NAT(网络地址转换)是一种将一个IP地址域(如Intranet)映射到另一个IP地址域(如Internet)的技术。NAT的出现是为了解决IP日益短缺的问题,NAT允许专用网络在内部使用任意范围的IP地址,而对于公用的Internet则表现为有限的公网IP地址范围。由于内部网络能有效地与外界隔离开,所以NAT也可以对网络的安全性提供一些保证。
HiPER系列产品提供了灵活的NAT功能,具体特点如下所述:
为了正确进行NAT操作,任何NAT设备都必须维护两个地址空间:一个是局域网主机在内部使用的私有IP地址,HiPER中用“内部IP地址”表示;另一个是用于外部的公网IP地址,HiPER中用“外部IP地址”表示。
HiPER提供三种NAT类型:“EasyIP”、“One2One”及“Passthrough”。
EasyIP:即网络地址端口转换,多个内部IP地址映射到同一个外部IP地址。“EasyIP”NAT可为每个内部连接动态分配一个与单一外部地址有关的端口,并维护这些内部连接到外部端口的映射,从而实现多个用户同时使用一个公网地址与外部Internet进行通信。
One2One:即静态地址转换,内部IP地址与外部IP地址进行一对一的映射。它支持双向NAT,即连接不仅可以由内部网络发起,也可以由外部网络发起。“One2One”NAT通常用来配置外网访问内网的服务器:内网服务器依旧使用私有地址,对外提供为其分配的公网IP地址给外部网络用户访问。
Passthrough:对指定的IP地址不做NAT,直接按路由方式转发,它经常用于一些会受NAT影响制约的特别应用。比如,为保证IP语音和视频会议等应用的正常运行,可在内网中专门划分一个语音视频区,该区的主机均采用“Passthrough”方式。
我们将每个具体的NAT配置称为“NAT规则”,配置NAT规则时必须指定其出口IP地址及线路。当有多个合法的公网地址时,每种类型的NAT规则均可配置多个。实际应用中,常常需要混合使用不同类型的NAT规则。
在WEB管理界面—>快速向导中配置完上网接入线路(主线路),或者在WEB管理界面—>基本配置—>ISP配置中配置了主线路和备份线路后,系统会自动生成“EasyIP”类型的NAT规则,分别将它们称为主线路NAT规则和备份线路NAT规则。可以编辑修改它们,但不能删除。各种线路接入方式下,主线路NAT规则和备份线路NAT规则的名称如下表所示:
NAT规则名
|
线路接入方式
|
PEBIND
|
主线路,PPPoE拨号上网
|
ETHbind
|
主线路,固定IP接入
|
DYNAeth2
|
主线路,动态IP接入
|
PBIND
|
备份线路,PPPoE拨号上网
|
IBIND
|
备份线路,固定IP接入
|
DYNA2eth3
|
备份线路,动态IP接入
|
负载均衡方式下,在WEB管理界面—>基本配置—>线路组合—>线路组合配置—>负载均衡中配置主线路(备份线路)的“分配规则”、“权重”、“内部起始IP地址”、“内部结束IP地址”等参数,相当于在本页面配置主线路NAT规则(备份线路NAT规则)。相比之下,本页面提供更多的配置参数。
在这里,通道是指上网使用的NAT规则,它决定了上网使用的NAT类型、外部IP地址(即出口IP)及线路。
HiPER允许用户预先为局域网中的某些主机指定优先通道,它是通过设置NAT规则的“内部起始IP地址”和“内部结束IP地址”来实现的,IP地址属于两个地址范围内的主机将优先使用该NAT规则上网。对于已指定NAT规则的主机来说,当指定NAT规则可用时,它们只能使用该NAT规则上网;但是,当指定NAT规则失效时,HiPER就把它们当作没有预先指定NAT规则的主机来处理。
HiPER允许用户预先指定分配到两条线路的流量的比例,它是通过设置线路的“权重”来实现的。其中,线路的“权重”为绑定在该线路上的NAT规则的“权重”之和,需要注意的是,只有类型为“EasyIP”的NAT规则有“权重”。
在实际应用中,当局域网中的主机均未指定NAT规则时,可根据两条线路的带宽比来设置各线路的“权重”,从而实现按带宽分配流量。例如,主线路和备份线路的带宽分别为6M、4M,若除了主线路NAT规则和备份线路NAT规则,还需配置一条绑定在主线路上的“EasyIP”NAT规则,则可将主线路NAT规则、新配NAT规则、备份线路NAT规则的“权重”分别设为2、1、2。这样,主线路、备份线路的“权重”就分别为3、2,分配到主线路、备份线路的流量比将接近3:2。
而当局域网中的某些主机指定了上网线路时,若按照带宽比来设置线路的“权重”,分配到两条线路的流量比可能会同带宽比相差较大。这时,可以根据实际情况适当调整“权重”。
“分配规则”用来控制线路流量,它作用于局域网中没有预先指定NAT规则的计算机,HiPER提供两种分配规则:“NAT会话”和“IP地址”,它们的实现机制如下所述。
1. IP地址
使用IP地址作为分配规则时,HiPER将根据NAT规则的“权重”,把未指定NAT规则的主机的IP地址,按顺序依次分配到各“EasyIP”NAT规则。分配到各“EasyIP”NAT规则的IP地址的数量比为它们的“权重”比,来自同一IP地址的NAT会话使用同一个规则。
例如,若共有三条“EasyIP”NAT规则,“权重” 分别为3、2、1,则根据连接的先后顺序,第1、2、3台上网的主机将使用第一条规则,第4、5台主机将使用第二条规则,第6台主机将使用第三条规则,接着第7、8、9台主机将使用第一条规则,……,依此类推。注意,这里假设每台主机均只有一个IP地址。
2. NAT会话
使用NAT会话作为分配规则时,HiPER将根据NAT规则的“权重”,把未指定NAT规则的主机发起的NAT会话,按顺序依次分配到各“EasyIP”NAT规则。分配到各“EasyIP”NAT规则的NAT会话的数量比为它们的“权重”比,同一主机发起的NAT会话可使用多个NAT规则。
例如,若共有三条NAT规则,“权重” 分别为3、2、1,则根据连接的先后顺序,内网主机发起的第1、2、3个NAT会话将使用第一条规则,第4、5个NAT会话将使用第二条规则,第6个NAT会话将使用第三条规则,接着第7、8、9个NAT会话将使用第一条规则,……,依此类推。
一般情况下,建议“分配规则”选择为“IP地址”。当对带宽要求高,需要双线路带宽合并时,比如使用网络蚂蚁(NetAnts)、网际快车(FlashGet)、影像传送带(Net Transport)等多线程下载工具时(多线程下载指把一个下载文件分成若干份同时下载,下载后再把它们合并起来),则可选择“NAT会话”,从而能够充分利用双线路带宽,以提高下载速度。需要注意的是,即便选择了“NAT会话”,由于网站情况不同仍有可能造成带宽不能完全叠加的情况,同时还可能造成某些应用连接不畅。
HiPER集成了防火墙功能,通常情况下,广域网中的计算机无法通过HiPER访问局域网的某些服务器。HiPER可提供NAT静态映射功能,通过定义一个服务端口,所有对HiPER该端口的服务请求将被重新定位给指定的局域网中的服务器。这样,广域网中的计算机就可实现对局域网服务器的访问。
某些情况下,需要将一台局域网计算机完全暴露给Internet,以实现双向通信,这时候就需要将该计算机设置成虚拟服务器(DMZ主机),被设置为虚拟服务器的计算机将失去HiPER的防火墙保护功能。当有外部用户访问为该DMZ主机分配的公网地址时,HiPER会把数据包转发给指定的DMZ主机。
对于HiPER来说,当有多个公网IP地址时,可配置1个全局虚拟服务器,多个局部虚拟服务器。其中,局部虚拟服务器需指定其使用的NAT规则,该NAT规则的外部IP地址将分配给它;全局虚拟服务器则无需指定。局部虚拟服务器比全局虚拟服务器的优先级高,只有在没有配置局部虚拟服务器时,才使用全局虚拟服务器。
另外,NAT静态映射的优先级高于虚拟服务器。当HiPER收到一个来自外部网络的请求时,它将首先根据外部请求所请求服务的端口号,查看NAT静态映射列表,检查是否有匹配的NAT静态映射,如果有的话,就把请求消息发送到该NAT静态映射对应的局域网计算机上去。如果没有匹配的静态映射,才会检查是否有匹配的虚拟服务器。
NAT规则的执行顺序
当局域网中有主机发起NAT访问时,会首先检查此计算机是否符合所有NAT规则中“内部起始IP地址”到“内部结束IP地址”所指定的范围。如果有匹配的规则,则使用该条规则上网。如果没有匹配的规则,则使用“NAT类型”为“EasyIP”的NAT规则上网;有多个“EasyIP”类型的NAT规则时,则根据“分配规则”为各条NAT规则分配流量,从而控制线路流量。
启用NAT:打开或者关闭NAT功能,选中为打开;
分配规则:控制线路流量时使用的规则。选项:NAT会话或IP地址,缺省值为IP地址;
最大Session数:局域网单个用户NAT最大并发连接数;
虚拟服务器(DMZ):欲作为DMZ主机的局域网计算机的IP地址,此处配置的是全局虚拟服务器。
保存:NAT全局配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. 在配置完上网连接后,HiPER会自动打开NAT功能。除非特别需要,请不要关闭此功能,否则HiPER将失去共享上网功能;
2. 当某些局域网应用(比如网络游戏)发生连接速度变慢的情况时,可以适当提高“最大Session数”。注意,“最大Session数”设置过高可能会导致HiPER减弱甚至丧失防止 DDoS 攻击的功能。
下面分别介绍“EasyIP”、“One2One”及“Passthrough”这三种类型的NAT规则的配置。
1. EasyIP
NAT规则名:NAT规则的名称(自定义,不能重复)。取值范围:1~11个字符;
NAT类型:EasyIP;
外部IP地址:该NAT规则中,内部IP地址所映射的外部IP地址。主线路(备份线路)NAT规则中,它显示为0.0.0.0,表示默认使用当前端口地址,不能修改;配置其余本类型规则时,只能使用由ISP分配的WAN口(或WAN2口)以外的IP地址作为映射地址,不能为0.0.0.0;
内部起始IP地址、内部结束IP地址:局域网中优先使用该NAT规则上网的计算机的起始IP地址和结束IP地址;
权重:该NAT规则的权重,取值范围为1-255(整数),缺省值为1;
虚拟服务器:欲作为DMZ主机的局域网计算机的IP地址,此处设置的是局部虚拟服务器,它只能使用该NAT规则。
绑定:
主线路:该条NAT规则绑定在主线路上;
备份线路:该条NAT规则绑定在备份线路上;
保存:NAT规则的配置参数生效;
重填:恢复到修改前的配置参数。
提示:配置NAT规则时,“NAT规则名”不能定义为“PEBIND”、“ETHbind”、“DYNAeth2”、“PBIND”、“IBIND”和“DYNA2eth3”这几个系统保留的NAT规则名。
2. One2One
“NAT规则名”、“内部起始IP地址”、“内部结束IP地址”、“绑定”这几个参数的涵义同“EasyIP”方式中相关参数,这里不再重述,请参考相关描述。
外部起始IP地址:该NAT规则中,内部起始IP地址所映射的外部起始IP地址;
NAT类型:One2One。
保存:NAT规则的配置参数生效;
重填:恢复到修改前的配置参数。
提示:“外部起始IP地址”必须设置,实际映射的外部地址是从设置值开始向上依次增加。例如,如果“内部起始IP地址”设为192.168.16.6,“内部结束IP地址”设为192.168.16.8,“外部起始地址”设为200.200.200.116,则192.168.16.6、192.168.16.7、192.168.16.8依次映射成200.200.200.116、200.200.200.117、200.200.200.118。
3. Passthrough
“NAT规则名”、“绑定”这两个参数的涵义同“EasyIP”方式中相关参数,这里不再重述,请参考相关描述。
NAT类型: Passthrough;
内部起始IP地址、内部结束IP地址:局域网中使用该NAT规则上网的计算机的起始和结束IP地址,这两个地址范围之内的IP地址不能与其他规则的外部IP地址重叠。
保存:NAT规则的配置参数生效;
重填:恢复到修改前的配置参数。
NAT规则信息列表
增加NAT规则:选中“添加”选项,输入NAT规则配置信息,单击“保存”按钮,生成新的NAT规则;
浏览NAT规则:如果已经生成了NAT规则,则可在“NAT规则列表”中浏览NAT规则信息;
编辑NAT规则:如果想编辑NAT规则,只需单击该条NAT规则后面的“编辑”超链接,其信息就会填充到相应的编辑框内,可修改它,再单击“保存”按钮,修改完毕;
删除NAT规则:选中一些NAT规则,单击右下角的“删除”按钮,即可删除被选中的NAT规则。
第一步,确定所要配置的NAT规则的类型;
第二步,进入WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT配置页面;
第三步,选择“添加”选项;
第四步,选择“NAT类型”为“EasyIP”、“One2One”或“Passthrough”。
第五步,分为三种情况:
如果“NAT类型”选择为“EasyIP”,依次填写“外部IP地址”、“内部起始IP地址”及“内部结束IP地址”、“权重”和“虚拟服务器”;
如果“NAT类型”选择为“One2One”,依次填写“外部IP地址”、“内部起始IP地址”及“内部结束IP地址”;
如果“NAT类型”选择为“Passthrough”,依次填写“内部起始IP地址”及“内部结束IP地址”;
第六步,选择“绑定”为“主线路”或“备份线路”;
第七步,单击“保存”按钮,该条NAT规则添加成功。可以在“NAT信息列表”中看到相应的记录;
第八步,继续配置其他NAT规则。
提示:
1. 删除NAT规则,在“NAT信息列表”中选中要删除的NAT规则,单击“删除”按钮,即可删除被选中的NAT规则;主线路NAT规则和备份线路NAT规则不能删除;
2. 系统自动生成的主线路(备份线路)NAT规则的外部IP地址将显示为0.0.0.0,表示默认使用当前主线路(备份线路)端口,不能修改;其余自定义的NAT规则的外部IP地址不能为当前端口地址,也不能为0.0.0.0;所有NAT规则的内部IP地址不能相互重叠,外部IP地址也不能相同;“Passthrough”类型的NAT规则的内部IP地址不能与另外两种类型的规则的外部IP地址重叠;
3. 在实际应用中,如果需要配置多条NAT规则,则在统一规划之后,应该首先配置或修改主线路(备份线路)NAT规则,再配置其余自定义的NAT规则。如果已在WEB管理界面—>基本配置—>线路组合—>线路组合配置中配置了主线路(备份线路)NAT规则的相关参数,可直接在本页面修改它们;如果没有配置主线路(备份线路)NAT规则的相关参数,可以在WEB管理界面—>基本配置—>线路组合—>线路组合配置中进行快速配置,也可以直接在本页面进行配置。
例如,假设某用户已在WEB管理界面—>快速向导—>上网接入方式配置中配置了上网主线路,ISP分配了2个可用地址给主线路。现希望整个局域网用户分为两部分,一部分使用当前WAN口地址作为外部地址,即使用主线路NAT规则上网;另一部分使用ISP分配的另外一个地址作为外部地址。则必须首先将局域网用户根据IP地址划分为两组,同组内用户将使用同一条NAT规则上网;然后再在本页面配置主线路NAT规则的相关参数:“内部起始IP地址”、“内部结束IP地址”等,最后才能在本页面配置另一条NAT规则的相关参数。
1. EasyIP方式应用实例
某网吧使用双线路负载均衡方式上网,ISP为主线路分配了八个地址:218.1.21.0/29 ~218.1.21.7/29,其中218.1.21.1/29是该线路的网关地址,218.1.21.2/29是HiPER的WAN口IP地址。
现语音视频区(IP地址范围:192.168.16.10/24~192.168.16.40/24)希望以218.1.21.3/29作为NAT映射地址通过WAN口上网,其对外虚拟服务器为192.168.16.15,权重为2。
配置步骤如下:
第一步,进入WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT配置页面;
第二步,单击“添加”按钮,如下图所示;
第三步,在“NAT规则名”中填入example1;
第四步,选择“NAT类型”为“EasyIP”;
第五步,在“外部IP地址”中填入218.1.21.3;在“内部起始IP地址”和“内部结束IP地址”中分别填入192.168.16.10和192.168.16.40;
第六步,在“权重”中填入2,在“虚拟服务器”中填入192.168.16.15;
第七步,选择“绑定”为“主线路”;
第八步,单击“保存”按钮,该条NAT规则配置成功。
2. One2One方式应用实例
某网吧使用双线路负载均衡方式上网,ISP为主线路分配了八个地址:218.1.21.0/29 ~218.1.21.7/29,其中218.1.21.1/29是该线路的网关地址,218.1.21.2/29是HiPER的WAN口IP地址。
现网吧内部有两台服务器:一台传奇服务器和一台电影服务器,使用One2One方式通过主线路上网,它们的对内地址分别为192.168.16.7/24和192.168.16.8/24,对外地址分别为218.1.21.4/29和218.1.21.5/29。
配置步骤如下:
第一步,进入WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT配置页面;
第二步,单击“添加”按钮,如下图所示;
第三步,在“NAT规则名”中填入example2;
第四步,选择“NAT类型”为“One2One”;
第五步,在“外部IP地址”中填入218.1.21.4;在“内部起始IP地址”和“内部结束IP地址”中分别填入192.168.16.7和192.168.16.8;
第六步,选择“绑定”为“主线路”;
第七步,单击“保存”按钮,该条NAT规则添加成功。
3. Passthrough方式应用实例
某公司使用双线路负载均衡方式上网,由于多媒体应用(比如IP语音和视频通讯会议)的实际需要,希望设置专门的语音视频区,该区内的主机不使用NAT直接上网。
现拟定该区主机走备份线路上网,ISP为备份线路分配了8个地址:211.10.21.128/29 ~211.10.21.135/29,211.10.21.128/29和211.10.21.135/29为网络地址和广播地址,不可用。211.10.21.129/29作为HiPER的WAN2/DMZ口地址,211.10.21.130/29~211.10.21.132/29这三个地址专供语音视频区使用。
配置步骤如下:
第一步,进入WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT配置页面;
第二步,单击“添加”按钮,如下图所示;
第三步,在“NAT规则名”中填入example3;
第四步,选择“NAT类型”为“Passthrough”;
第五步,在“内部起始IP地址”填入211.10.21.130,和“内部结束IP地址”中填入211.10.21.132;
第六步,选择“绑定”为“备份线路”;
第七步,单击“保存”按钮,该条NAT规则添加成功。
NAT静态映射名:NAT静态映射的名称(自定义,不能重复)。取值范围:1~11个字符;
协议:数据包的协议类型,可供选择的有:TCP、UDP和GRE;
外部起始端口:WAN端的服务端口,即HiPER提供给Internet的服务端口;
内部IP地址:局域网中作为服务器的计算机的IP地址;
内部起始端口:局域网服务器所开服务的起始端口;
端口数量:从内部起始端口开始的一段连续的端口,最大设置为20。例如:内部端口为21,外部端口为21,端口数量为20,就代表内部端口范围为:21~40,同时外部端口与之一一对应,范围相应为:21~40;
NAT绑定:NAT静态映射所绑定的NAT规则;选项为已配置的“EasyIP”类型的“NAT规则名”,代表相应的NAT规则;特别地,选项“主线路”和“备份线路”分别代表主线路NAT规则、备份线路NAT规则;
保存:NAT静态映射配置参数生效;
重填:恢复到修改前的配置参数。
提示:
1. 除“TCP”和“UDP”之外,对于其他类型的“协议”来说,“外部起始端口”、“内部起始端口”这三个参数必须设置为“0”,“端口数量”必须设置为“1”;
2. 系统某些功能会添加一些默认NAT映射(WEB管理界面—>系统管理—>远程管理),在本页面无法删除它们。
NAT静态映射列表
增加NAT静态映射:选中“添加”选项,输入NAT静态映射信息,单击“保存”按钮,生成新的NAT静态映射;
浏览NAT静态映射:如果已经生成了NAT静态映射,可选择“显示NAT静态映射列表”选项,浏览NAT静态映射信息;
编辑NAT静态映射:如果想编辑NAT静态映射,只需单击此NAT静态映射后面的“编辑”超链接,其信息就会填充到相应的编辑框内,然后修改它,再单击“保存”按钮,修改完毕;
删除NAT静态映射:选中一些NAT静态映射,单击右下角的“删除”按钮,即可删除被选中的NAT静态映射。
第一步,进入WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT静态映射页面;
第二步,选择“添加”选项,填写“NAT静态映射名”;
第三步,根据需要填写局域网服务器的“内部IP地址”,所开服务的“协议”和“内部起始端口”;
第四步,根据需要填写对外服务的“外部起始端口”,“外部起始端口”可以和“内部起始端口”不一致;
第五步,如果局域网服务器开设的服务是一段连续的端口,需要设置“端口数量”;
第六步,根据需要选择“NAT绑定”,绑定的NAT规则决定了映射的外部IP地址;
第七步,单击“保存”按钮,该NAT静态映射添加成功。可以在“NAT静态映射列表”中看到相应的记录;
第八步,继续配置其他的NAT静态映射。
提示:删除NAT静态映射,在“NAT静态映射列表”中选中要删除的NAT静态映射,单击“删除”按钮,即可删除被选中的NAT静态映射。
NAT静态映射配置实例
1. 实例一
局域网计算机192.168.16.99开设了TCP21端口的服务,但是希望外部通过210端口访问这个服务,具体配置如下图所示:
2. 实例二
局域网计算机192.168.16.100开设了UDP30000~UDP30019端口的服务,希望可以映射到外部的UDP30000~UDP30019端口,则可将“端口数量”设为20,具体配置如下图所示:
3. 实例三
例如,ISP分配了218.1.21.0~218.1.21.7八个地址,其中218.1.21.1/29是HiPER的网关地址,218.1.21.2/29是HiPER的WAN口IP地址,局域网计算机192.168.16.99开设了TCP21端口的服务,希望外部通过218.1.21.3的TCP21端口来访问这个服务。
首先需配置一条NAT规则,使其外部地址为218.1.21.3,将其“规则名”设为“example1”(具体配置参见WEB管理界面—>高级配置—>NAT和DMZ配置—>NAT 规则中的配置实例)。然后再配置该NAT静态映射,“NAT绑定”选择“example1”,具体配置如下图所示: