下面分别介绍“easyip”、“one2one”及“passthrough”这三种类型的nat规则的配置,如图6-11、6-12、6-13所示。
1. easyip
配置nat规则时,“nat规则名”不能定义为“pebind”、“ethbind”、“dynaeth2”、“pbind”、“ibind”和“dyna2eth3”这几个系统保留的nat规则名。
2. one2one
“nat规则名”、“内部起始ip地址”、“内部结束ip地址”、“绑定”这几个参数的涵义同“easyip”方式中相关参数,这里不再重述,请参考相关描述。
“外部起始ip地址”必须设置,实际映射的外部地址是从设置值开始向上依次增加。例如,如果“内部起始ip地址”设为192.168.16.6,“内部结束ip地址”设为192.168.16.8,“外部起始地址”设为200.200.200.116,则192.168.16.6、192.168.16.7、192.168.16.8依次映射成200.200.200.116、200.200.200.117、200.200.200.118。
3. passthrough
“nat规则名”、“绑定”这两个参数的涵义同“easyip”方式中相关参数,这里不再重述,请参考相关描述。
2 nat规则列表
3 自定义nat规则
第一步,确定所要配置的nat规则的类型;
第二步,进入web管理界面—]高级配置—]nat和dmz配置—]nat配置页面;
第三步,选择“添加”选项;
第四步,选择“nat类型”为“easyip”、“one2one”或“passthrough”。
第五步,分为三种情况:
如果“nat类型”选择为“easyip”,依次填写“外部ip地址”、“内部起始ip地址”及“内部结束ip地址”、“权重”和“虚拟服务器”;
如果“nat类型”选择为“one2one”,依次填写“外部ip地址”、“内部起始ip地址”及“内部结束ip地址”;
如果“nat类型”选择为“passthrough”,依次填写“内部起始ip地址”及“内部结束ip地址”;
第六步,选择“绑定”为“主线路”或“备份线路”;
第七步,单击“保存”按钮,该条nat规则添加成功。可以在“nat规则信息列表”中看到相应的记录;
第八步,继续配置其他nat规则。
1. 删除nat规则,在“nat规则信息列表”中选中要删除的nat规则,单击“删除”按钮,即可删除被选中的nat规则;主线路nat规则和备份线路nat规则不能删除;
2. 系统自动生成的主线路(备份线路)nat规则的外部ip地址将显示为0.0.0.0,表示默认使用当前主线路(备份线路)端口,不能修改;其余自定义的nat规则的外部ip地址不能为当前端口地址,也不能为0.0.0.0;所有nat规则的内部ip地址不能相互重叠,外部ip地址也不能相同;并且,“passthrough”类型的nat规则的内部ip地址不能与另外两种类型的规则的外部ip地址重叠;
3. 在实际应用中,如果需要配置多条nat规则,则在统一规划之后,应该首先配置或修改主线路(备份线路)nat规则,再配置其余自定义的nat规则。如果已在web管理界面—]基本配置—]线路组合—]线路组合配置(章节4.2.2)中配置了主线路(备份线路)nat规则的相关参数,可直接在本页面修改它们;如果没有配置主线路(备份线路)nat规则的相关参数,可以在web管理界面—]基本配置—]线路组合—]线路组合配置(章节4.2.2)中进行快速配置,也可以直接在本页面进行配置。
例如,假设某用户已在web管理界面—]快速向导—]上网接入方式配置(章节3.2.4)中配置了上网主线路,isp分配了2个可用地址给主线路。现希望整个局域网用户分为两部分,一部分使用当前wan口地址作为外部地址,即使用主线路nat规则上网;另一部分使用isp分配的另外一个地址作为外部地址。则必须首先将局域网用户根据ip地址划分为两组,同组内用户将使用同一条nat规则上网;然后再在本页面配置主线路nat规则的相关参数:“内部起始ip地址”、“内部结束ip地址”等,最后才能在本页面配置另一条nat规则的相关参数。
4 nat规则配置的注意事项
hiper中,要保证nat正常工作,还需注意以下事项,并进行相关配置。
1. 一般需启用快速转发功能
如果在nat规则中配置了“内部起始ip地址”和“内部结束ip地址”这两个参数,要保证nat正常工作,必须启用快速转发功能。
配置方法为:进入web管理界面—]高级配置—]特殊功能—]快速转发(章节6.6.1)页面,启用快速转发功能。
2. 如果wan口(或wan2/dmz口)为多地址接入,必须启用nat类型的arp代理功能
配置方法为:进入web管理界面—]基本配置—]端口配置(章节4.4)页面,在wan口(wan口多地址接入时)或者在wan2/dmz口(wan2/dmz口多地址接入时)启用nat类型的arp代理功能。
3. 如果wan口(或wan2/dmz口)为多地址接入,局域网主机要访问isp分配的当前广域网端口ip地址之外的公网ip地址时,需配置相关的静态路由。
主要应用:
使用easyip类型的nat规则的局域网主机要通过公网地址访问“one2one”类型的nat规则所指定的内部主机时,需进入web管理界面—]高级配置—]路由配置(章节6.4)页面设置相关的静态路由。
一般情况下,相关的静态路由为主机路由,其目的地址为需要访问的公网地址,掩码为255.255.255.255,网关为对应的广域网端口当前使用的ip地址。因此,如果需要访问多个ip地址,则需要设置多条主机路由。
当然,如果某些待访问的公网地址可以划分在同一个子网(该子网地址数更少,不能包括当前广域网端口ip地址)中,也可以通过为它们设置一条子网路由来实现:其目的地址为新的子网的网络号,掩码为新的子网掩码,网关仍为对应的广域网端口当前使用的ip地址。
一般情况下,为避免无谓的错误,采用设置主机路由的方式即可。
5 nat规则配置实例
1. easyip方式应用实例
某网吧使用单线路上网,isp为该线路分配了8个地址:218.1.21.0/29 ~218.1.21.7/29,其中218.1.21.1/29是该线路的网关地址,218.1.21.2/29是hiper的wan口ip地址。注意, 218.1.21.0/29、218.1.21.7/29分别为相关子网的子网号和广播地址,不可使用。
现游戏b区(ip地址范围:192.168.16.10/24~192.168.16.40/24)希望以218.1.21.3/29作为nat映射地址通过wan口上网,其对外虚拟服务器为192.168.16.15,权重为2。
配置步骤如下:
第一步,进入web管理界面—]高级配置—]nat和dmz配置—]nat配置页面;
第二步,单击“添加”按钮,如图6-14所示;
第三步,在“nat规则名”中填入example1;
第四步,选择“nat类型”为“easyip”;
第五步,在“外部ip地址”中填入218.1.21.3;在“内部起始ip地址”和“内部结束ip地址”中分别填入192.168.16.10和192.168.16.40;
第六步,在“权重”中填入2,在“虚拟服务器”中填入192.168.16.15;
第七步,选择“绑定”为“主线路”;
第八步,单击“保存”按钮,该条nat规则配置成功。
2. one2one方式应用实例
1)需求
如图6-15所示,某企业申请了一条电信的线路,固定ip接入方式,带宽为6m。电信给它分配了8个地址:202.1.1.128/29~202.1.1.1.135/29,其中,202.1.1.129/29是该线路的网关地址,202.1.1.130/29是hiper的wan口ip地址。注意,202.1.1.128/29、202.1.1.1.135/29分别为相关子网的子网号和广播地址,不可使用。
该企业希望内部的人员上网通过nat后使用202.1.1.130/29共享上网,另外有四台服务器做一对一nat(one2one)使用202.1.1.131/29~202.1.1.1.134/29对外提供服务。内部网络的地址是192.168.16.0/24,4台服务器的内部地址是192.168.16.200/24~192.168.16.203/24。
2)分析
由于该线路是采用固定ip接入方式上网,首先需要在web管理界面—]快速向导—]上网接入线路配置(章节3.2.4)页面中配置固定ip接入上网线路,或直接进入web管理界面—]基本配置—]isp配置(章节4.1.2)页面中配置该线路。上网线路正确配置后,将自动生成主线路nat规则,nat功能也自动启用。
而该企业使用提供四台内部服务器供外部访问,因此还需为它们设置一个类型为“one2one”的nat规则。
最后,为保证nat工作正常,还需进入web管理界面—]高级配置—]特殊功能—]快速转发(章节6.6.1)页面,启用快速转发功能;而由于wan口是多地址接入,因此还需进入web管理界面—]基本配置—]端口配置(章节4.4)页面,在wan口启用nat类型的arp代理功能;另外,如果局域网用户需要通过外部地址(202.1.1.131~202.1.1.134)访问内部服务器,还需设置相关的静态路由(具体方法参考章节6.3.3.4)。
3)one2one类型的nat规则配置
配置步骤如下:
第一步,进入web管理界面—]高级配置—]nat和dmz配置—]nat配置页面;
第二步,单击“添加”按钮,如图6-16所示;
第三步,在“nat规则名”中填入example2;
第四步,选择“nat类型”为“one2one”;
第五步,在“外部ip地址”中填入202.1.1.131;在“内部起始ip地址”和“内部结束ip地址”中分别填入192.168.16.200和192.168.16.203;
第六步,选择“绑定”为“主线路”;
第七步,单击“保存”按钮,该条nat规则添加成功。
3. passthrough方式应用实例
1)需求
如图6-17所示,某企业申请了一条电信的线路,固定ip接入方式,带宽是6m。电信提供给企业使用的连接地址为202.96.97.2/30,电信使用的连接地址(即网关地址)为202.96.97.1/30。该企业的内部用户主机将使用202.96.97.2/30共享上网,内部网络的地址是192.168.16.0/24。
此外,电信还分配了一段地址给该企业使用,地址范围为202.96.100.0/27 ~202.96.100.31/27,该企业将利用这些地址采用passthrough方式配置多台服务器,对外提供服务;注意,202.96.100.0/27和202.96.100.31/27分别为相关子网的子网号和广播地址,不可使用。
2)分析
由于该线路是采用固定ip接入方式上网,首先需要在web管理界面—]快速向导—]上网接入线路配置(章节3.2.4)页面中配置固定ip接入上网线路,或直接进入web管理界面—]基本配置—]isp配置(章节4.1.2)页面中配置该线路。上网线路正确配置后,将自动生成主线路nat规则,nat功能也自动启用。
另外,由于要求对外服务器采用passthrough方式直接路由出网,因此,需将服务器通过交换机连接到hiper的wan2/dmz口,将dmz口的地址设为202.96.100.1/27,并将服务器的地址设为202.96.100.2/27~202.96.100.30/27中的任一个,并且这些对外服务器的网关都是202.96.100.1/27。之后,再为它们设置一个类型为“passthrough”的nat规则,地址范围为:202.96.100.2/27~202.96.100.30/27
最后,为保证nat工作正常,还需进入web管理界面—]高级配置—]特殊功能—]快速转发(章节6.6.1)页面,启用快速转发功能
3)passthrough类型的nat规则配置
配置步骤如下:
第一步,进入web管理界面—]高级配置—]nat和dmz配置—]nat配置页面;
第二步,单击“添加”按钮,如图6-18所示;
第三步,在“nat规则名”中填入pass;
第四步,选择“nat类型”为“passthrough”;
第五步,在“内部起始ip地址”填入202.96.100.2,和“内部结束ip地址”中填入202.96.100.30;
第六步,选择“绑定”为“主线路”;
第七步,单击“保存”按钮,该条nat规则添加成功。