您的位置:360文档中心› MSG系列端口映射功能典型配置案例

MSG系列端口映射功能典型配置案例

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1 MSG系列端口映射功能配置案例关键词:NAT功能、MSG、端口映射、虚拟服务器、源NAT

摘要:本文主要介绍MSG产品通过NAT实现端口映射的典型案例

缩略语:

目录

1 MSG系列端口映射功能配置案例 (1)

1.1 特性简介 (3)

1.2 应用场景 (5)

1.3 注意事项 (5)

1.4 端口映射—外网用户通过公网地址访问服务器配置举例 (5)

1.4.1 组网需求 (5)

1.4.2 配置思路 (6)

1.4.3 配置步骤 (6)

1.4.4 实测结果 (7)

1.5 端口映射—内外网用户通过公网地址访问服务器配置举例 (7)

1.5.1 组网需求 (7)

1.5.2 配置思路 (8)

1.5.3 配置步骤 (8)

1.5.4 实测结果 (11)

1.1 特性简介

NAT

NAT是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT

主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较

多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。

NAT类型

●一对一地址转换

一对一地址转换是一对一的双向地址映射。在这种情况下,被映射的内部主机可以主动

访问外部,外部也可以主动访问这台内部主机,相当于在内、外网之间建立了一条双向

通道。

如图1-1所示,MSG设备将一个内部地址192.168.1.3(子网掩码为255.255.255.0)映射

到一个外部地址20.1.1.1(子网掩码为255.0.0.0)上。从内部网络发送以192.168.1.3(子

网掩码为255.255.255.0)为源的数据包源地址会被替换成地址20.1.1.1(子网掩码为

255.0.0.0)。同时,从外部发往内部网络的目的地址为20.1.1.1的数据包的目的地址会被

替换成192.168.1.3(子网掩码为255.255.255.0)。这样内部主机就可以伪装成公网地址

与外部网络通信。

图1-1一对一地址转换应用示意图

●源NAT

源NAT改变连接的第一个包的源地址,是在路由之后处理,即在包到达网线之前处理。

IP伪装属于源NA T。

如图1-2所示,MSG设备将内部网络访问外部网络数据包的源地址192.168.1.3(子网掩

码为255.255.255.0)替换成设定好的全局地址20.1.1.1(子网掩码为255.0.0.0)。使内部

网络主机可以用这个全局地址20.1.1.1(子网掩码为255.0.0.0)访问外部网络,但外部主机无法用20.1.1.1(子网掩码为255.0.0.0)地址访问内部主机。

图1-2源NA T应用示意图

目的NA T

目的NA T是指改变连接的第一个包的目的地址,是在路由之前处理。端口映射(即虚拟服务器)属于目的NAT。

−端口映射可实现外网地址和内部地址的单向映射或同时实现转换端口;

−根据服务器业务分流可实现根据访问的业务不同,系统把目的地址转换为内部不同的服务器地址。

如图1-3所示,MSG设备将外部主机访问设定好的全局地址20.1.1.1(子网掩码为255.0.0.0)的数据包的目的地址替换成内部主机的地址192.168.1.3(子网掩码为255.255.255.0),也就是常见的虚拟服务器功能。这样外部主机可以访问内部的主机,但内部主机无法主动访问外部主机。

图1-3目的NA T应用示意图

1.2 应用场景

端口映射主要用于中小公司对外发布内部服务的服务器,使远程客户和在外办公人员可

以通过公共网络获得内部服务器提供的服务。同时服务器位于内网,可以免于直接遭受

外网攻击,提高了服务和数据的安全性。

图1-4端口映射应用组网示意图

1.3 注意事项

●保证内网能正常访问到服务器,如果内网访问失败,则可能是服务器设置有问题,

此时虚拟服务器对外发布失败。

●内部服务器必须手动配置为固定的IP地址和网关地址。

1.4 端口映射—外网用户通过公网地址访问服务器配置举例

1.4.1 组网需求

某公司内网服务器连接到MSG设备的LAN口,配置服务器为固定的IP地址192.168.1.10、

子网掩码为255.255.255.0,通过80端口对外提供Web服务。MSG设备的W AN0口连

接Internet,使用固定的地址1.12.12.10连接到网络。外部网络用户通过访问企业网关

WAN0口地址加8100端口,内部网络用户通过访问服务器地址,来访问内网Web服务

器。组网图如图1-5所示。

图1-5 端口映射应用组网示意图

1.4.2 配置思路

● 配置MSG 基本上网功能。 ●

配置端口映射规则。

1.4.3 配置步骤

步骤 1 配置MSG 的基本上网功能,保证MSG 企业网关能够正确接入互联网。

MSG 基本上网业务的配置方法,请参见《MSG 系列基本上网典型配置案例》。 若内网网段为192.168.1.X 网段,建议在“VLAN 接口配置”时将内网服务器地址192.168.1.10加入到保留地址当中,使DHCP 分配IP 地址时将此IP 地址预留出来,防止IP 冲突。

步骤 2 配置端口映射规则。

− 在导航栏中选择[基础配置/网络配置/NA T 设置]。 − 选择“端口映射”标签。

入接口选择当前的外网接口,协议类型选择指定端口,外网IP 地址选择为入接口IP 地址(即W AN0口地址),内网IP 地址输入服务器的地址,内部端口选择指定端口并输入80。

相关文档
最新文档