1、NAT配置,日程,日程,端口映射的配置,端口映射的概念及作用,静态端口映射: 就是在NAT网关上开放一个固定的端口,然后设定此端口收到的数据要转发给内网哪个IP和端口,不管有没有连接,这个映射关系都会一直存在。就可以让公网主动访问内网的一个电脑。 作用:映射内网的服务器到外网,让外网可以通过映射的端口访问此服务器。 端口映射举例:内网架设的网站服务器、邮件服务器、私服服务器、监控服务器远程服务器、管家婆金蝶等财务管理服务器、VPN、ERP、FTP服务器等等的端口映射方法),端口映射配置,端口映射可以在转发规则当中的端口映射配置,端口映射参数,协议映射端口本身的协议,可以选择TCP/UDP/GR
2、E 外部起始端口WAN端的服务端口,即路由器提供给外网的服务端口。 内部IP地址局域网中作为服务器的计算机的IP地址。 内部起始端口局域网服务器所开服务的起始端口。,端口映射参数,端口数量从内部起始端口开始的一段连续的端口,最大设置为20。例如:内部端口为21,外部端口为21,端口数量为20,就代表内部端口范围为:2140,同时外部端口与之一一对应,范围相应为:2140 NAT绑定绑定需要映射的端口,如WAN1、WAN2等 描述 对所做端口映射的说明,方便区分和记忆,源目的端口不同的映射,路由器的WAN口地址为200.200.200.216,LAN口的IP地址为192.168.16.1,内网中
3、一台PC的IP地址为192.168.16.222,要求建立一NAT映射,能使外网机器使用2333端口访问内网PC192.168.16.222上的FTP资源。,一次端口多个映射,路由器的WAN口地址为200.200.200.216,LAN口的IP地址为192.168.16.1,内网中一台PC的IP地址为192.168.16.222,要求建立一NAT映射,能使外网机器使用23332343端口访问内网PC192.168.16.222上的23332343的端口进行应用程序的交互访问。,远程访问路由器本身,路由器启用NAT之后,拒绝一切来自外部的主动连接,此时如果需要远程访问路由器,必须做NAT静态映射
4、。http:TCP 80 telnet:TCP 23,启用远程管理后生成的端口映射,端口映射的状态(上网监控),内网地址:内网服务器的IP地址。 内网端口:内网服务器所开服务的起始端口。 协议:内网服务器所开服务的协议。 外网地址:外网访问该服务用户的IP地址。 外网端口:外网访问该服务用户所用的端口。,NAT静态映射状态,上传包:内网服务器向外网发送的数据包的数量。 下载包:外网用户访问的数据包的数量。 NAT地址:该静态映射的公网地址。 NAT端口:该服务经过映射后对外网服务的端口。,日程,端口映射常见故障原因,端口映射常见故障(一),用户内部Server的网关并没有指向路由器导致内部可以
5、访问外部不能访问 诊断: 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1)下载包有计数,上传包为0; 2)从设备telnet服务器端口发现已经激活(TCP应用适用); 3)内网用户可以正常访问该应用。 解决办法:让用户检查内网服务器的网关地址有没有指向安全网关。,端口映射常见故障(二),用户内网服务器的防火墙禁止了外部IP地址访问导致内部可以访问外部不能访问 诊断: 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1)下载包有计数,上传包为0; 2)从设备telnet服务器端口发现未激活(TCP应用适用); 3)内网用户可以正常访问该应用。 解决办法: 让用户检查内网服务器
6、是否安装了防火墙,并且禁止了外网地址的访问。,端口映射常见故障(三),多端口的应用,比如语音电话(H.323),一般必须映射TCP 1720和相应的UDP数据端口(类似PcAnyWhere) 诊断: 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1)下载包有计数,上传包有计数; 2)可以建立连接(比如可以振铃,但没有语音传输)。 解决办法: 映射该服务的UDP端口,如果没有固定的UDP端口,则必须将该服务器映射成虚拟服务器(WebUINAT和DMZ配置NAT全局配置虚拟服务器(DMZ) )。,NAT静态映射常见故障(四),运营商关闭了相应的映射端口导致内部可以访问外部不能访问 诊断:
7、 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1)下载包为0,上传包为0; 2)从设备telnet服务器端口发现已经激活(TCP应用适用); 3)内网用户可以正常访问该应用; 4)该服务器的网关已经指向安全网关。 解决办法: 更换配置的外部起始端口; 通知运营商解除限制。,端口映射常见故障(五),一些HTTP应用同时包含其他应用程序的端口(财务软件、摄像头) 诊断: 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1)下载包有计数,上传包有计数; 2)外网可以访问该服务的Web界面,但不能访问实际应用; 3)将该服务器配置成虚拟服务器(WebUINAT和DMZ配置NAT全局
8、配置虚拟服务器(DMZ) )。 4)从外网访问该服务的NAT地址 5)观察内网端口和协议; 6)测试的时候该服务器不要使用其他上网的应用程序。 解决办法: 根据上述端口做NAT静态映射。,端口映射常见故障(六),建立FTP映射后,客户端必须以Port模式连接 诊断: 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1)下载包有计数,上传包有计数; 2)FTP客户端连接过程中显示错误; 3)内网用户可以正常访问该应用。 解决办法: 将FTP客户端置为Port模式。,端口映射常见故障(七),用户不知道一些非标应用的实际端口 诊断: 在系统状态上网监控中,看到该服务器映射的NAT会话中: 1
9、)将该服务器配置成虚拟服务器 2)从外网访问该服务的NAT地址 3)观察内网端口和协议; 4)测试的时候该服务器不要使用其他上网的应用程序。 解决办法: 根据上述端口做NAT静态映射。,端口映射常见故障(八),检查访问控制策略配置完端口映射,若映射不生效,我们应当检查路由器本身设置的访问管制策略,查看是否做设置映射的端口被防火墙禁止了。,端口不生效的处理过程,1、确认是否由于双线路影响。如:做了电信走电信,网通走网通,外网电信用户拿网通地址访问。(注:NAT对称解决此问题) 2、查看是否由于路由器策略禁止了该地址端口。 3、确认内网是否可以正常访问相应的服务。如不能,请确认该服务是否打开 4、
10、服务器网关是否有指向路由器如没有,请指定 5、防火墙或杀毒软件是否开启 6、运营商是否禁止该端口,日程,虚拟服务器,即 DMZ 主机,可完全暴露给 Internet ,实现双向通讯。系统允许配置一个全局 DMZ 主机,多个局部 DMZ 主机。,绑定接口DMZ,1.配置的虚拟服务器,将会完全暴露于给Internet,失去防火墙的保护 2.静态映射的优先级高于绑定接口的虚拟服务器,绑定接口的虚拟服务器的优先级高于全局虚拟服务器; 3.配置全局虚拟服务器后,可以实现从多条线路同时访问该服务器。,端口映射、虚拟服务器优先关系,优先级端口映射绑定接口虚拟服务器全局虚拟服务器,日程,NAT规则类型,NAT
11、规则启用了 NAT 之后,所有的活动都将通过 NAT 规则来进行, NAT 规则决定了出口 IP 地址和端口。 三种NAT 规则类型: EasyIP :即网络地址端口转换,多个内部 IP 地址映射到同一个外部 IP 地址。通过设置“权重”,可实现按权重比分配流量。 One2One :即静态地址转换,内部 IP 地址与外部 IP 地址进行一对一的映射 Passthrough :对指定 IP 地址不做 NAT ,使用其实际地址连接到互联网,EASY IP,EasyIP :即网络地址端口转换,多个内部 IP 地址映射到同一个外部 IP 地址。通过设置“权重”,可实现按权重比分配流量。,One2One
12、 NAT,One2One NAT:即静态地址转换,内部IP地址与外部IP地址进行一对一的映射。它通常用来配置外网访问内网的服务器:内网服务器依旧使用私有地址,对外提供为其分配的公网IP地址给外部网络用户访问。,ONE2ONE配置案例,用户环境:运营商提供了2个公网地址,58.246.123.125和58.246.123.126,网关是58.246.123.121,子网掩码是255.255.255.248 用户需求:58.246.123.125用来启NAT保证内网上网,58.246.123.126做为服务器使用,服务器内网地址是192.168.16.18 配置方法:转发规则-NAT规则-选择NA
13、T规则类型为ONE2ONE做如下配置即可:,Pass Though,Passthrough:对指定的IP地址不做NAT,直接按路由方式转发,它经常用于一些会受NAT影响制约的特别应用。比如,为保证IP语音和视频会议等应用的正常运行,可在内网中专门划分一个语音视频区,该区的主机均采用“Passthrough”方式。,某地电信通配置案例,网络环境: 某地电信通给用户一条100M光纤接入,ISP分配了两段地址分别是: 1)172.30.12.57/30 - 172.30.12.58/30用做广域网与ISP互联使用。 2)124.192.65.0/24这段地址直接配置在电脑上可直接路由上网。,配置方法: 1)首先配置上网线路,124.192.65.0/24这个网段是直接介入Internet的,从这个网段中直接挑选一个地址作为局域网网关。,某地电信通配置案例,2)在基本配置/WAN口配置当中设置好外网线路,某地电信通配置案例,3)配置直接上网地址124.192.65.0/24此网段地址是直接路由出去不需要经过NAT转换所以需要设置passthrough上网。,课程回顾,
