高级配置NAT和DMZ配置Word文档格式.docx

高级配置NAT和DMZ配置Word文档格式.docx

《高级配置NAT和DMZ配置Word文档格式.docx》由会员分享，可在线阅读，更多相关《高级配置NAT和DMZ配置Word文档格式.docx（18页珍藏版）》请在冰豆网上搜索。

内网服务器依旧使用私有地址，对外提供为其分配的公网IP地址给外部网络用户访问。

Passthrough：

对指定的IP地址不做NAT，直接按路由方式转发，它经常用于一些会受NAT影响制约的特别应用。

例如，为保证IP语音和视频会议等应用的正常运行，可在内网中专门划分一个语音视频区，该区的主机均采用“Passthrough”方式。

我们将每个具体的NAT配置称为“NAT规则”，配置NAT规则时必须指定其出口IP地址及线路。

当有多个合法的公网地址时，每种类型的NAT规则均可配置多个。

实际应用中，常常需要混合使用不同类型的NAT规则。

NAT静态映射和虚拟服务器（DMZ主机）

启用NAT功能后，设备会阻断从外部发起的访问请求。

然而，某些应用环境下，广域网中的计算机希望通过设备访问局域网内部服务器，这时，就需要在设备上设置NAT静态映射或虚拟服务器（DMZ主机）来达到这个目的。

1.NAT静态映射

通过NAT静态映射功能，可建立<

外部IP地址+外部端口>

与<

内部IP地址+内部端口>

一对一的映射关系，这样，所有对设备某指定端口的服务请求都会被转发到匹配的局域网服务器上，从而，广域网中的计算机就可以访问这台服务器提供的服务了。

2.虚拟服务器（DMZ主机）

某些情况下，需要将一台局域网计算机完全暴露给Internet，以实现双向通信，这时候就需要将该计算机设置成虚拟服务器（DMZ主机）。

当有外部用户访问该虚拟服务器所映射的公网地址时，设备会直接把数据包转发到该虚拟服务器上。

设备中，当有多个公网IP地址时，可配置1个全局虚拟服务器，多个局部虚拟服务器。

其中，局部虚拟服务器是在配置NAT规则（类型为“EasyIP”）时设置的，当前NAT规则的外部IP地址就是该虚拟服务器所映射的公网地址。

提示：

被设置为虚拟服务器的计算机将失去设备的防火墙保护功能。

3.匹配优先级

NAT静态映射的优先级高于虚拟服务器。

当设备收到一个来自外部网络的请求时，它将首先根据外部访问请求的IP地址及端口号，检查是否有匹配的NAT静态映射，如果有的话，就把请求消息发送到该NAT静态映射匹配的局域网计算机上。

如果没有匹配的静态映射，才会检查是否有匹配的虚拟服务器。

另外，局部虚拟服务器的优先级高于全局虚拟服务器，只有在没有匹配的局部虚拟服务器时，才使用全局虚拟服务器。

上网线路、NAT规则与NAT静态映射的关系

设备中，上网线路、NAT规则与NAT静态映射的关系如下：

NAT规则绑定在上网线路上，允许多个NAT规则绑定在同一条线路上；

NAT静态映射绑定在NAT规则（类型为“EasyIP”）上，NAT规则的“外部IP地址”就是该NAT静态映射的“外部IP地址”，允许多个NAT静态映射绑定在同一个NAT规则上；

只有在配置了上网线路后，才能配置NAT规则；

只有在配置了NAT规则后，才能配置NAT静态映射。

系统保留NAT规则

在基本配置—>

快速向导中配置完默认线路，或者在基本配置—>

线路配置中配置完默认线路和其他上网线路后，系统会自动生成各线路对应的NAT规则。

为方便起见，在本手册中将它们称作“系统保留NAT规则”，可以在本页面的“NAT规则信息列表”中查看。

“系统保留NAT规则”的“类型”默认为“EasyIP”；

“外部IP地址”默认为“0.0.0.0”，表示直接使用当前线路接口的IP地址；

“绑定”默认为当前线路的“线路名称”；

此外，线路接入情况不同，对应的“系统保留NAT规则”的“NAT规则名”也不同，具体信息参见下表。

1.“默认线路”固定接到WAN1口，“备份线路”固定接到WAN2（DMZ）口；

2.对于任何一条“系统保留NAT规则”来说，都禁止修改“NAT规则名”、“类型”、“外部IP地址”以及“绑定”等参数。

上网线路

NAT规则名

线路名称

接入类型

接口

默认线路

固定IP

WAN1

ETHbind

PPPoE拨号

PEBIND

动态IP

DYNAeth2

备份线路

WAN2（DMZ）

IBIND

PBIND

DYNA2eth3

自定义的其他名称

LAN

FIXBIND_01

FIXBIND_02

FIXBIND_03

WAN3

FIXBIND_04

WAN4

FIXBIND_05

DYNBIND_01

DYNBIND_02

DYNBIND_03

DYNBIND_04

DYNBIND_05

此时，NAT规则名与接口无关。

按照配置顺序，各条PPPoE拨号线路对应的NAT规则的名称依次为PPPBIND_01、PPPBIND_02、PPPBIND_03、……、PPPBIND_10、PPPBIND_11、……。

系统保留NAT规则的名称

线路组合的“线路检测及权重”中配置各上网线路的“权重”、“内部起始IP地址”、“内部结束IP地址”等参数，相当于在本页面配置“系统保留NAT规则”。

相比之下，本页面提供更多的配置参数。

NAT与多线路负载均衡功能

概述

在前面，我们已经介绍了设备的多线路负载均衡功能的特点。

实际上，多线路负载均衡功能是依赖NAT功能实现的。

根据源IP地址指定优先通道

在这里，通道是指上网使用的NAT规则，它决定了上网使用的NAT类型、外部IP地址（即出口IP）及线路。

设备允许用户预先为局域网中的某些主机指定优先通道，它是通过设置NAT规则的“内部起始IP地址”和“内部结束IP地址”来实现的，IP地址属于两个地址范围内的主机将优先使用该NAT规则上网。

对于已指定优先通道的主机来说，当指定NAT规则可用时，它们只能使用该NAT规则上网；

但是，当指定NAT规则失效时，设备就把它们当作没有预先指定NAT规则的主机来处理。

根据线路带宽合理分配流量

设备中，用户能够预先指定分配到各条线路的流量的比例，它是通过设置线路的“权重”来实现的，“权重”大的线路将比“权重”小的线路承担更多流量。

在实际应用中，一般可按线路的带宽比来设置各线路的“权重”，从而实现按线路带宽比合理分配流量。

注意，对于多地址线路来说，如果有多条“EasyIP”类型的NAT规则绑定在该线路上，那么，这些NAT规则的“权重”之和就是该线路的“权重”。

此外，当局域网中某些主机指定了优先通道时，若按照带宽比来设置“权重”，线路的实际流量比可能会同带宽比相差较大。

这时，可以根据实际情况适当调整各线路的“权重”。

两种流量分配规则

“分配规则”用来控制线路流量，它作用于局域网中没有预先指定NAT规则的计算机，设备提供两种分配规则：

“NAT会话”和“IP地址”，它们的实现机制如下所述。

1.IP地址

使用IP地址作为分配规则时，设备将根据NAT规则的“权重”，把未指定NAT规则的主机的IP地址，按顺序依次分配到各条“EasyIP”NAT规则上。

分配到各“EasyIP”NAT规则的IP地址的数量比（即主机数量比）为它们的“权重”比，来自同一IP地址的NAT会话使用同一个规则。

例如，若当前同时使用3条“EasyIP”NAT规则上网，“权重”分别为3、2、1，则根据连接的先后顺序，第1、2、3台上网的主机将使用第一条规则，第4、5台主机将使用第二条规则，第6台主机将使用第三条规则，接着第7、8、9台主机将使用第一条规则，……，依此类推。

注意，这里假设每台主机均只有一个IP地址。

2.NAT会话

使用NAT会话作为分配规则时，设备将根据NAT规则的“权重”，把未指定NAT规则的主机发起的NAT会话，按顺序依次分配到各“EasyIP”NAT规则。

分配到各“EasyIP”NAT规则的NAT会话的数量比为它们的“权重”比，同一主机发起的NAT会话可使用多条NAT规则。

例如，若当前同时使用3条“EasyIP”NAT规则上网，“权重”分别为3、2、1，则根据连接的先后顺序，内网主机发起的第1、2、3个NAT会话将使用第一条规则，第4、5个NAT会话将使用第二条规则，第6个NAT会话将使用第三条规则，接着第7、8、9个NAT会话将使用第一条规则，……，依此类推。

3.设置依据

一般情况下，建议“分配规则”选择为“IP地址”。

当对带宽要求高，需要多线路带宽合并时，比如使用网络蚂蚁（NetAnts）、网际快车（FlashGet）、影像传送带（NetTransport）等多线程下载工具时（多线程下载指把一个下载文件分成若干份同时下载，下载后再把它们合并起来），则可选择“NAT会话”，从而能够充分利用多线路带宽，以提高下载速度。

需要注意的是，即便选择了“NAT会话”，由于网站情况不同仍有可能造成带宽不能完全叠加的情况，同时还可能造成某些应用连接不畅。

NAT规则的匹配次序

当局域网中有主机发起NAT访问时，会首先检查这台主机是否符合所有NAT规则中“内部起始IP地址”到“内部结束IP地址”所指定的范围。

如果有匹配的规则，则使用该条规则上网。

如果没有匹配的规则，则使用“NAT类型”为“EasyIP”的NAT规则上网；

有多个“EasyIP”类型的NAT规则时，则按照“分配规则”，根据“权重”值为各条NAT规则分配流量，从而控制线路流量。

NAT全局配置

启用NAT：

打开或者关闭NAT功能，选中为打开；

分配规则：

控制线路流量时使用的规则。

选项为“NAT会话”或“IP地址”，缺省值为“IP地址”；

最大Session数：

局域网每台主机所能占用的最大NAT会话数；

虚拟服务器（DMZ）：

欲用作虚拟服务器（DMZ主机）的局域网计算机的IP地址，此处配置的是全局虚拟服务器。

保存：

NAT全局配置参数生效；

重填：

恢复到修改前的配置参数。

1.在配置完上网线路后，设备会自动打开NAT功能。

除非特别需要，请不要关闭此功能，否则设备将失去共享上网功能；

2.当某些局域网应用（比如网络游戏）发生连接速度变慢的情况时，可以适当提高“最大Session数”。

注意，“最大Session数”设置过高可能会导致设备减弱甚至丧失防止DDoS攻击的功能。

NAT规则

NAT规则配置

下面分别介绍“EasyIP”、“One2One”及“Passthrough”这三种类型的NAT规则的配置，如下图所示。

1.EasyIP

NAT规则配置——EasyIP

NAT规则名：

NAT规则的名称（自定义，不能重复）。

取值范围：

1～11个字符；

NAT类型：

EasyIP、One2One、Passthrough，这里选择“EasyIP”；

外部IP地址：

该NAT规则中，内部IP地址所映射的外部IP地址。

对于系统保留NAT规则来说，它显示为0.0.0.0，表示默认使用当前接口地址，不能修改；

配置其余本类型规则时，只能使用ISP分配的除当前接口地址之外的IP地址作为映射地址，不能为0.0.0.0；

内部起始IP地址、内部结束IP地址：

局域网中优先使用该NAT规则上网的计算机的起始IP地址和结束IP地址；

权重：

该NAT规则的权重，取值范围为1-255（整数），缺省值为1；

虚拟服务器：

欲用作虚拟服务器的局域网计算机的IP地址，此处设置的是局部虚拟服务器，它只能使用该NAT规则；

绑定：

该NAT规则绑定的线路；

NAT规则的配置参数生效；

配置本类型的NAT规则时，“NAT规则名”不能定义为如表7-4所示的系统保留NAT规则的名称。

2.One2One

NAT规则配置——One2One

“NAT规则名”、“内部起始IP地址”、“内部结束IP地址”、“绑定”这几个参数的涵义同“EasyIP”方式中相关参数，这里不再重述，请参考相关描述。

外部起始IP地址：

该NAT规则中，内部起始IP地址所映射的外部起始IP地址；

EasyIP、One2One、Passthrough，这里选择“One2One”。

1.“外部起始IP地址”必须设置，实际映射的外部IP地址从设置值开始依次增加。

例如，如果“内部起始IP地址”设为192.168.16.6，“内部结束IP地址”设为192.168.16.8，“外部起始地址”设为200.200.200.116，则192.168.16.6、192.168.16.7、192.168.16.8依次映射成200.200.200.116、200.200.200.117、200.200.200.118。

2.为了实现内网主机和外网主机都可以通过公网IP访问One2One，在配置了One2One类型的NAT规则后，系统将在高级配置—>

路由配置页面的“路由信息列表”中自动添加目的地址为这些公网IP，网关为对应广域网接口IP的静态路由；

并且自动启用了对应广域网接口NAT类型的ARP代理。

3.Passthrough

NAT规则配置——Passthrough

“NAT规则名”、“绑定”这两个参数的涵义同“EasyIP”方式中相关参数，这里不再重述，请参考相关描述。

EasyIP、One2One、Passthrough，这里选择“Passthrough”；

局域网中使用该NAT规则上网的计算机的起始和结束IP地址，这两个地址范围之内的IP地址不能与其他规则的外部IP地址重叠。

NAT规则列表

NAT规则信息列表

增加NAT规则：

选中“添加”选项，输入NAT规则配置信息，单击“保存”按钮，生成新的NAT规则；

浏览NAT规则：

如果已经生成了NAT规则，则可在“NAT规则信息列表”中浏览NAT规则信息；

编辑NAT规则：

如果想编辑某条NAT规则，只需单击该NAT规则的“NAT规则名”或“编辑”超链接，其信息就会填充到相应的编辑框内，可修改它，再单击“保存”按钮，修改完毕；

删除NAT规则：

选中一些NAT规则，单击右下角的“删除”按钮，即可删除被选中的NAT规则。

自定义NAT规则

第一步，确定所要配置的NAT规则的类型；

第二步，进入高级配置—>

NAT和DMZ配置页面；

第三步，在“NAT规则配置”栏，选择“添加”选项；

第四步，选择“NAT类型”为“EasyIP”、“One2One”或“Passthrough”。

第五步，分为三种情况：

如果“NAT类型”选择为“EasyIP”，根据需要设置“外部IP地址”、“内部起始IP地址”及“内部结束IP地址”、“权重”和“虚拟服务器”；

如果“NAT类型”选择为“One2One”，根据需要设置“外部IP地址”、“内部起始IP地址”及“内部结束IP地址”；

如果“NAT类型”选择为“Passthrough”，根据需要设置“内部起始IP地址”及“内部结束IP地址”；

第六步，选择“绑定”；

第七步，单击“保存”按钮，该条NAT规则添加成功。

可以在“NAT规则信息列表”中看到相应的记录；

第八步，继续配置其他NAT规则。

1.删除NAT规则，在“NAT规则信息列表”中选中要删除的NAT规则，单击“删除”按钮，即可删除；

注意，不能删除系统保留NAT规则；

2.系统保留NAT规则的“外部IP地址”将显示为0.0.0.0，表示默认使用当前线路接口的地址，不能修改；

其余自定义的NAT规则的“外部IP地址”不能为当前线路的接口IP地址，也不能为0.0.0.0；

所有NAT规则的“内部IP地址”不能相互重叠，“外部IP地址”也不能重叠；

并且，“Passthrough”类型的NAT规则的“内部IP地址”不能与另外两种类型的规则的“外部IP地址”重叠；

3.在实际应用中，如果需要配置多条NAT规则，则在统一规划之后，应该首先配置或修改系统保留NAT规则，再配置其余自定义的NAT规则。

如果已在基本配置—>

线路组合的“线路检测及权重配置”中配置了系统保留NAT规则的相关参数，可直接在本页面修改它们；

如果没有配置系统保留NAT规则的相关参数，可以在基本配置—>

线路组合的“线路检测及权重配置”中进行快速配置，也可以直接在本页面进行配置。

例如，假设某用户已在基本配置—>

快速向导中配置了上网默认线路，ISP分配了2个可用地址给默认线路。

现在希望整个局域网用户分为两部分，一部分使用当前WAN1口地址作为外部地址，即使用默认线路对应的系统保留NAT规则上网；

另一部分使用ISP分配的另外一个地址作为外部地址。

则必须首先将局域网用户根据IP地址划分为两组，同组内用户将使用同一条NAT规则上网；

然后再在本页面配置系统保留NAT规则的相关参数：

“内部起始IP地址”、“内部结束IP地址”、“权重”等，最后才能在本页面配置另一条NAT规则的相关参数。

NAT规则配置的注意事项

设备中，要保证NAT正常工作，还需注意以下事项，并进行相关配置。

1.一般需启用快速转发功能

如果在NAT规则中配置了“内部起始IP地址”和“内部结束IP地址”这两个参数，要保证NAT正常工作，必须启用快速转发功能。

配置方法为：

进入高级配置—>

特殊功能页面，启用快速转发功能。

2.某个广域网接口为多地址接入时，必须启用NAT类型的ARP代理功能

进入基本配置—>

接口配置页面，首先在“选择接口”中选择使用多地址接入线路的广域网接口的名称，然后在“ARP代理”选中“Nat”。

3.某个广域网接口为多地址接入时，局域网主机要访问ISP分配的当前广域网接口IP地址之外的公网IP地址时，需配置相关的静态路由。

主要应用：

局域网其他主机需要通过公网地址访问“passthrough”类型的NAT规则所指定的内部主机时，需进入高级配置—>

路由配置页面设置相关的静态路由。

一般情况下，相关的静态路由为主机路由，其目的地址为需要访问的公网地址，掩码为255.255.255.255，网关为对应的广域网接口当前使用的IP地址。

因此，如果需要访问多个IP地址，则需要设置多条主机路由。

当然，如果需要访问的公网地址可以划分在同一个子网（该子网地址数更少，不能包括当前广域网接口IP地址）中，也可以通过为它们设置一条子网路由来实现：

其目的地址为新的子网的网络号，掩码为新的子网掩码，网关仍为对应的广域网接口当前使用的IP地址。

为避免无谓的错误，一般采用设置主机路由的方式即可。

NAT规则配置实例

1.EasyIP方式应用实例

某网吧使用单线路上网，ISP为该线路分配了8个地址：

218.1.21.0/29~218.1.21.7/29，其中218.1.21.1/29是该线路的网关地址，218.1.21.2/29是设备的WAN1口IP地址。

注意，218.1.21.0/29、218.1.21.7/29分别为相关子网的子网号和广播地址，不可使用。

现游戏B区（IP地址范围：

192.168.16.10/24~192.168.16.100/24）希望以218.1.21.3/29作为NAT映射地址通过WAN1口上网，其对外虚拟服务器为192.168.16.15，权重为2。

配置步骤如下：

第一步，进入高级配置—>

第二步，在“NAT规则配置”栏，单击“添加”按钮，如图7-5所示；

NAT规则配置——实例一

第三步，在“NAT规则名”中填入example1；

第四步，选择“NAT类型”为“EasyIP”；

第五步，在“外部IP地址”中填入218.1.21.3；

在“内部起始IP地址”和“内部结束IP地址”中分别填入192.168.16.10和192.168.16.100；

第六步，在“权重”中填入2，在“虚拟服务器”中填入192.168.16.15；

第七步，选择“绑定”为“默认线路”；

第八步，单击“保存”按钮，该条NAT规则配置成功。

2.One2One方式应用实例

1）需求

如下图所示，某企业申请了一条电信的线路，固定IP接入方式，带宽为6M。

电信给它分配了8个地址：

202.1.1.128/29～202.1.1.1.135/29，其中，202.1.1.129/29是该线路的网关地址，202.1.1.130/29是设备的WAN1口IP地址。

注意，202.1.1.128/29、202.1.1.1.135/29分别为相关子网的子网号和广播地址，不可使用。

NAT规则配置实例方案图——One2One方式

该企业希望内部的人员上网通过NAT后使用202.1.1.130/29共享上网，另外有四台服务器做一对一NAT（One2One）使用202.1.1.131/29～202.1.1.1.134/29对外提供服务。

内部网络的地址是192.168.16.0/24，4台服务器的内部地址是192.168.16.200/24～192.168.16.203/24。

2）分析

由于该线路是采用固定IP接入方式上网，首先需要在基本配置—>

快速向导页面中配置固定IP接入上网默认线路，或直接进入开始—>

上网线路配置和基本配置—>

线路配置页面中配置该线路。

上网默认线路正确配置后，将自动生成与默认线路对应的系统保留NAT规则，NAT功能也自动启用。

而该企业使用提供四台内部服务器供外部访问，因此还需为它们设置一个类型为“One2One”的NAT规则。

最后，为保证NAT工作正常，还需进入高级配置—>

特殊功能页面，启用快速转发功能；

而由于WAN1口是多地址接入，因此还需进入基本配置—>

接口配置页面，在WAN1口启用NAT类型的ARP代理功能；

另外，如果局域网用户需要通过外部地址（202.1.1.131～202.1.1.134）访问内部服务器，还需设置