[互联网]Part4NAT配置与静态路由配置艾泰科技工程师培训材料.ppt

讲师：电子邮箱：联系电话：手机：电子邮箱：传真：,上海艾泰科技有限公司培训材料,NAT配置与静态路由配置（本培训材料以ReOS 5.4版本为基准）,日程,1.NAT静态映射的配置2.NAT全局配置3.One2One NAT的配置4.Pass though的配置5.静态路由的配置,1.NAT静态映射的配置,WebUI高级配置NAT和DMZ配置NAT静态映射,NAT静态映射名：NAT静态映射的名称（自定义，不能重复）。取值范围：111个字符。协议：数据包的协议类型，可供选择的有：TCP、UDP和GRE。外部起始端口：WAN端的服务端口，即HiPER提供给Internet的服务端口。内部IP地址：局域网中作为服务器的计算机的IP地址。内部起始端口：局域网服务器所开服务的起始端口。端口数量：从内部起始端口开始的一段连续的端口，最大设置为20。例如：内部端口为21，外部端口为21，端口数量为20，就代表内部端口范围为：2140，同时外部端口与之一一对应，范围相应为：2140。NAT绑定：NAT静态映射所绑定的NAT规则；选项为已配置的“EasyIP”类型的“NAT规则名”，代表相应的NAT规则；特别地，选项“主线路”和“备份线路”分别代表主线路NAT规则、备份线路NAT规则。,上述步骤在HiPER命令行中生成的配置,new ip nat static/name*/新建NAT映射set ip nat static/name protocol TCP|UDP|GRE*/设置NAT映射的协议set ip nat static/name dstPort 端口号*/设置NAT映射的外网端口set ip nat static/name localAddress IP地址*/设置NAT映射的内网IP地址set ip nat static/name localPort 端口号*/设置NAT映射的内网端口号set ip nat static/name DstRange 浮动范围数字*/设置NAT映射的外网端口的范围set ip nat static/name Binding NAT实例名称*/绑定NAT映射到NAT规则实例,注意：配置中的DstRange的值为Web界面端口数量的值-1,源目的端口相同,路由器的WAN口地址为200.200.200.216，LAN口的IP地址为192.168.16.1，内网中一台PC的IP地址为192.168.16.222，要求建立一NAT映射，能使用FTP服务访问内网PC192.168.16.222上的资源。,new ip nat static/ftp set ip nat static/ftp protocol TCPset ip nat static/ftp dstPort 21set ip nat static/ftp localAddress 192.168.16.222set ip nat static/ftp localPort 21set ip nat static/ftp Binding NAT实例名称,源目的端口不同,路由器的WAN口地址为200.200.200.216，LAN口的IP地址为192.168.16.1，内网中一台PC的IP地址为192.168.16.222，要求建立一NAT映射，能使外网机器使用2333端口访问内网PC192.168.16.222上的FTP资源。,new ip nat static/ftp set ip nat static/ftp protocol TCPset ip nat static/ftp dstPort 2333set ip nat static/ftp localAddress 192.168.16.222set ip nat static/ftp localPort 21set ip nat static/ftp Binding NAT实例名称,一次多个端口映射,路由器的WAN口地址为200.200.200.216，LAN口的IP地址为192.168.16.1，内网中一台PC的IP地址为192.168.16.222，要求建立一NAT映射，能使外网机器使用23332343端口访问内网PC192.168.16.222上的23332343的端口进行应用程序的交互访问。,new ip nat static/game1 set ip nat static/game1 protocol TCPset ip nat static/game1 dstPort 2333set ip nat static/game1 dstRange 10set ip nat static/game1 localAddress 192.168.16.222set ip nat static/game1 localport 2333set ip nat static/game1 Binding NAT实例名称,远程访问路由器本身,路由器启用NAT之后，拒绝一切来自外部的主动连接，此时如果需要远程访问路由器，必须做NAT静态映射。telnet：TCP 23 http：TCP 80 L2TP:UDP 1701 PPTP:GRE、TCP 1723 SNMP:UDP 161-162,注意：远程访问路由器本身在多线路的情况下，并须将NAT映射和线路的公网地址地址绑定（Web界面下自动生成）。set ip nat static/映射名 autoLocalIp Yes,NAT静态映射的状态（WebUI上网监控）,内网地址：内网服务器的IP地址。内网端口：内网服务器所开服务的起始端口。协议：内网服务器所开服务的协议。外网地址：外网访问该服务用户的IP地址。外网端口：外网访问该服务用户所用的端口。上传包：内网服务器向外网发送的数据包的数量。下载包：外网用户访问的数据包的数量。NAT地址：该静态映射的公网地址。NAT端口：该服务经过映射后对外网服务的端口。,检查所有NAT静态映射的状态,hiper%show ip nat translation s NO SrcIP SrcPORT DestIP DestPORT P OutPkt InPkt GPORT BID AGE 1 192.168.100.100 0 0.0.0.0 0 G 0 0 23179 A 732 2 218.79.162.135 162 0.0.0.0 0 U 0 0 162 A 732 3 218.79.162.135 161 0.0.0.0 0 U 0 0 161 A 732 4 218.79.162.135 pptp 0.0.0.0 0 T 0 0 pptp A 732 5 218.79.162.135 l2tp 0.0.0.0 0 U 0 0 l2tp A 732 6 218.79.162.135 http 0.0.0.0 0 T 99 102 8081 A 732Totally 6 items,NO*/序号SrcIP*/内网地址 SrcPORT*/内网端口 DestIP*/外网地址DestPORT*/外网端口P*/协议 OutPkt*/上传包：内网服务器向外网发送的数据包的数量 InPkt*/下载包：外网用户访问的数据包的数量GPORT*/NAT端口BID*/NAT实例标实AGE*/NAT静态映射生成时间,NAT静态映射常见故障（一）,用户内部Server的网关并没有指向路由器导致内部可以访问外部不能访问。诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包有计数，上传包为0；2）从设备telnet服务器端口发现已经激活（TCP应用适用）；3）内网用户可以正常访问该应用。解决办法：让用户检查内网服务器的网关地址有没有指向安全网关。,NAT静态映射常见故障（二）,用户内网服务器的防火墙禁止了外部IP地址访问导致内部可以访问外部不能访问诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包有计数，上传包为0；2）从设备telnet服务器端口发现未激活（TCP应用适用）；3）内网用户可以正常访问该应用。解决办法：让用户检查内网服务器是否安装了防火墙，并且禁止了外网地址的访问。,NAT静态映射常见故障（三）,建立FTP映射后，客户端必须以Port模式连接诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包有计数，上传包有计数；2）FTP客户端连接过程中显示错误；3）内网用户可以正常访问该应用。解决办法：将FTP客户端置为Port模式。,NAT静态映射常见故障（四）,H.323应用，一般必须映射TCP 1720和相应的UDP数据端口（类似PcAnyWhere）诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包有计数，上传包有计数；2）可以建立连接（比如可以振铃，但没有语音传输）。解决办法：映射该服务的UDP端口，如果没有固定的UDP端口，则必须将该服务器映射成虚拟服务器（WebUINAT和DMZ配置NAT全局配置虚拟服务器（DMZ）。,NAT静态映射常见故障（五）,运营商关闭了相应的映射端口导致内部可以访问外部不能访问诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包为0，上传包为0；2）从设备telnet服务器端口发现已经激活（TCP应用适用）；3）内网用户可以正常访问该应用；4）该服务器的网关已经指向安全网关。解决办法：更换配置的外部起始端口；通知运营商解除限制。,NAT静态映射常见故障（六）,用户不知道一些非标应用的实际端口诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）将该服务器配置成虚拟服务器（WebUINAT和DMZ配置NAT全局配置虚拟服务器（DMZ）。2）从外网访问该服务的NAT地址3）观察内网端口和协议；4）测试的时候该服务器不要使用其他上网的应用程序。解决办法：根据上述端口做NAT静态映射。,NAT静态映射常见故障（七）,HTTP Server（比如IIS）中绑定域名导致IP地址不能访问（其他诸如禁用HTTP头均属于此类问题）。诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包有计数，上传包有计数；2）从设备telnet服务器端口发现已经激活（TCP应用适用）；3）内网用户必须通过域名或者一个链接访问；4）该服务器的网关已经指向安全网关。解决办法：外网也使用相同的域名或者链接访问。,NAT静态映射常见故障（八）,一些HTTP应用同时包含其他应用程序的端口（财务软件、摄像头）诊断：在WebUI上网监控中，看到该服务器映射的NAT会话中：1）下载包有计数，上传包有计数；2）外网可以访问该服务的Web界面，但不能访问实际应用；3）将该服务器配置成虚拟服务器（WebUINAT和DMZ配置NAT全局配置虚拟服务器（DMZ）。4）从外网访问该服务的NAT地址5）观察内网端口和协议；6）测试的时候该服务器不要使用其他上网的应用程序。解决办法：根据上述端口做NAT静态映射。,2.NAT全局配置,启用NAT：打开或者关闭NAT功能，选中为打开；启用NAT：set ip nat routing enable关闭NAT：set ip nat routing disable在配置完上网连接后，HiPER会自动打开NAT功能。除非特别需要，请不要关闭此功能，否则HiPER将失去共享上网功能；分配规则：控制线路流量时使用的规则。选项：NAT会话或IP地址，缺省值为IP地址，多线路接入时有效；NAT会话均衡：set ip nat hostSpanIf yesIP地址均衡：set ip nat hostSpanIf no,WebUI高级配置NAT和DMZ配置NAT全局配置,最大Session数：局域网单个用户NAT最大并发连接数；set ip nat maxsession 1200*/建议800-1200之间当某些局域网应用（比如网络游戏）发生连接速度变慢的情况时，可以适当提高“最大Session数”。注意，“最大Session数”设置过高可能会导致HiPER减弱甚至丧失防止 DDoS 攻击的功能。,WebUI高级配置NAT和DMZ配置NAT全局配置,虚拟服务器（DMZ）,某些情况下，需要将一台局域网计算机完全暴露给Internet，以实现双向通信，这时候就需要将该计算机设置成虚拟服务器（DMZ主机），被设置为虚拟服务器的计算机将失去HiPER的防火墙保护功能。当有外部用户访问为该DMZ主机分配的公网地址时，HiPER会把数据包转发给指定的DMZ主机。对于HiPER来说，当有多个公网IP地址时，可配置1个全局虚拟服务器，多个局部虚拟服务器。其中，局部虚拟服务器需指定其使用的NAT规则，该NAT规则的外部IP地址将分配给它；全局虚拟服务器则无需指定。局部虚拟服务器比全局虚拟服务器的优先级高，只有在没有配置局部虚拟服务器时，才使用全局虚拟服务器。另外，NAT静态映射的优先级高于虚拟服务器。当HiPER收到一个来自外部网络的请求时，它将首先根据外部请求所请求服务的端口号，查看NAT静态映射列表，检查是否有匹配的NAT静态映射，如果有的话，就把请求消息发送到该NAT静态映射对应的局域网计算机上去。如果没有匹配的静态映射，才会检查是否有匹配的虚拟服务器。,全局的DMZ主机：set ip nat defsvr IP地址*/作用于全局的DMZ主机，在所有的NAT策略（多对一NAT）中生效局部的DMZ主机：set ip nat binding/名称 DefaultServer IP地址*/作用于局部的DMZ主机，仅在当前的NAT策略（多对一NAT）中生效，且优先级高于全局DMZ主机,3.One2One NAT的配置,One2One NAT,One2One NAT：即静态地址转换，内部IP地址与外部IP地址进行一对一的映射。它通常用来配置外网访问内网的服务器：内网服务器依旧使用私有地址，对外提供为其分配的公网IP地址给外部网络用户访问。,One2One NAT的配置方法,参考文档：配置One2One NAT将内网服务器映射到Internet下载页面：http:/,配置过程：Step1、在“NAT规则配置”处配置One2One类型的映射Step2、在“WebUI-高级配置-路由配置”配置到One2One公网地址的静态路由，网关指向相应WAN端口的IP地址Step3、配置相应WAN端口的ARP代理类型为NAT,注意：1、On2One的正常工作，必须保证“快速转发“功能（WebUI-高级配置-特殊功能-快速转发）启用（默认为启用）。2、每种型号支持的建立的“NAT规则”的数量，可以在WebUI-高级配置-NAT和DMZ配置-NAT规则列表，右上端最右侧的数字查询到。3、配置了One2One映射之后，服务器将被完全暴露在Internet之上，请在该服务器上安装相关的防火墙、安全软件，并且保持更新。*One2One的课堂实验,4.Pass through的配置,Pass Though,Passthrough：对指定的IP地址不做NAT，直接按路由方式转发，它经常用于一些会受NAT影响制约的特别应用。比如，为保证IP语音和视频会议等应用的正常运行，可在内网中专门划分一个语音视频区，该区的主机均采用“Passthrough”方式。,Pass Though的配置方法,参考文档：配置Pass Through方式将路由多地址接入到内网下载页面：http:/,配置过程：Step1、在“NAT规则配置”处配置Pass Though类型的映射,注意：1、Pass Though的正常工作，必须保证“快速转发“功能（WebUI-高级配置-特殊功能-快速转发）启用（默认为启用）。2、每种型号支持的建立的“NAT规则”的数量，可以在WebUI-高级配置-NAT和DMZ配置-NAT规则列表，右上端最右侧的数字查询到。3、配置了Pass Though之后，服务器将被完全路由在Internet之上，请在该服务器上安装相关的防火墙、安全软件，并且保持更新。*PassThough的课堂实验,课堂实验,配置以下环境：ISP分配IP地址61.1.1.1/29给用户，给用户的互联地址为200.200.200.251/24，ISP端IP地址为200.200.200.254/24。要求配置：内网有两个网段，192.168.1.0/24使用IP地址61.1.1.1上网，192.168.2.0/24使用IP地址61.1.1.2上网，61.1.1.3分配给路由器某个端口，61.1.1.4-61.1.1.6分配给内网的服务器。,5.静态路由的配置,静态路由,静态路由就是由网络管理员手工配置的路由，使得到指定目的网络的数据包的传送，按照预定的路径进行。静态路由不会随未来网络结构的改变而改变，因此，当网络结构发生变化或出现网络故障时，需要手工修改路由表中相关的静态路由信息。正确设置和使用静态路由可以改进网络的性能，还可以实现特别的要求，比如实现流量控制、为重要的应用保证带宽等。,通过配置静态路由，为一固定IP地址指定固定路由 路由精细匹配原则：目的地址/掩码不同但是在一个大网段，如果网关不同，则分别生效。路由优先匹配原则：目的地址/掩码相同，优先级（值越小优先级越高）高的生效。,WebUI高级配置路由配置,路由配置参数介绍,路由名：静态路由的名称（自定义，不可重复）。取值范围：111个字符；目的网络：此条静态路由目的网络号；子网掩码：此条静态路由目的网络的掩码；网关地址：下一跳路由器入口的IP地址，HiPER通过端口和网关定义一条跳到下一个路由器的线路。通常情况下，端口和网关须在同一网段；检测间隔：同WebUI基本配置线路组合中的“检测间隔”，线路检测时发送检测包的时间间隔；优先级：该路由的优先级，目的网段相同的情况下，HiPER将优先选择优先级高的路由转发数据包，值越低优先级越高；跳数：从源到目的的路径中每一跳被赋以一个跳数值，此值通常为1。跳数也表示该条路由记录的质量，一般情况下，如果有多条到达相同目的地的路由，HiPER会采用跳数值小的那条路由；绑定：指定该静态路由的绑定端口，符合该静态路由的数据包将从指定端口转发。选项：主线路；备份线路；LAN-局域网端口；WAN-广域网端口；DMZ-DMZ/WAN2端口；Blackhole-内部端口，转发到该端口的所有包都被HiPER丢弃；Local-内部软路由端口，转发到HiPER本身；Reject-内部端口，转发到该端口的所有包都被HiPER拒绝，并回应一个ICMP不可达；Loopback-回环地址，代表127.0.0.0/8网段，不被转发。提示：1.如果不选择绑定端口，HiPER将会自动选择一条最优路径，但是要设置转发到拨号连接上的必须手动指定；如果主线路或备份线路使用PPPoE拨号上网，相应地，“绑定”必须选择为“主线路”或“备份线路”；2.一般情况下，请不要修改“Default”、“DefaultDMZ”、“IPETH”、“Detect”及“DetectDMZ”这几条系统保留路由，以免上网异常。,系统默认路由,1、系统默认路由Default、DefaultLAN、DefaultDMZ，作用是三个路由端口（LAN、WAN、DMZ）的目的路由，这三条路由的目的地址/掩码都是0.0.0.0，不能修改，修改之后修改值不生效，但不影响路由工作。set ip route static/Default dest 1.1.1.1set ip route static/Default netmask 255.255.255.0set ip route static/Default gateway 192.168.17.2hiper%show ip rooute tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age ActiveRoutes:0.0.0.0/0 192.168.17.2 ie1 lugpa 60 1 0 394 2、系统探测路由Detect、DetectDMZ等，作用指定路由探测地址的路由。,new ip route static/名称*/新建一条静态路由 Dest IP地址*/静态路由的目的网络 Netmask 掩码*/静态路由的目的网络掩码 Gateway IP地址*/静态路由的网关IP地址 Profile 连接名称|eth1|eth2|eth3*/静态路由绑定的连接/端口 Preference 数值*/静态路由优先级 Metric 数值*/静态路由跳数 Keepalive 数值*/静态路由检查周期 Retry 数值*/静态路由检查重试次数,静态路由的命令行配置,显示每一条路由信息,WebUI系统状态路由和端口信息,路由状态,hiper%show ip route tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age*/目的地址/掩码*/网关*/端口*/路由类型*/优先级*/跳数*/使用次数*/生成时间ActiveRoutes:0.0.0.0/0 61.173.123.88 ptp3 lugaN 60 1 2 100 192.168.1.0/24 192.168.100.175 ie0 lugpa 60 1 0 245,配置物理接口的静态路由,HiPER 路由器B,192.168.1.0/24,192.168.100.175/24,192.168.100.100/24,HiPER 路由器A,192.168.2.0/24,new ip route static/test set ip route static/test dest 192.168.1.0set ip route static/test netmask 255.255.255.0set ip route static/test gateway 192.168.100.175,new ip route static/test set ip route static/test dest 192.168.2.0set ip route static/test netmask 255.255.255.0set ip route static/test gateway 192.168.100.100,hiper%show ip route tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age 192.168.1.0/24 192.168.100.175 ie0 lugpa 60 1 0 100,配置连接的静态路由,192.168.1.0/24,192.168.100.175/24,PPPoE,HiPER 路由器,new ip route static/test set ip route static/test dest 202.101.35.0set ip route static/test netmask 255.255.255.0set ip route static/test profile PPPOEhiper%show ip route tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age ActiveRoutes:0.0.0.0/0 61.173.123.88 ptp3 lugaN 60 1 2 100 202.101.35.0/24 61.173.123.88 ptp3 lugpaN 60 1 4 100,Intenet,202.101.35.0/24,路由优先级,1、路由优先匹配原则：目的地址/掩码相同，优先级（preference值越小优先级越高）高的生效。new ip route static/test3 set ip route static/test3 dest 192.168.1.0set ip route static/test3 netmask 255.255.255.0set ip route static/test3 gateway 192.168.100.175set ip route static/test3 preference 60new ip route static/test6 set ip route static/test6 dest 192.168.1.0set ip route static/test6 netmask 255.255.255.0set ip route static/test6 gateway 192.168.100.177set ip route static/test6 preference 61hiper%show ip route tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age ActiveRoutes:192.168.1.0/24 192.168.100.175 ie0 lugpa 60 1 0 78 192.168.1.0/24 192.168.100.177 ie0*lugpa 61 1 0 78,路由优先级,2、路由优先匹配原则：目的地址/掩码相同，跳数（metric值越小优先级越高）小的生效。new ip route static/test3 set ip route static/test3 dest 192.168.1.0set ip route static/test3 netmask 255.255.255.0set ip route static/test3 gateway 192.168.100.175set ip route static/test3 metric 1new ip route static/test6 set ip route static/test6 dest 192.168.1.0set ip route static/test6 netmask 255.255.255.0set ip route static/test6 gateway 192.168.100.177set ip route static/test6 metric 2hiper%show ip route tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age ActiveRoutes:192.168.1.0/24 192.168.100.175 ie0 lugpa 60 1 0 103 192.168.1.0/24 192.168.100.177 ie0*lugpa 60 2 0 103,路由优先级,3、路由精细匹配原则：目的地址/掩码不同但是在一个大网段，如果网关不同，则分别生效。new ip route static/test3 set ip route static/test3 dest 192.168.1.0set ip route static/test3 netmask 255.255.255.0set ip route static/test3 gateway 192.168.100.175new ip route static/test5 set ip route static/test5 dest 192.168.1.1set ip route static/test5 netmask 255.255.255.255set ip route static/test5 profile PPPOEhiper%show ip route tableIpAddr/Mask GwIpAddr IfId Flag Cost Met Use Age ActiveRoutes:0.0.0.0/0 61.173.123.88 ptp3 lugaN 60 1 2 100192.168.1.0/24 192.168.100.175 ie0 lugpa 60 1 0 245 192.168.1.1/32 61.173.123.88 ptp3 lughpaN 60 1 0 245,艾泰科技客户服务热线：客户服务热线：021-52501388热线工作时间：周一周六 9：00-17：30（国家法定节日除外）艾泰科技网站 http:/艾泰科技论坛 http:/,谢 谢,欢迎指教,