《高级配置—NAT和DMZ配置.docVIP

“高级配置—NAT和DMZ配置”页面配置手册（ReOS2008版本） 文档编号:152浏览:1009评分:4 关键字:NAT和DMZ配置高级配置—NAT和DMZ配置 本节主要讲述高级配置—NAT和DMZ配置的配置方法。 NAT功能介绍 NAT简介 NAT（网络地址转换）是一种将一个IP地址域（如Intranet）映射到另一个IP地址域（如Internet）的技术。NAT的出现是为了解决IP日益短缺的问题，NAT允许专用网络在内部使用任意范围的IP地址，而对于公用的Internet则表现为有限的公网IP地址范围。由于内部网络能有效地与外界隔离开，所以NAT也可以对网络的安全性提供一些保证。 NAT地址空间 为了正确进行NAT操作，任何NAT设备都必须维护两个地址空间：一个是局域网主机在内部使用的私有IP地址，设备中用“内部IP地址”表示；另一个是用于外部的公网IP地址，设备中用“外部IP地址”表示。 三种NAT类型 设备提供三种NAT类型：“EasyIP”、“One2One”及“Passthrough”。 EasyIP：即网络地址端口转换，多个内部IP地址映射到同一个外部IP地址。它可为每个内部连接动态分配一个与单一外部地址有关的端口，并维护这些内部连接到外部端口的映射，从而实现多个用户同时使用一个公网地址与外部Internet进行通信。 One2One：即静态地址转换，内部IP地址与外部IP地址进行一对一的映射。此方式下，端口号不会改变。它通常用来配置外网访问内网的服务器：内网服务器依旧使用私有地址，对外提供为其分配的公网IP地址给外部网络用户访问。 Passthrough：对指定的IP地址不做NAT，直接按路由方式转发，它经常用于一些会受NAT影响制约的特别应用。例如，为保证IP语音和视频会议等应用的正常运行，可在内网中专门划分一个语音视频区，该区的主机均采用“Passthrough”方式。 我们将每个具体的NAT配置称为“NAT规则”，配置NAT规则时必须指定其出口IP地址及线路。当有多个合法的公网地址时，每种类型的NAT规则均可配置多个。实际应用中，常常需要混合使用不同类型的NAT规则。 NAT静态映射和虚拟服务器（DMZ主机） 启用NAT功能后，设备会阻断从外部发起的访问请求。然而，某些应用环境下，广域网中的计算机希望通过设备访问局域网内部服务器，这时，就需要在设备上设置NAT静态映射或虚拟服务器（DMZ主机）来达到这个目的。 1.NAT静态映射 通过NAT静态映射功能，可建立外部IP地址+外部端口与内部IP地址+内部端口一对一的映射关系，这样，所有对设备某指定端口的服务请求都会被转发到匹配的局域网服务器上，从而，广域网中的计算机就可以访问这台服务器提供的服务了。 2.虚拟服务器（DMZ主机） 某些情况下，需要将一台局域网计算机完全暴露给Internet，以实现双向通信，这时候就需要将该计算机设置成虚拟服务器（DMZ主机）。当有外部用户访问该虚拟服务器所映射的公网地址时，设备会直接把数据包转发到该虚拟服务器上。 设备中，当有多个公网IP地址时，可配置1个全局虚拟服务器，多个局部虚拟服务器。其中，局部虚拟服务器是在配置NAT规则（类型为“EasyIP”）时设置的，当前NAT规则的外部IP地址就是该虚拟服务器所映射的公网地址。 提示：被设置为虚拟服务器的计算机将失去设备的防火墙保护功能。 3.匹配优先级 NAT静态映射的优先级高于虚拟服务器。当设备收到一个来自外部网络的请求时，它将首先根据外部访问请求的IP地址及端口号，检查是否有匹配的NAT静态映射，如果有的话，就把请求消息发送到该NAT静态映射匹配的局域网计算机上。如果没有匹配的静态映射，才会检查是否有匹配的虚拟服务器。 另外，局部虚拟服务器的优先级高于全局虚拟服务器，只有在没有匹配的局部虚拟服务器时，才使用全局虚拟服务器。 上网线路、NAT规则与NAT静态映射的关系 设备中，上网线路、NAT规则与NAT静态映射的关系如下： NAT规则绑定在上网线路上，允许多个NAT规则绑定在同一条线路上； NAT静态映射绑定在NAT规则（类型为“EasyIP”）上，NAT规则的“外部IP地址”就是该NAT静态映射的“外部IP地址”，允许多个NAT静态映射绑定在同一个NAT规则上； 只有在配置了上网线路后，才能配置NAT规则；只有在配置了NAT规则后，才能配置NAT静态映射。 系统保留NAT规则 在基本配置—快速向导中配置完默认线路，或者在基本配置—线路配置中配置完默认线路和其他上网线路后，系统会自动生成各线路对应的NAT规则。为方便起见，在本手册中将它们称作“系统保留NAT规则”，可以在本页面的“NAT规则信息列表”中查看。 “系统保留NAT