RG_BCR路由器实施一本通 >> 典型应用场景 >> 网络配置 >> NAT配置 >> NAT功能综合简介 >>

NAT配置

本节讲述高级配置>NAT和DMZ配置 页面的功能及配置方法。

NAT功能介绍

NAT(网络地址转换)是一种将一个IP地址域(如Intranet)映射到另一个IP地址域(如Internet)的技术。NAT的出现是为了解决IP地址日益短缺的问题,NAT允许专用网络在内部使用任意范围的IP地址,而对于公用的Internet则表现为有限的公网IP地址范围。由于内部网络能有效地与外界隔离开,所以NAT也可以对网络的安全性提供一些保证。

1.    NAT地址空间

为了正确进行NAT操作,任何NAT设备都必须维护两个地址空间:一个是内网主机在内部使用的私有IP地址,设备中用内部IP地址表示。另一个是用于外部的公网IP地址,设备中用外部IP地址表示。

2.    NAT静态映射和虚拟服务器(DMZ主机)

启用NAT功能后,设备会阻断从外部发起的访问请求。然而,某些应用环境下,外网中的计算机希望通过设备访问内网服务器,这时就需要在设备上设置NAT静态映射或虚拟服务器(DMZ主机)来达到这个目的。

通过NAT静态映射功能,可建立<外部IP地址+外部端口><内部IP地址+内部端口>一对一的映射关系,这样,所有对设备某指定端口的服务请求都会被转发到匹配的内网服务器上,从而,外网中的计算机就可以访问这台服务器提供的服务了。

某些情况下,需要将一台内网计算机完全暴露给Internet,以实现双向通信,这时候就需要将该计算机设置成虚拟服务器(DMZ主机)。当有外部用户访问该虚拟服务器所映射的公网地址时,设备会直接把数据包转发到该虚拟服务器上。

提示:被设置为虚拟服务器的计算机将失去设备的防火墙保护功能。

NAT静态映射的优先级高于虚拟服务器。当设备收到一个来自外部网络的请求时,它将首先根据外部访问请求的IP地址及端口号,检查是否有匹配的NAT静态映射,如果有的话,就把请求消息发送到该NAT静态映射匹配的内网计算机上。如果没有匹配的静态映射,才会检查是否有匹配的虚拟服务器。

3.    NAT规则的两种类型

设备提供两种NAT类型:EasyIPOne2One

EasyIP:即网络地址端口转换,多个内部IP地址映射到同一个外部IP地址。它可为每个内部连接动态分配一个与单一外部地址有关的端口,并维护这些内部连接到外部端口的映射,从而实现多个用户同时使用一个公网地址与外部Internet进行通信。

One2One:即静态地址转换,内部IP地址与外部IP地址进行一对一的映射。此方式下,端口号不会改变。它通常用来配置外网访问内网的服务器:内网服务器依旧使用私有地址,对外提供为其分配的公网IP地址给外部网络用户访问。

我们将每个具体的NAT配置称为NAT规则,配置NAT规则时必须指定其出口IP地址及线路。当有多个合法的公网地址时,每种类型的NAT规则均可配置多个。实际应用中,常常需要混合使用不同类型的NAT规则。

NAT静态映射

本节介绍设备的NAT静态映射功能。下面分别介绍NAT静态映射列表及NAT静态映射配置参数的涵义。

1.NAT静态映射列表

提示

系统某些功能启用后,列表会显示一些NAT静态映射条目(如在高级选项菜单下的系统设置>远程管理 页面启用远程管理后,会在该列表添加一条名为admin的静态映射),在本页面无法编辑或删除它们。

2.    NAT静态映射配置

在 上图的页面点击<添加新条目>进入NAT静态映射配置页面,如 下图所示。下面介绍NAT静态映射配置的各参数的涵义。

     静态映射名:NAT静态映射名称,自定义,不能重复。

     启用该配置:选中表示该条NAT静态映射生效,不选中表示该条NAT静态映射不生效,但保留其配置。

     协议:数据包的协议类型,可供选择的有:TCP、UDP和TCP/UDP。当用户无法确认该应用所使用的协议为TCP或UDP时,可选择TCP/UDP。

     外部起始端口:设备提供给Internet的起始服务端口。

     IP地址:内网中作为服务器的计算机的IP地址。

     常用端口:提供常用协议类型对应的端口号以供用户选择。当用户无法确认该协议时可选择自定义。

      内部起始端口:内网服务器所开服务的起始端口。

     端口数量:从内部起始端口开始的一段连续的端口,最大设置为500。

     NAT绑定:选择该条NAT静态映射绑定的接口。

NAT规则

下面介绍设备的NAT规则功能,包括:NAT规则信息列表、Easy IP NAT规则配置参数涵义、One2One NAT规则配置参数涵义。

1  NAT规则信息列表

在NAT规则信息列表中可以查看到已配置的NAT规则。如下图,表示已经配置两条NAT规则实例。一条实例的NAT类型为:EasyIP,是将内网IP地址转换为公文IP绑定在WAN1口实现上网。

提示:针对同一对象配置了多条NAT规则,最后配置规则先生效。

1  Easy IP

在图 8‑31中点击<添加新条目>进入NAT规则配置页面。下面介绍配置NAT规则类型为EasyIP的各参数的涵义。

     规则名:自定义该条NAT规则的名称。

     NAT类型:这里选择EasyIP,表示内部IP地址映射到同一个外部IP地址。

     外部IP地址:该NAT规则中,内部IP地址所映射的外部IP地址。

     内部起始IP地址、内部结束IP地址:内网中优先使用该NAT规则上网的计算机的IP地址范围。

     绑定:选择该条NAT规则绑定的接口。

2  One2One

在图 8‑33中选择NAT类型为One2One,下面介绍配置NAT规则为One2One类型的部分参数涵义,对于与EasyIP相同的参数这里不再一一重述。

NAT类型:这里选择One2One,内部IP地址与外部IP地址进行一对一的映射。

外部起始IP地址:该NAT规则中,内部起始IP地址所映射的外部起始IP地址。

提示

1.    每条One2One规则最多只能绑定20个外部地址。

2.外部起始IP地址必须设置,实际映射的外部IP地址从设置值开始依次增加。例如,如果内部起始IP地址设为192.168.1.50,内部结束IP地址设为192.168.1.52,外部起始地址设为200.200.202.50,则192.168.1.50、192.168.1.51、192.168.1.52依次映射成200.200.202.50、200.200.202.51、200.200.202.52。

DMZ

本节介绍设备的DMZ功能。

启用DMZ功能:启用或者关闭DMZ功能。

DMZ主机IP地址:填写将用作虚拟服务器(DMZ主机)的内网计算机的IP地址,全网映射到该ip。

提示:

被设置为DMZ主机的计算机将失去设备的防火墙保护功能,且对所有的WAN口都生效。

 

UPnP

UPnP(Universal Plug and Play)是微软Microsoft所制定的一项通讯协议标准,若是您使用的计算机有支持UPnP机制的话,而且您的计算机UPnP功能有开启,您可以将路由器的UPnP功能启动。开启UPNP之后,对P2P类的下载软件有一定加速作用,但同时对您的网络也会产生更大的负荷,过多的P2P下载将会影响到您的网络正常使用,请酌情使用此功能。

本节介绍NAT配置>UPnP页面及配置。在本页面中配置UPnP时,只需启用或禁用该功能即可。

例:内部用户开启迅雷等P2P下载软件,在upnp页面会出现相应的表项