❶ nat怎樣配置
要求:
1、 掌握靜態NAT的配置方法。
2、 掌握動態NAT的配置方法。
3、 掌握埠映射的配置方法。
❷ NAT全局配置怎麼設置
,我們先了解一下它所涉及的幾個概念。
1.內部局部地址 在內部網上分配到一個主機的IP地址。這個地址可能不是一個有網路信息中心(NIC)或服務提供商所分配的合法IP地址。
2.內部全局地址 一個合法的IP地址(由NIC或服務供應商分配),對應到外部世界的一個或多個本地IP地址。
3.外部局部地址 出現在網路內的一個外部主機的IP地址,不一定是合法地址,它可以在內部網上從可路由的地址空間進行分配。
4.外部全局地址 由主機擁有者在外部網上分配給主機的IP地址,該地址可以從全局路由地址或網路空間進行分配。圖1展示了NAT相關術語的圖解。
對於NAT技術,提供4種翻譯地址的方式,如下所示。
(二)4種翻譯方式
1.靜態翻譯 是在內部局部地址和內部全局地址之間建立一對一的映射。
2.動態翻譯 是在一個內部局部地址和外部地址池之間建立一種映射。
3.埠地址翻譯 超載內部全局地址通過允許路由器為多個局部地址分配一個全局地址,也就是將多個局部地址映射為一個全局地址的某一埠,因此也被稱為埠地址翻譯(PAT)。
4.重疊地址翻譯 翻譯重疊地址是當一個內部網中使用的內部局部地址與另外一個內部網中的地址相同,通過翻譯,使兩個網路連接後的通信保持正常。
在實際使用中,通常需要以上幾種翻譯方式配合使用。
二、讓典型應用「說話」
現在,我們以常見Cisco路由器為例,闡述典型應用中NAT技術的實現。
1.配置共享IP地址
應用需求:當您需要允許內部用戶訪問Internet,但又沒有足夠的合法IP地址時,可以使用配置共享IP地址連接Internet的NAT轉換方式。
圖2是配置內部網路10.10.10.0/24通過重載一個地址172.16.10.1./24訪問外部網路的全過程。如果有多個外部地址,可以利用動態翻譯進行轉換,這里就不多做說明了。清單1展示了具體配置方法。
NAT路由器配置清單1
interface ethernet 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!-- 定義外部轉換介面
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!-- 定義名為ovrld的NAT地址池和地址池重的地址172.16.10.1
ip nat inside source list 1 pool ovrld overload
!--指出被 access-list 1 允許的源地址會轉換成NAT地址池ovrld中的地址並且轉換會被內部多個機器重載成一個相同的IP地址。
access-list 1 permit 10.10.10.0 0.0.0.31
!-- Access-list 1 允許地址10.10.10.0到10.10.10.255進行轉換
NAT路由器配置清單2
interface ethernet 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 172.16.20.254 255.255.255.0
ip nat outside
!-- 定義外部轉換介面
ip nat inside source static 10.10.10.1 172.16.20.1
!-- 指定將地址10.10.10.1靜態轉換為172.16.20.1
適用范圍:這種情況適合於通信都是由內部用戶向Internet發起的應用。
例如小型企業多個用戶通過共享xDSL連接Internet。另外,也可以用軟體進行NAT轉換,Windows 2000的操作系統就有這樣的功能。至於內部用戶數量較多的情況,建議使用代理伺服器。
2.配置在Internet上發布的伺服器
應用需求:當您需要將內部設備發布到Internet上時,可以使用配置在Internet上發布的伺服器的NAT轉換方式。
圖3是將內部網路的郵件伺服器(IP地址為10.10.10.1/24)發布到外部網路的全過程,使用靜態翻譯可以實現這種轉換。清單2展示了具體配置方法。
適用范圍:這種情況適合於訪問是從外部網路向內部設備發起的應用。
3.配置埠映射
應用需求:假設您在Internet上發布一台在內部網路的Web伺服器,伺服器配置成監聽8080埠,您需要把外部網路對Web伺服器80埠的訪問請求重定向。
圖4為配置埠映射示意圖,清單3展示了具體配置方法。
4.配置TCP傳輸
應用需求:TCP傳輸裝載共享是與地址匱乏無關的問題,它將數個設備的地址映射成一個虛擬設備的地址,從而實現設備間的負載均衡。
圖5是將地址從10.10.10.2到10.10.10.15的真實設備映射成虛擬10.10.10.1地址的全過程。清單4展示了具體配置方法。
5.真實應用案例
應用需求:筆者所在的單位內部的區域網已建成,並穩定運行著各種應用系統。隨著業務的發展,需要實施一個數據中心在外單位的新應用。出於安全方面的考慮,不能夠對現有網路結構進行大的調整和改動;另外,由於資金方面的原因,需要盡可能地節省設備等方面的投入。
應用現狀:我單位內部網結構如下:具有3個VLAN。VLAN 1(即10.1.1.X),使用單位內部應用系統,與數據中心沒有數據交換;VLAN 2(即10.2.2.X),使用數據中心提供的應用系統,約有100台機器;VLAN 3(即10.3.3.X),只用2台機器使用數據中心提供的應用,分別是10.3.3.1和10.3.3.2。
數據中心提供一台Cisco 3640,Serial口與數據中心通過HDSL連接,分配的地址分別是192.168.252.1和255.255.255.252,FastEthernet口與單位內部區域網連接,分配的地址分別是192.168.1.0和255.255.255.0。
實施方案:由於不打算更改內部網的結構,所以將內部網地址作為內部局部地址,數據中心分配的地址作為內部全局地址,實施NAT應用。另外NAT需要兩個埠,一個做為inside,另一個做為outside,因此考慮使用FastEthernet口做inside,Serial口做outside。圖6 為本單位NAT技術的應用圖。
利用以上設置,我們成功實現了內部地址的翻譯轉換,並實現了在不改變現有網路結構的情況下與數據中心連網的目標。
三、有比較有選擇
1.與代理伺服器的比較
用戶經常把NAT和代理伺服器相混淆。NAT設備對源機器和目標機器都是透明的,地址翻譯只在網路邊界進行。代理伺服器不是透明的,源機器知道它需要通過代理伺服器發出請求,而且需要在源機器上做出相關的配置,目標機器則以為代理伺服器就是發出請求的源機器,並將數據直接發送到代理伺服器,由代理伺服器將數據轉發到源機器上。
NAT路由器配置清單3
interface ethernet 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 172.16.30.254 255.255.255.0
ip nat outside
!-- 定義外部轉換介面
ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80
!-- 指定將地址10.10.10.8:8080靜態轉換為172.16.30.8:80
NAT路由器配置清單4
interface ethernet 0
ip address 10.10.10.17 255.255.255.0ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 10.10.10.254 255.255.255.0ip nat outside
!-- 定義外部轉換介面
ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts
!--定義地址池real-hosts地址范圍是從10.10.10.2到10.10.10.15
!--指定將地址將地址池real-hosts轉換為10.10.10.1
access-list 1 permit 10.10.10.1
代理伺服器工作在OSI模型的第4層傳輸層,NAT則是工作在第3層網路層,由於高層的協議比較復雜,通常來說,代理伺服器比NAT要慢一些。
但是NAT比較佔用路由器的CPU資源,加上NAT隱藏了IP地址,跟蹤起來比較困難,不利於管理員對內部用戶對外部訪問的跟蹤管理和審計工作。所有NAT技術只適用於內部用戶數量較少的應用,如果訪問外部網路的用戶數量大,而且管理員對內部用戶有訪問策略設置和訪問情況跟蹤的應用,還是使用代理伺服器較好一些。
NAT路由器配置清單5
interface fastethernet 1/0
ip nat inside
!-- 定義內部轉換介面
interface serial 0/0
ip address 192.168.252.1 255.255.255.252
ip address 192.168.1.254 255.255.255.0 secondary
ip nat outside
!-- 為節省埠,將數據中心提供的地址全部綁在Serial口
ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24
ip nat inside source list 1 pool ToCenter
!-- 建立動態源地址翻譯,指定在前一步定義的訪問列表
access-list 1 permit 10.3.3.1
access-list 1 permit 10.3.3.2
access-list 1 permit 10.2.2.0 0.0.0.255
!-- 定義一個標準的訪問列表,對允許訪問數據中心的地址進行翻譯
2.與防火牆比較
防火牆是一個或一組安全系統,它在網路之間執行訪問控制策略。防火牆對流經它的網路通信數據進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠,禁止特定埠的流出通信,封鎖特洛伊木馬等。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
一般的防火牆都具有NAT功能,或者能和NAT配合使用。應用到防火牆技術中的NAT技術可以把個別IP地址隱藏起來不被外界發現,使外界無法直接訪問內部網路設備。作為網路安全的一個重要手段,是選用單純的NAT技術還是帶NAT技術的防火牆,要從幾個方面考慮:
一是您的企業和運營機構如何運用訪問控制策略,是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務,還是為了訪問提供一種計量和審計的方法;
二是您對企業網需要何種程度的監視、冗餘度以及控制水平;
三則是財務上的考慮,一個高端完整的防火牆系統是十分昂貴的。是否採用防火牆需要在易用性、安全性和預算之間做出平衡的決策。
四、安全中的不安全
我們可以從以下幾個方面窺視NAT技術的安全性問題。
1.NAT只對地址進行轉換而不進行其他操作,因此,當您建立了與外部網路的連接時,NAT不會阻止任何從外部返回的惡意破壞信息。
2.雖然NAT隱藏了端到端的IP地址,但它並不隱藏主機信息。例如您通過NAT設備訪問Windows Streaming Media伺服器,您會發現伺服器記錄的不僅是您的主機名,還有您的內部IP地址和操作系統。
3.Internet上的惡意攻擊通常針對機器的「熟知埠」,如HTTP的80埠、FTP的21埠和POP的110埠等。雖然NAT可以屏蔽不向外部網路開放的埠,但針對面向熟知埠的攻擊,它是無能為力的。
4.許多NAT設備都不記錄從外部網路到內部網路的連接,這會使您受到來自外部網路的攻擊,但由於沒有記錄可以追查,您根本無法發覺自己受到過什麼攻擊。
NAT隱藏了內部IP地址,使其具有一定的安全性,但從上面的分析我們可以知道,不能將NAT作為網路單一的安全防範措施。
❸ 天融信防火牆設置
很簡單啊,按照規則的執行順序啊,比如第一條策略192.168.1.1這個IP全埠開放,第二條策略就是192.168.1.0-192.168.1.255這個網段都限制埠。
這樣的話,除了192.168.1.1這個IP,其他這個網段內的IP地址都限制了埠。
它會按照執行的順序先把你這個IP放出去,然後執行第二條,所有的IP都按照你限制的規則做。
❹ 天融信防火牆如何配置路由
eth0 配置外網的IP地址和掩碼
eth1 配置內網網關地址和掩碼 例如常用的 192.168.1.1/255.255.255.0
配置路由,預設或者靜態都可以 目的地址為0.0.0.0/0.0.0.0 下一跳寫你外網的網關
配置源地址轉換規則 源地址是192.168.1.1/255.255.255.0 源埠是 eth1 目的地址可以寫any
出介面 eth0 使用出口地址
然後配置一條安全策略 使你的內網用戶能夠訪問互聯網 也就是 eth1可以訪問eth0
就這些。
❺ NAT網關怎麼設置
這種都是需要電腦有兩塊網卡的
其中一個網卡是內網網卡,另一個是外網網卡;
1、將外網網卡共享:「開始」—「控制面板」—「網路和共享中心」—「更改設備器設置」;
這時能看到兩個網卡,下面有兩個情況:()
A、如果是外網網卡直接連接外網
右鍵單擊 連接外網網卡 屬性,在網卡屬性框里,點擊「共享」,在「允許其他網路用戶通過此計算機的Internet連接來連接」前,打勾、點確定。
B、如果是ADSL撥號
右鍵單擊adsl撥號網路屬性,在屬性框里點「高級」,在「允許其他網路用戶通過此計算機的Internet連接來連接」前和「每當網路上的計算機試圖訪問Internet時建立一個撥號連接」,打勾、點確定。(重新撥號才能使設置生效)
2、內網其餘計算機,將網關設置為nat計算機的內網ip地址。
❻ NAT怎麼配置
前很多人都通過NAT接入互聯網。NAT可以在內網IP和公網IP間轉換,這樣內網用戶就可以直接訪問到互聯網了。大多數用戶使用的NAT叫做埠地址轉換(PAT),Cisco稱這種方式為NAT overload 。在開始前,我們首先了解一下什麼是靜態NAT。圖A是一個網路拓撲圖。
我們的目標是:將互聯網上的靜態IP通過路由器轉換為內部網路IP。對於帶有Web設置界面的Linksys路由器來說,這個工作實現起來很簡單。但是對於採用命令行(CLI)模式的Cisco路由器來說,如果不知道相應的命令就麻煩了。因此在開始前多收集一些信息是很必要的。比如在我們給出的圖例中,我們需要通過以下方法採集必要的信息:◆路由器內聯埠 E0/0: IP 10.1.1.1
◆路由器外聯埠 S0/0: IP 63.63.63.1
◆Web/mail伺服器內網 IP: 10.1.1.2
◆Web/mail 伺服器公網 IP: 63.63.63.2要讓外網用戶訪問內網的 Web/mail伺服器,有兩步必要的工作:1.配置NAT
2.配置防火牆在本文中,我重點講述基本的靜態NAT配置。但是各位讀者應該確保外網的有關數據可以通過防火牆進入內網。不論是使用ACL還是Cisco IOS配置防火牆,都要確保你熟悉Cisco IOS的操作順序,並設定正確的IP地址(公網和內網)。換句話說,你應該知道是NAT先工作還是防火牆過濾先工作。在獲取了相關信息後,我們就開始配置靜態NAT了。在我們的例子中,我們首先進行一下基本配置:interface Serial0/0
ip address 63.63.63.1 255.255.255.0
ip nat outside
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip nat inside我們需要使用 NAT轉換將Web/mail伺服器的公網IP地址從63.63.63.2 轉換到 10.1.1.2 (並從10.1.1.2 轉換到 63.63.63.2)。 下面就是內網和公網間的NAT配置:router (config)# ip nat inside source static tcp 10.1.1.2 25 63.63.63.2 25
router (config)# ip nat inside source static tcp 10.1.1.2 443 63.63.63.2 443
router (config)# ip nat inside source static tcp 10.1.1.2 80 63.63.63.2 80
router (config)# ip nat inside source static tcp 10.1.1.2 110 63.63.63.2 110之所以用以上埠,是因為這些埠符合相應服務所對應的埠。比如25埠對應SMTP郵件發送,443埠對應安全的Web連接HTPS,80埠對應HTTP,110埠對應POP3收信。以上配置是假定我們有一個固定的公網IP,如果沒有,我們也可以使用路由器出口IP(本例中是Serial 0/0),配置方法如下:router (config)# ip nat inside source static tcp 10.1.1.2 25 interface serial 0/0 25如果你的公網IP地址是通過ISP的DHCP分配的 IP,也可以用上述配置方式。另外,我們還需要將Web伺服器和郵件伺服器的域名注冊到互聯網上的DNS注冊表中。這樣當用戶在瀏覽器中輸入域名就可以訪問到我們的網站了。比如用戶輸入www.mywebserver.com,就可以訪問到63.63.63.2,然後我們的路由器會把這個地址轉化為10.1.1.2 。這樣Web伺服器就會受到瀏覽請求並順利進行響應。除了配置靜態NAT,也許你希望同時能學會如何配置動態NAT,這樣你的內網PC就可以通過動態NAT(比如NAT overload或PAT)訪問互聯網了。