- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-NAT配置
本章节下载 (541.49 KB)
Web页面提供的NAT配置功能如下:
· 配置动态地址转换
· 配置DMZ主机
· 配置内部服务器
· 配置应用层协议检测功能
· 配置连接数限制功能
NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
关于NAT的详细介绍请参见《H3C MSR系列路由器 配置指导》,“三层技术-IP业务配置指导”中的“NAT”。
NAT配置的推荐步骤如表1-1所示。
表1-1 NAT配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
二者必选其一 按照内部网络与外部网络间地址映射关系的产生方式,可以将地址转换分为动态地址转换和静态地址转换两类: · 动态地址转换:外部网络和内部网络间的地址映射关系由报文动态决定。适用于内部网络有大量用户需要访问外部网络的需求 · 静态地址转换:外部网络和内部网络间的地址映射关系在配置中确定。Web页面支持DMZ主机配置 |
|
|
2 |
必选 通过配置内部服务器,可以将相应的外部地址和端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器 |
|
|
3 |
可选 使能指定协议类型的NAT应用层协议检测功能 缺省情况下,各协议的NAT应用层协议检测功能均处于使能状态 |
|
|
4 |
可选 配置基于源IP地址对连接的数量进行限制 |
在导航栏中选择“NAT配置 > NAT配置”,默认进入“动态地址转换”页签的页面,如图1-1所示。
动态地址转换的详细配置如表1-2所示。
表1-2 动态地址转换的详细配置
|
配置项 |
说明 |
|
接口 |
设置要配置地址转换策略的接口 |
|
转换方式 |
设置地址转换的方式 · 接口地址:表示Easy IP方式,直接使用接口的IP地址作为转换后的地址,此时不需要配置地址池 · PAT:表示同时转换数据包的IP地址和端口信息,此时需要配置地址池 · No-PAT:表示只转换数据包的IP地址,不使用端口信息,此时需要配置地址池 |
|
开始IP地址 |
设置该地址转换策略中的地址池的开始IP地址和结束IP地址 结束IP地址必须大于或等于开始IP地址,大于表示一个IP地址范围,等于表示单个的IP地址
· 同一个地址池(相同的开始IP地址和结束IP地址)只能配置为一种地址转换方式 · 地址池中可以包含的地址个数与设备的型号有关,请以设备的实际情况为准 · 某些设备上的地址池空间不能和以下地址重叠:其它地址转换策略的NAT地址池、启动Easy IP特性的接口IP地址、内部服务器的外部IP地址 |
|
结束IP地址 |
在导航栏中选择“NAT配置 > NAT配置”,单击“DMZ主机”页签,进入DMZ主机的配置页面,如图1-2所示。
创建DMZ主机的详细配置如表1-3所示。
表1-3 DMZ主机的详细配置
|
配置项 |
说明 |
|
内网IP地址 |
设置一对一静态地址映射的内部IP地址 |
|
外网IP地址 |
设置一对一静态地址映射的外部IP地址 |
在导航栏中选择“NAT配置 > NAT配置”,单击“DMZ主机”页签,进入如图1-2所示的页面,可以设置启动或关闭接口的DMZ主机功能。
· 未使能DMZ主机的接口状态显示为
,单击其后的“启动”按钮,可以在该接口上使能DMZ主机。
· 已使能DMZ主机的接口状态显示为
,单击其后的“关闭”按钮,可以在该接口上关闭DMZ主机。
图1-3 接口开启DMZ主机
在导航栏中选择“NAT配置 > NAT配置”,单击“内部服务器”页签,进入内部服务器的配置页面,如图1-4所示。
创建内部服务器的详细配置如表1-4所示。
|
配置项 |
说明 |
|
接口 |
设置要配置内部服务器策略的接口 |
|
协议类型 |
设置IP协议承载的协议类型,包括:TCP、UDP |
|
外部IP地址 |
设置提供给外部访问的合法IP地址 可以选择直接使用当前选中接口的IP地址,或者手动指定一个IP地址 |
|
外部端口 |
设置提供给外部访问的服务端口号 在对应的下拉框中选择服务类型: · 选择Other,需在后面的输入框中手动输入要设置的服务端口号。输入0时,表示任何类型的服务都提供,相当于外部IP地址和内部IP地址之间有一个静态的连接 · 选择其余的服务,输入框默认设置为该服务的端口号,不可修改 |
|
内部IP地址 |
设置服务器在内部局域网的IP地址 |
|
内部端口 |
设置内部服务器提供的服务端口号 在对应的下拉框中选择服务类型: · 选择Other,需在后面的输入框中手动输入要设置的服务端口号。输入0时,表示任何类型的服务都提供,相当于外部IP地址和内部IP地址之间有一个静态的连接 · 选择其余的服务,输入框默认设置为该服务的端口号,不可修改 |
在导航栏中选择“NAT配置 > NAT配置”,单击“应用层协议检测”页签,进入NAT应用层协议检测的配置页面,如图1-5所示。
NAT应用层协议检测的详细配置如表1-5所示。
表1-5 NAT应用层协议检测的详细配置
|
配置项 |
说明 |
|
协议类型 |
设置使能或禁止指定协议类型的NAT应用层协议检测功能 可指定的协议类型包括:DNS、FTP、PPTP、NBT、ILS、H.323和SIP
具体支持的协议类型与设备的型号有关,请以设备的实际情况为准 |
在导航栏中选择“NAT配置 > NAT配置”,单击“连接数限制”页签,进入连接数限制的配置页面,如图1-6所示。
连接数限制的详细配置如表1-6所示。
|
配置项 |
说明 |
|
开启连接数限制 |
设置开启或关闭连接数限制功能 |
|
最大连接数 |
设置同一源IP地址最大可以建立的连接数 |
一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16,需要实现如下功能:
· 内部网络中的用户可以访问Internet,使用的公网地址为202.38.1.2和202.38.1.3。
· 对内部网络中的用户按源IP地址进行统计,限制用户连接数的上限值为1000。
# 配置各接口的IP地址。(略)
# 在接口Ethernet0/2上配置动态地址转换。
· 在导航栏中选择“NAT配置 > NAT配置”,默认进入“动态地址转换”页签的页面,进行如下配置,如图1-8所示。
· 选择接口为“Ethernet0/2”。
· 选择转换方式为“PAT”。
· 输入开始IP地址为“202.38.1.2”。
· 输入结束IP地址为“202.38.1.3”。
· 单击<确定>按钮完成操作。
# 配置连接数限制。
· 单击“连接数限制”页签,进行如下配置,如图1-9所示。
· 选中“开启连接数限制”前的复选框。
· 输入最大连接数为“1000”。
· 单击<应用>按钮完成操作。
某公司内部对外提供Web和FTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16。公司拥有202.38.1.1/24至202.38.1.3/24三个IP地址。需要实现如下功能:
· 外部的主机可以访问内部的服务器。
· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
图1-10 内部服务器配置组网图
# 配置内部FTP服务器。
· 在导航栏中选择“NAT配置 > NAT配置”,单击“内部服务器”页签,进行如下配置,如图1-11所示。
· 选择接口为“Ethernet0/2”。
· 选择协议类型为“TCP”。
· 选择手动指定外部IP地址,输入外部IP地址为“202.38.1.1”。
· 选择外部端口为“ftp”。
· 输入内部IP地址为“10.110.10.3”。
· 选择内部端口为“ftp”。
· 单击<确定>按钮完成操作。
# 配置内部Web服务器1。
图1-12 配置内部Web服务器1
· 如图1-12所示,在“内部服务器”页面选择接口为“Ethernet0/2”。
· 选择协议类型为“TCP”。
· 选择手动指定外部IP地址,输入外部IP地址为“202.38.1.1”。
· 选择外部端口为“http”。
· 输入内部IP地址为“10.110.10.1”。
· 选择内部端口为“http”。
· 单击<确定>按钮完成操作。
# 配置内部Web服务器2。
图1-13 配置内部Web服务器2
· 如图1-13所示,在“内部服务器”页面选择接口为“Ethernet0/2”。
· 选择协议类型为“TCP”。
· 选择手动指定外部IP地址,输入外部IP地址为“202.38.1.1”。
· 输入外部端口号为“8080”。
· 输入内部IP地址为“10.110.10.2”。
· 输入内部端口号为“8080”。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
