高級(jí)配置-NAT和DMZ配置

“高級(jí)配置一NAT和DMZ配置”頁(yè)面配置手冊(cè)（ReOS2008版本）文檔編號(hào):152瀏覽:1009評(píng)分:4關(guān)鍵字:NAT和DMZ配置高級(jí)配置一NAT和DMZ配置本節(jié)主要講述高級(jí)配置一＞NAT和DMZ配置的配置方法。NAT功能介紹NAT簡(jiǎn)介NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種將一個(gè)IP地址域（如Intranet）映射到另一個(gè)IP地址域（如Internet）的技術(shù)。NAT的出現(xiàn)是為了解決IP日益短缺的問(wèn)題，NAT允許專用網(wǎng)絡(luò)在內(nèi)部使用任意范圍的IP地址，而對(duì)于公用的Internet則表現(xiàn)為有限的公網(wǎng)IP地址范圍。由于內(nèi)部網(wǎng)絡(luò)能有效地與外界隔離開，所以NAT也可以對(duì)網(wǎng)絡(luò)的安全性提供一些保證。NAT地址空間為了正確進(jìn)行NAT操作，任何NAT設(shè)備都必須維護(hù)兩個(gè)地址空間：一個(gè)是局域網(wǎng)主機(jī)在內(nèi)部使用的私有IP地址，設(shè)備中用“內(nèi)部IP地址”表示；另一個(gè)是用于外部的公網(wǎng)IP地址，設(shè)備中用“外部IP地址”表示。三種NAT類型設(shè)備提供三種NAT類型：“EasyIP”、“One2One”及“Passthrough”。EasyIP:即網(wǎng)絡(luò)地址端口轉(zhuǎn)換，多個(gè)內(nèi)部IP地址映射到同一個(gè)外部IP地址。它可為每個(gè)內(nèi)部連接動(dòng)態(tài)分配一個(gè)與單一外部地址有關(guān)的端口，并維護(hù)這些內(nèi)部連接到外部端口的映射，從而實(shí)現(xiàn)多個(gè)用戶同時(shí)使用一個(gè)公網(wǎng)地址與外部Internet進(jìn)行通信。One2One:即靜態(tài)地址轉(zhuǎn)換，內(nèi)部IP地址與外部IP地址進(jìn)行一對(duì)一的映射。此方式下，端口號(hào)不會(huì)改變。它通常用來(lái)配置外網(wǎng)訪問(wèn)內(nèi)網(wǎng)的服務(wù)器：內(nèi)網(wǎng)服務(wù)器依舊使用私有地址，對(duì)外提供為其分配的公網(wǎng)IP地址給外部網(wǎng)絡(luò)用戶訪問(wèn)。Passthrough:對(duì)指定的IP地址不做NAT,直接按路由方式轉(zhuǎn)發(fā)，它經(jīng)常用于一些會(huì)受NAT影響制約的特別應(yīng)用。例如，為保證IP語(yǔ)音和視頻會(huì)議等應(yīng)用的正常運(yùn)行，可在內(nèi)網(wǎng)中專門劃分一個(gè)語(yǔ)音視頻區(qū)，該區(qū)的主機(jī)均采用“Passthrough”方式。我們將每個(gè)具體的NAT配置稱為“NAT規(guī)則”，配置NAT規(guī)則時(shí)必須指定其出口IP地址及線路。當(dāng)有多個(gè)合法的公網(wǎng)地址時(shí)，每種類型的NAT規(guī)則均可配置多個(gè)。實(shí)際應(yīng)用中，常常需要混合使用不同類型的NAT規(guī)則。NAT靜態(tài)映射和虛擬服務(wù)器（DMZ主機(jī)）啟用NAT功能后，設(shè)備會(huì)阻斷從外部發(fā)起的訪問(wèn)請(qǐng)求。然而，某些應(yīng)用環(huán)境下，廣域網(wǎng)中的計(jì)算機(jī)希望通過(guò)設(shè)備訪問(wèn)局域網(wǎng)內(nèi)部服務(wù)器，這時(shí)，就需要在設(shè)備上設(shè)置NAT靜態(tài)映射或虛擬服務(wù)器（DMZ主機(jī)）來(lái)達(dá)到這個(gè)目的。NAT靜態(tài)映射通過(guò)NAT靜態(tài)映射功能，可建立＜外部IP地址+外部端口＞與＜內(nèi)部IP地址+內(nèi)部端口〉一對(duì)一的映射關(guān)系，這樣，所有對(duì)設(shè)備某指定端口的服務(wù)請(qǐng)求都會(huì)被轉(zhuǎn)發(fā)到匹配的局域網(wǎng)服務(wù)器上，從而，廣域網(wǎng)中的計(jì)算機(jī)就可以訪問(wèn)這臺(tái)服務(wù)器提供的服務(wù)了。虛擬服務(wù)器（DMZ主機(jī)）某些情況下，需要將一臺(tái)局域網(wǎng)計(jì)算機(jī)完全暴露給Internet,以實(shí)現(xiàn)雙向通信，這時(shí)候就需要將該計(jì)算機(jī)設(shè)置成虛擬服務(wù)器（DMZ主機(jī)）。當(dāng)有外部用戶訪問(wèn)該虛擬服務(wù)器所映射的公網(wǎng)地址時(shí)，設(shè)備會(huì)直接把數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬服務(wù)器上。設(shè)備中，當(dāng)有多個(gè)公網(wǎng)IP地址時(shí)，可配置1個(gè)全局虛擬服務(wù)器，多個(gè)局部虛擬服務(wù)器。其中，局部虛擬服務(wù)器是在配置NAT規(guī)則（類型為“EasyIP”）時(shí)設(shè)置的，當(dāng)前NAT規(guī)則的外部IP地址就是該虛擬服務(wù)器所映射的公網(wǎng)地址。提示：被設(shè)置為虛擬服務(wù)器的計(jì)算機(jī)將失去設(shè)備的防火墻保護(hù)功能。3.匹配優(yōu)先級(jí)NAT靜態(tài)映射的優(yōu)先級(jí)高于虛擬服務(wù)器。當(dāng)設(shè)備收到一個(gè)來(lái)自外部網(wǎng)絡(luò)的請(qǐng)求時(shí)，它將首先根據(jù)外部訪問(wèn)請(qǐng)求的IP地址及端口號(hào)，檢查是否有匹配的NAT靜態(tài)映射，如果有的話，就把請(qǐng)求消息發(fā)送到該NAT靜態(tài)映射匹配的局域網(wǎng)計(jì)算機(jī)上。如果沒(méi)有匹配的靜態(tài)映射，才會(huì)檢查是否有匹配的虛擬服務(wù)器。另外，局部虛擬服務(wù)器的優(yōu)先級(jí)高于全局虛擬服務(wù)器，只有在沒(méi)有匹配的局部虛擬服務(wù)器時(shí)，才使用全局虛擬服務(wù)器。上網(wǎng)線路、NAT規(guī)則與NAT靜態(tài)映射的關(guān)系設(shè)備中，上網(wǎng)線路、NAT規(guī)則與NAT靜態(tài)映射的關(guān)系如下：NAT規(guī)則綁定在上網(wǎng)線路上，允許多個(gè)NAT規(guī)則綁定在同一條線路上；NAT靜態(tài)映射綁定在NAT規(guī)則（類型為“EasyIP”）上，NAT規(guī)則的“外部IP地址”就是該NAT靜態(tài)映射的“外部IP地址”，允許多個(gè)NAT靜態(tài)映射綁定在同一個(gè)NAT規(guī)則上；只有在配置了上網(wǎng)線路后，才能配置NAT規(guī)則；只有在配置了NAT規(guī)則后，才能配置NAT靜態(tài)映射。系統(tǒng)保留NAT規(guī)則在基本配置—＞快速向?qū)е信渲猛昴J(rèn)線路，或者在基本配置—＞線路配置中配置完默認(rèn)線路和其他上網(wǎng)線路后，系統(tǒng)會(huì)自動(dòng)生成各線路對(duì)應(yīng)的NAT規(guī)則。為方便起見(jiàn)，在本手冊(cè)中將它們稱作“系統(tǒng)保留NAT規(guī)則”，可以在本頁(yè)面的“NAT規(guī)則信息列表”中查看?！跋到y(tǒng)保留NAT規(guī)貝『?jiǎn)邦愋汀蹦J(rèn)為“EasyIP”；“外部IP地址”默認(rèn)為“”，表示直接使用當(dāng)前線路接口的IP地址；“綁定”默認(rèn)為當(dāng)前線路的“線路名稱”；此外，線路接入情況不同，對(duì)應(yīng)的“系統(tǒng)保留NAT規(guī)貝I」”的“NAT規(guī)則名”也不同，具體信息參見(jiàn)下表。提示：1?“默認(rèn)線路”固定接到WAN1口，“備份線路”固定接到WAN2（DMZ）口；2.對(duì)于任何一條“系統(tǒng)保留NAT規(guī)則”來(lái)說(shuō)，都禁止修改“NAT規(guī)則名”、“類型”、“外部IP地址”以及“綁定”等參數(shù)。上網(wǎng)線路NAT規(guī)則名線路名稱接入類型接口固定IPWAN1ETHbind默認(rèn)線路PPPoE撥號(hào)WAN1PEBIND動(dòng)態(tài)IPWAN1DYNAeth2

固定IPWAN2(DMZ)IBIND備份線路PPPoE撥號(hào)WAN2(DMZ)PBIND動(dòng)態(tài)IPWAN2(DMZ)DYNA2eth3LANFIXBIND_01WAN1FIXBIND_02固定IPWAN2(DMZ)FIXBIND_03WAN3FIXBIND_04WAN4FIXBIND_05LANDYNBIND_01自定義的其他名稱WAN1DYNBIND_02動(dòng)態(tài)IPWAN2(DMZ)DYNBIND_03WAN3DYNBIND_04WAN4DYNBIND_05PPPoE撥號(hào)此時(shí),NAT規(guī)則名與接口無(wú)關(guān)。按照配置順序，各條PPPoE撥號(hào)線路對(duì)應(yīng)的NAT規(guī)則的名稱依次為PPPBIND_01、PPPBIND02、PPPBIND03、 、PPPBIND10、PPPBIND11、 。此時(shí)，NAT規(guī)則名與接口無(wú)關(guān)。按照配置順序，各條PPPoE撥號(hào)線路對(duì)應(yīng)的NAT規(guī)則的名稱依次為PPPBIND_01、PPPBIND_02、PPPBIND_03、……、PPPBIND_10、PPPBIND_11、 。系統(tǒng)保留NAT規(guī)則的名稱在基本配置—＞線路組合的“線路檢測(cè)及權(quán)重”中配置各上網(wǎng)線路的“權(quán)重”、“內(nèi)部起始IP地址”、“內(nèi)部結(jié)束IP地址”等參數(shù)，相當(dāng)于在本頁(yè)面配置“系統(tǒng)保留NAT規(guī)則”。相比之下，本頁(yè)面提供更多的配置參數(shù)。NAT與多線路負(fù)載均衡功能概述在前面，我們已經(jīng)介紹了設(shè)備的多線路負(fù)載均衡功能的特點(diǎn)。實(shí)際上，多線路負(fù)載均衡功能是依賴NAT功能實(shí)現(xiàn)的。根據(jù)源IP地址指定優(yōu)先通道在這里，通道是指上網(wǎng)使用的NAT規(guī)則，它決定了上網(wǎng)使用的NAT類型、外部IP地址（即出口IP）及線路。設(shè)備允許用戶預(yù)先為局域網(wǎng)中的某些主機(jī)指定優(yōu)先通道，它是通過(guò)設(shè)置NAT規(guī)則的“內(nèi)部起始IP地址”和“內(nèi)部結(jié)束IP地址”來(lái)實(shí)現(xiàn)的，IP地址屬于兩個(gè)地址范圍內(nèi)的主機(jī)將優(yōu)先使用該NAT規(guī)則上網(wǎng)。對(duì)于已指定優(yōu)先通道的主機(jī)來(lái)說(shuō)，當(dāng)指定NAT規(guī)則可用時(shí)，它們只能使用該NAT規(guī)則上網(wǎng)；但是，當(dāng)指定NAT規(guī)則失效時(shí)，設(shè)備就把它們當(dāng)作沒(méi)有預(yù)先指定NAT規(guī)則的主機(jī)來(lái)處理。根據(jù)線路帶寬合理分配流量設(shè)備中，用戶能夠預(yù)先指定分配到各條線路的流量的比例，它是通過(guò)設(shè)置線路的“權(quán)重”來(lái)實(shí)現(xiàn)的，“權(quán)重”大的線路將比“權(quán)重”小的線路承擔(dān)更多流量。在實(shí)際應(yīng)用中，一般可按線路的帶寬比來(lái)設(shè)置各線路的“權(quán)重”，從而實(shí)現(xiàn)按線路帶寬比合理分配流量。注意，對(duì)于多地址線路來(lái)說(shuō)，如果有多條衛(wèi)asyIP”類型的NAT規(guī)則綁定在該線路上，那么，這些NAT規(guī)則的“權(quán)重”之和就是該線路的“權(quán)重”。此外，當(dāng)局域網(wǎng)中某些主機(jī)指定了優(yōu)先通道時(shí)，若按照帶寬比來(lái)設(shè)置“權(quán)重”，線路的實(shí)際流量比可能會(huì)同帶寬比相差較大。這時(shí)，可以根據(jù)實(shí)際情況適當(dāng)調(diào)整各線路的“權(quán)重”。兩種流量分配規(guī)則“分配規(guī)則”用來(lái)控制線路流量，它作用于局域網(wǎng)中沒(méi)有預(yù)先指定NAT規(guī)則的計(jì)算機(jī)，設(shè)備提供兩種分配規(guī)則：“NAT會(huì)話”和“IP地址”，它們的實(shí)現(xiàn)機(jī)制如下所述。1.IP地址使用IP地址作為分配規(guī)則時(shí)，設(shè)備將根據(jù)NAT規(guī)則的“權(quán)重”，把未指定NAT規(guī)則的主機(jī)的IP地址，按順序依次分配到各條“EasyIP”NAT規(guī)則上。分配到各“EasyIP”NAT規(guī)則的IP地址的數(shù)量比（即主機(jī)數(shù)量比）為它們的'權(quán)重”比，來(lái)自同一IP地址的NAT會(huì)話使用同一個(gè)規(guī)則。例如，若當(dāng)前同時(shí)使用3條“EasyIP”NAT規(guī)則上網(wǎng)，“權(quán)重”分別為3、2、1,則根據(jù)連接的先后順序，第1、2、3臺(tái)上網(wǎng)的主機(jī)將使用第一條規(guī)則，第4、5臺(tái)主機(jī)將使用第二條規(guī)則，第6臺(tái)主機(jī)將使用第三條規(guī)則，接著第7、8、9臺(tái)主機(jī)將使用第一條規(guī)則，……，依此類推。注意，這里假設(shè)每臺(tái)主機(jī)均只有一個(gè)IP地址。NAT會(huì)話使用NAT會(huì)話作為分配規(guī)則時(shí)，設(shè)備將根據(jù)NAT規(guī)則的“權(quán)重”，把未指定NAT規(guī)則的主機(jī)發(fā)起的NAT會(huì)話，按順序依次分配到各“EasyIP”NAT規(guī)則。分配到各“EasyIP”NAT規(guī)則的NAT會(huì)話的數(shù)量比為它們的“權(quán)重”比，同一主機(jī)發(fā)起的NAT會(huì)話可使用多條NAT規(guī)則。例如，若當(dāng)前同時(shí)使用3條“EasyIP”NAT規(guī)則上網(wǎng)，“權(quán)重”分別為3、2、1,則根據(jù)連接的先后順序，內(nèi)網(wǎng)主機(jī)發(fā)起的第1、2、3個(gè)NAT會(huì)話將使用第一條規(guī)則，第4、5個(gè)NAT會(huì)話將使用第二條規(guī)則，第6個(gè)NAT會(huì)話將使用第三條規(guī)則，接著第7、8、9個(gè)NAT會(huì)話將使用第一條規(guī)則，……，依此類推。設(shè)置依據(jù)一般情況下，建議“分配規(guī)則”選擇為“IP地址”。當(dāng)對(duì)帶寬要求高，需要多線路帶寬合并時(shí)，比如使用網(wǎng)絡(luò)螞蟻（NetAnts）、網(wǎng)際快車（FlashGet）、影像傳送帶（NetTransport）等多線程下載工具時(shí)（多線程下載指把一個(gè)下載文件分成若干份同時(shí)下載，下載后再把它們合并起來(lái)），則可選擇“NAT會(huì)話”，從而能夠充分利用多線路帶寬，以提高下載速度。需要注意的是，即便選擇了“NAT會(huì)話”，由于網(wǎng)站情況不同仍有可能造成帶寬不能完全疊加的情況，同時(shí)還可能造成某些應(yīng)用連接不暢。NAT規(guī)則的匹配次序當(dāng)局域網(wǎng)中有主機(jī)發(fā)起NAT訪問(wèn)時(shí)，會(huì)首先檢查這臺(tái)主機(jī)是否符合所有NAT規(guī)則中“內(nèi)部起始IP地址”到“內(nèi)部結(jié)束IP地址”所指定的范圍。如果有匹配的規(guī)則，則使用該條規(guī)則上網(wǎng)。如果沒(méi)有匹配的規(guī)則，則使用“NAT類型”為“EasyIP”的NAT規(guī)則上網(wǎng)；有多個(gè)“EasyIP”類型的NAT規(guī)則時(shí)，貝I」按照汾配規(guī)則”，根據(jù)“權(quán)重”值為各條NAT規(guī)則分配流量，從而控制線路流量。NAT全局配置NAT全局配置啟用NAT：打開或者關(guān)閉NAT功能，選中為打開；分配規(guī)則：控制線路流量時(shí)使用的規(guī)則。選項(xiàng)為“NAT會(huì)話”或“IP地址”，缺省值為“IP地址”;最大Session數(shù)：局域網(wǎng)每臺(tái)主機(jī)所能占用的最大NAT會(huì)話數(shù)；虛擬服務(wù)器（DMZ）：欲用作虛擬服務(wù)器（DMZ主機(jī)）的局域網(wǎng)計(jì)算機(jī)的IP地址，此處配置的是全局虛擬服務(wù)器。保存：NAT全局配置參數(shù)生效；重填：恢復(fù)到修改前的配置參數(shù)。提示：在配置完上網(wǎng)線路后，設(shè)備會(huì)自動(dòng)打開NAT功能。除非特別需要，請(qǐng)不要關(guān)閉此功能，否則設(shè)備將失去共享上網(wǎng)功能；當(dāng)某些局域網(wǎng)應(yīng)用（比如網(wǎng)絡(luò)游戲）發(fā)生連接速度變慢的情況時(shí)，可以適當(dāng)提高“最大Session數(shù)”。注意，“最大Session數(shù)”設(shè)置過(guò)高可能會(huì)導(dǎo)致設(shè)備減弱甚至喪失防止DDoS攻擊的功能。NAT規(guī)則NAT規(guī)則配置下面分別介紹“EasyIP”、“One2One”及“Passthrough”這三種類型的NAT規(guī)則的配置，如下圖所示。1.EasyIP保存重埴幫助保存重埴幫助NAT規(guī)則配置——EasyIPNAT規(guī)則名：NAT規(guī)則的名稱（自定義，不能重復(fù)）。取值范圍：1?11個(gè)字符；NAT類型：EasyIP、0ne20ne、Passthrough,這里選擇“EasyIP"；外部IP地址：該NAT規(guī)則中，內(nèi)部IP地址所映射的外部IP地址。對(duì)于系統(tǒng)保留NAT規(guī)則來(lái)說(shuō)，它顯示為，表示默認(rèn)使用當(dāng)前接口地址，不能修改；配置其余本類型規(guī)則時(shí)，只能使用ISP分配的除當(dāng)前接口地址之外的IP地址作為映射地址，不能為；內(nèi)部起始IP地址、內(nèi)部結(jié)束IP地址：局域網(wǎng)中優(yōu)先使用該NAT規(guī)則上網(wǎng)的計(jì)算機(jī)的起始IP地址和結(jié)束IP地址；權(quán)重：該NAT規(guī)則的權(quán)重，取值范圍為1-255（整數(shù)），缺省值為1；虛擬服務(wù)器：欲用作虛擬服務(wù)器的局域網(wǎng)計(jì)算機(jī)的IP地址，此處設(shè)置的是局部虛擬服務(wù)器,它只能使用該NAT規(guī)則；綁定：該NAT規(guī)則綁定的線路；保存：NAT規(guī)則的配置參數(shù)生效；重填：恢復(fù)到修改前的配置參數(shù)。提示：配置本類型的NAT規(guī)則時(shí)，“NAT規(guī)則名”不能定義為如表7-4所示的系統(tǒng)保留NAT規(guī)則的名稱。2.One2One擰添加C修改NAT規(guī)則配置——One2One“NAT規(guī)則名"、“內(nèi)部起始IP地址"、“內(nèi)部結(jié)束IP地址"、“綁定”這幾個(gè)參數(shù)的涵義同“EasyIP"方式中相關(guān)參數(shù)，這里不再重述，請(qǐng)參考相關(guān)描述。外部起始IP地址：該NAT規(guī)則中，內(nèi)部起始IP地址所映射的外部起始IP地址；NAT類型：EasyIP、0ne20ne、Passthrough，這里選擇“One2One"。保存：NAT規(guī)則的配置參數(shù)生效；重填：恢復(fù)到修改前的配置參數(shù)。提示：1?“外部起始IP地址”必須設(shè)置，實(shí)際映射的外部IP地址從設(shè)置值開始依次增加。例如，如果“內(nèi)部起始IP地址”設(shè)為,訥部結(jié)束IP地址”設(shè)為,“外部起始地址”設(shè)為16，則、、依次映射成16、17、18。2.為了實(shí)現(xiàn)內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)都可以通過(guò)公網(wǎng)IP訪問(wèn)One2One，在配置了One2One類型的NAT規(guī)則后，系統(tǒng)將在高級(jí)配置—＞路由配置頁(yè)面的“路由信息列表”中自動(dòng)添加目的地址為這些公網(wǎng)IP,網(wǎng)關(guān)為對(duì)應(yīng)廣域網(wǎng)接口IP的靜態(tài)路由;并且自動(dòng)啟用了對(duì)應(yīng)廣域網(wǎng)接口NAT類型的ARP代理。3.PassthroughNAT規(guī)則名*NAT類型內(nèi)部起貽NAT規(guī)則名*NAT類型內(nèi)部起貽IP地址*內(nèi)部結(jié)束IP地址*綁定case3Passthrough iimul1'92"160：16.119 'l92：l'60"l6"l'2O I默認(rèn)矗2保存重埴幫助保存重埴幫助NAT規(guī)則配置 Passthrough“NAT規(guī)則名”、“綁定”這兩個(gè)參數(shù)的涵義同“EasyIP”方式中相關(guān)參數(shù)，這里不再重述，請(qǐng)參考相關(guān)描述。NAT類型：EasyIP、0ne20ne、Passthrough，這里選擇“Passthrough"；內(nèi)部起始IP地址、內(nèi)部結(jié)束IP地址：局域網(wǎng)中使用該NAT規(guī)則上網(wǎng)的計(jì)算機(jī)的起始和結(jié)束IP地址，這兩個(gè)地址范圍之內(nèi)的IP地址不能與其他規(guī)則的外部IP地址重疊。保存：NAT規(guī)則的配置參數(shù)生效；重填：恢復(fù)到修改前的配置參數(shù)。NAT規(guī)則列表NATHJU名外部IPlt址內(nèi)部起貽IPK址內(nèi)部結(jié)束IPIft址類型虔執(zhí)巌務(wù)盟綁定rETHbindEasyIP默認(rèn)線路編輯rPPPBIND_0EasyIP編輯::XXXKX：r全選『全不選刪除 嘰:亠:前話話話話話1/1 第1貝 上1頁(yè) 下1頁(yè) 攝后頁(yè). 刖住第:::: ?”* *" NAT規(guī)則信息列表增加NAT規(guī)則：選中“添加”選項(xiàng)，輸入NAT規(guī)則配置信息，單擊“保存”按鈕，生成新的NAT規(guī)則；瀏覽NAT規(guī)則：如果已經(jīng)生成了NAT規(guī)則，則可在“NAT規(guī)則信息列表”中瀏覽NAT規(guī)則信息；編輯NAT規(guī)則：如果想編輯某條NAT規(guī)則，只需單擊該NAT規(guī)則的“NAT規(guī)則名”或“編輯”超鏈接，其信息就會(huì)填充到相應(yīng)的編輯框內(nèi)，可修改它，再單擊“保存”按鈕，修改完畢；刪除NAT規(guī)則：選中一些NAT規(guī)則，單擊右下角的“刪除”按鈕，即可刪除被選中的NAT規(guī)則。自定義NAT規(guī)則第一步，確定所要配置的NAT規(guī)則的類型；第二步，進(jìn)入高級(jí)配置—＞NAT和DMZ配置頁(yè)面；第三步，在“NAT規(guī)則配置”欄，選擇“添加”選項(xiàng)；第四步，選擇“NAT類型”為“EasyIP”、“One2One”或“Passthrough”。第五步，分為三種情況：如果“NAT類型”選擇為“EasyIP”，根據(jù)需要設(shè)置“外部IP地址”、“內(nèi)部起始IP地址”及“內(nèi)部結(jié)束IP地址”、“權(quán)重”和“虛擬服務(wù)器”；如果“NAT類型”選擇為“One2One”，根據(jù)需要設(shè)置“外部IP地址”、“內(nèi)部起始IP地址”及“內(nèi)部結(jié)束IP地址”；如果“NAT類型”選擇為“Passthrough”，根據(jù)需要設(shè)置“內(nèi)部起始IP地址”及“內(nèi)部結(jié)束IP地址”；第六步，選擇“綁定”；第七步，單擊“保存”按鈕，該條NAT規(guī)則添加成功。可以在“NAT規(guī)則信息列表”中看到相應(yīng)的記錄；第八步，繼續(xù)配置其他NAT規(guī)則。提示：1刪除NAT規(guī)則，在“NAT規(guī)則信息列表”中選中要?jiǎng)h除的NAT規(guī)則，單擊“刪除”按鈕，即可刪除；注意，不能刪除系統(tǒng)保留NAT規(guī)則；2?系統(tǒng)保留NAT規(guī)則的“外部IP地址”將顯示為,表示默認(rèn)使用當(dāng)前線路接口的地址,不能修改；其余自定義的NAT規(guī)則的“外部IP地址”不能為當(dāng)前線路的接口IP地址，也不能為；所有NAT規(guī)則的“內(nèi)部IP地址”不能相互重疊，“外部IP地址”也不能重疊；并且，“Passthrough，啖型的NAT規(guī)則的“內(nèi)部IP地址”不能與另外兩種類型的規(guī)則的“外部IP地址”重疊；3?在實(shí)際應(yīng)用中，如果需要配置多條NAT規(guī)則，則在統(tǒng)一規(guī)劃之后，應(yīng)該首先配置或修改系統(tǒng)保留NAT規(guī)則，再配置其余自定義的NAT規(guī)則。如果已在基本配置一＞線路組合的“線路檢測(cè)及權(quán)重配置”中配置了系統(tǒng)保留NAT規(guī)則的相關(guān)參數(shù)，可直接在本頁(yè)面修改它們；如果沒(méi)有配置系統(tǒng)保留NAT規(guī)則的相關(guān)參數(shù)，可以在基本配置一＞線路組合的“線路檢測(cè)及權(quán)重配置”中進(jìn)行快速配置，也可以直接在本頁(yè)面進(jìn)行配置。例如，假設(shè)某用戶已在基本配置一＞快速向?qū)е信渲昧松暇W(wǎng)默認(rèn)線路，ISP分配了2個(gè)可用地址給默認(rèn)線路。現(xiàn)在希望整個(gè)局域網(wǎng)用戶分為兩部分，一部分使用當(dāng)前WAN1口地址作為外部地址，即使用默認(rèn)線路對(duì)應(yīng)的系統(tǒng)保留NAT規(guī)則上網(wǎng)；另一部分使用ISP分配的另外一個(gè)地址作為外部地址。則必須首先將局域網(wǎng)用戶根據(jù)IP地址劃分為兩組，同組內(nèi)用戶將使用同一條NAT規(guī)則上網(wǎng)；然后再在本頁(yè)面配置系統(tǒng)保留NAT規(guī)則的相關(guān)參數(shù)：“內(nèi)部起始IP地址”、“內(nèi)部結(jié)束IP地址”、“權(quán)重”等，最后才能在本頁(yè)面配置另一條NAT規(guī)則的相關(guān)參數(shù)。NAT規(guī)則配置的注意事項(xiàng)設(shè)備中，要保證NAT正常工作，還需注意以下事項(xiàng)，并進(jìn)行相關(guān)配置。一般需啟用快速轉(zhuǎn)發(fā)功能如果在NAT規(guī)則中配置了“內(nèi)部起始IP地址”和“內(nèi)部結(jié)束IP地址”這兩個(gè)參數(shù),要保證NAT正常工作，必須啟用快速轉(zhuǎn)發(fā)功能。配置方法為：進(jìn)入高級(jí)配置—＞特殊功能頁(yè)面，啟用快速轉(zhuǎn)發(fā)功能。2?某個(gè)廣域網(wǎng)接口為多地址接入時(shí)，必須啟用NAT類型的ARP代理功能配置方法為：進(jìn)入基本配置—＞接口配置頁(yè)面，首先在“選擇接口”中選擇使用多地址接入線路的廣域網(wǎng)接口的名稱，然后在“ARP代理”選中“Nat”。3?某個(gè)廣域網(wǎng)接口為多地址接入時(shí)，局域網(wǎng)主機(jī)要訪問(wèn)ISP分配的當(dāng)前廣域網(wǎng)接口IP地址之外的公網(wǎng)IP地址時(shí)，需配置相關(guān)的靜態(tài)路由。主要應(yīng)用：局域網(wǎng)其他主機(jī)需要通過(guò)公網(wǎng)地址訪問(wèn)“passthrough”類型的NAT規(guī)則所指定的內(nèi)部主機(jī)時(shí)，需進(jìn)入高級(jí)配置—＞路由配置頁(yè)面設(shè)置相關(guān)的靜態(tài)路由。一般情況下，相關(guān)的靜態(tài)路由為主機(jī)路由，其目的地址為需要訪問(wèn)的公網(wǎng)地址，掩碼為55,網(wǎng)關(guān)為對(duì)應(yīng)的廣域網(wǎng)接口當(dāng)前使用的IP地址。因此，如果需要訪問(wèn)多個(gè)IP地址，則需要設(shè)置多條主機(jī)路由。當(dāng)然，如果需要訪問(wèn)的公網(wǎng)地址可以劃分在同一個(gè)子網(wǎng)（該子網(wǎng)地址數(shù)更少，不能包括當(dāng)前廣域網(wǎng)接口IP地址）中，也可以通過(guò)為它們?cè)O(shè)置一條子網(wǎng)路由來(lái)實(shí)現(xiàn)：其目的地址為新的子網(wǎng)的網(wǎng)絡(luò)號(hào)，掩碼為新的子網(wǎng)掩碼，網(wǎng)關(guān)仍為對(duì)應(yīng)的廣域網(wǎng)接口當(dāng)前使用的IP地址。為避免無(wú)謂的錯(cuò)誤，一般采用設(shè)置主機(jī)路由的方式即可。NAT規(guī)則配置實(shí)例I.EasyIP方式應(yīng)用實(shí)例某網(wǎng)吧使用單線路上網(wǎng)，ISP為該線路分配了8個(gè)地址：/29?/29,其中/29是該線路的網(wǎng)關(guān)地址，/29是設(shè)備的WAN1口IP地址。注意，/29、/29分別為相關(guān)子網(wǎng)的子網(wǎng)號(hào)和廣播地址，不可使用?，F(xiàn)游戲B區(qū)（IP地址范圍：0/24?00/24）希望以/29作為NAT映射地址通過(guò)WAN1口上網(wǎng)，其對(duì)外虛擬服務(wù)器為5，權(quán)重為2。配置步驟如下：第一步，進(jìn)入高級(jí)配置—＞NAT和DMZ配置頁(yè)面；第二步，在“NAT規(guī)則配置”欄，單擊“添加”按鈕，如圖7-5所示；［保存』曉重媒創(chuàng)k幫助INAT規(guī)則配置——實(shí)例一第三步，在“NAT規(guī)則名”中填入examplel；第四步，選擇“NAT類型”為“EasyIP”；第五步，在“外部IP地址”中填入；在“內(nèi)部起始IP地址”和“內(nèi)部結(jié)束IP地址”中分別填入0和00；第六步，在“權(quán)重”中填入2，在“虛擬服務(wù)器”中填入5；第七步，選擇“綁定”為“默認(rèn)線路”；第八步，單擊“保存”按鈕，該條NAT規(guī)則配置成功。2.One2One方式應(yīng)用實(shí)例1)需求如下圖所示，某企業(yè)申請(qǐng)了一條電信的線路，固定IP接入方式，帶寬為6M。電信給它分配了8個(gè)地址：28/29?.135/29，其中,29/29是該線路的網(wǎng)關(guān)地址,30/29是設(shè)備的WAN1口IP地址。注意，28/29、.135/29分別為相該企業(yè)希望內(nèi)部的人員上網(wǎng)通過(guò)NAT后使用30/29共享上網(wǎng)，另外有四臺(tái)服務(wù)器做一對(duì)一NAT(One2One)使用31/29?.134/29對(duì)外提供服務(wù)。內(nèi)部網(wǎng)絡(luò)的地址是/24，4臺(tái)服務(wù)器的內(nèi)部地址是00/24?03/24。2)分析由于該線路是采用固定IP接入方式上網(wǎng)，首先需要在基本配置一＞快速向?qū)ы?yè)面中配置固定IP接入上網(wǎng)默認(rèn)線路，或直接進(jìn)入開始—＞上網(wǎng)線路配置和基本配置—＞線路配置頁(yè)面中配置該線路。上網(wǎng)默認(rèn)線路正確配置后，將自動(dòng)生成與默認(rèn)線路對(duì)應(yīng)的系統(tǒng)保留NAT規(guī)則，NAT功能也自動(dòng)啟用。而該企業(yè)使用提供四臺(tái)內(nèi)部服務(wù)器供外部訪問(wèn)，因此還需為它們?cè)O(shè)置一個(gè)類型為“One2One”的NAT規(guī)則。最后，為保證NAT工作正常，還需進(jìn)入高級(jí)配置一＞特殊功能頁(yè)面，啟用快速轉(zhuǎn)發(fā)功能；而由于WAN1口是多地址接入，因此還需進(jìn)入基本配置一＞接口配置頁(yè)面，在WAN1口啟用NAT類型的ARP代理功能；另外，如果局域網(wǎng)用戶需要通過(guò)外部地址(31?34)訪問(wèn)內(nèi)部服務(wù)器，還需設(shè)置相關(guān)的靜態(tài)路由。3)One2One類型的NAT規(guī)則配置配置步驟如下：第一步，進(jìn)入高級(jí)配置—＞NAT和DMZ配置頁(yè)面；第二步，在“NAT規(guī)則配置”欄，單擊“添加”按鈕，如下圖所示；NAT規(guī)則配置——實(shí)例二第三步，在“NAT規(guī)則名”中填入example2；第四步，選擇“NAT類型”為“One2One”；第五步，在“外部IP地址”中填入31；在“內(nèi)部起始IP地址”和“內(nèi)部結(jié)束IP地址”中分別填入00和03；第六步，選擇“綁定”為“默認(rèn)線路”；第七步，單擊“保存”按鈕，該條NAT規(guī)則添加成功。3.Passthrough方式應(yīng)用實(shí)例1)需求如下圖所示，某企業(yè)申請(qǐng)了一條電信的線路，固定IP接入方式，帶寬是6M。電信提供給企業(yè)使用的連接地址為/30，電信使用的連接地址(即網(wǎng)關(guān)地址)為/30。該企業(yè)的內(nèi)部用戶主機(jī)將使用/30共享上網(wǎng)，內(nèi)部網(wǎng)絡(luò)的地址是/24。此外，電信還分配了一段地址給該企業(yè)使用，地址范圍為/27~1/27，該企業(yè)將利用這些地址采用Passthrough方式配置多臺(tái)服務(wù)器，對(duì)外提供服務(wù)；注意，/27和1/27分別為相關(guān)子網(wǎng)的子網(wǎng)號(hào)和廣播地址，不可使用。2)分析由于該線路是采用固定IP接入方式上網(wǎng)，首先需要在基本配置—＞快速向?qū)е信渲霉潭↖P接入上網(wǎng)默認(rèn)線路，或直接進(jìn)入基本配置—＞線路配置頁(yè)面中配置該線路。上網(wǎng)默認(rèn)線路正確配置后，將自動(dòng)生成默認(rèn)線路對(duì)應(yīng)的系統(tǒng)保留NAT規(guī)則，NAT功能也自動(dòng)啟用。另外，由于要求對(duì)外服務(wù)器采用Passthrough方式直接路由出網(wǎng)，因此，需將服務(wù)器通過(guò)交換機(jī)連接到設(shè)備的WAN2/DMZ口，將DMZ口的地址設(shè)為/27，并將服務(wù)器的地址設(shè)為/27~0/27中的任一個(gè)，并且這些對(duì)外服務(wù)器的網(wǎng)關(guān)都是/27。之后，再為它們?cè)O(shè)置一個(gè)類型為“Passthrough”的NAT規(guī)則，地址范圍為：/27~0/27最后，為保證NAT工作正常，還需進(jìn)入高級(jí)配置一＞特殊功能頁(yè)面，啟用快速轉(zhuǎn)發(fā)功能3)Passthrough類型的NAT規(guī)則配置配置步驟如下：第一步，進(jìn)入高級(jí)配置一＞NAT和DMZ配置頁(yè)面；第二步，在“NAT規(guī)則配置”欄，單擊“添加”按鈕，如下圖所示；擰添加C修改LggJ埴|NAT規(guī)則配置一一實(shí)例三第三步，在“NAT規(guī)則名”中填入pass；第四步，選擇“NAT類型”為“Passthrough”；第五步，在“內(nèi)部起始IP地址”填入,和“內(nèi)部結(jié)束IP地址”中填入0；第六步，選擇“綁定”為“默認(rèn)線路”；第七步，單擊“保存”按鈕，該條NAT規(guī)則添加成功。NAT靜態(tài)映射NAT靜態(tài)映射配置檸添加r修改I保存］［重埴］|幫助|NAT靜態(tài)映射配置NAT靜態(tài)映射名：NAT靜態(tài)映射的名稱（自定義，不能重復(fù)）。取值范圍：1?11個(gè)字符；協(xié)議：數(shù)據(jù)包的協(xié)議類型，可供選擇的有：TCP、UDP和GRE；外部起始端口：設(shè)備提供給Internet的服務(wù)端口；內(nèi)部IP地址：局域網(wǎng)中作為服務(wù)器的計(jì)算機(jī)的IP地址；內(nèi)部起始端口：局域網(wǎng)服務(wù)器所開服務(wù)的起始端口；端口數(shù)量：從內(nèi)部起始端口開始的一段連續(xù)的端口，最大設(shè)置為20。例如：內(nèi)部端口為21，外部端口為21，端口數(shù)量為20，就代表內(nèi)部端口范圍為：21~40，同時(shí)外部端口與之一一對(duì)應(yīng)，范圍相應(yīng)為：21~40；NAT綁定：NAT靜態(tài)映射所綁定的NAT規(guī)則，其“外部IP地址”就是該NAT靜態(tài)映射的“外部IP地址”。選項(xiàng)包括：l當(dāng)前所有類型為“EasyIP”的NAT規(guī)則的“NAT規(guī)則名”，分別代表相應(yīng)的NAT規(guī)則；l當(dāng)前所有上網(wǎng)線路的“線路名稱”，分別代表各條線路對(duì)應(yīng)的系統(tǒng)保留NAT規(guī)則。保存：NAT靜態(tài)映射配置參數(shù)生效；重填：恢復(fù)到修改前的配置參數(shù)。提示：除“TCP”和“UDP”之外，對(duì)于其他類型的協(xié)議來(lái)說(shuō)，“外部起始端口”、“內(nèi)部起始端口”這兩個(gè)參數(shù)必須設(shè)置為“0”，“端口數(shù)量”必須設(shè)置為“1”；系統(tǒng)某些功能（系統(tǒng)管理一＞遠(yuǎn)程管理）會(huì)添加一些默認(rèn)NAT