有一些服务器需要向公网用户提供服务，比如私网中部署的一些Web服务器、FTP服务器等，NAT支持这样的应用，此时可以配置NAT Server来实现公网用户访问私网服务器。如下图所示，在设备上配置NAT Server，固定“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网主机通过该映射关系访问私网服务器功能。