国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

H3C F100系列防火墻NAT的配置2009-06-07 18:55:51標簽：　　　[推送到技術(shù)圈]NAT 的配置nat 配置包括：配置地址池配置easy ip配置靜態(tài)地址轉(zhuǎn)換配置多對多地址轉(zhuǎn)換配置napt配置內(nèi)部服務器配置地址轉(zhuǎn)換有效時間（選配）4.3.1 配置地址池地址池是一些連續(xù)的ip 地址集合，當內(nèi)部數(shù)據(jù)包通過地址轉(zhuǎn)換到達外部網(wǎng)絡時，將會選擇地址池中的某個地址作為轉(zhuǎn)換后的源地址。請在系統(tǒng)視圖下進行下列配置。當某個地址池已經(jīng)和某個訪問控制列表關(guān)聯(lián)進行地址轉(zhuǎn)換，是不允許刪除這個地址池的。如果防火墻僅提供easy ip 功能，則不需要配置nat 地址池，直接使用接口地址作為轉(zhuǎn)換后的ip 地址。4.3.2 配置地址轉(zhuǎn)換將訪問控制列表和地址池關(guān)聯(lián)（或接口地址）后，即可實現(xiàn)地址轉(zhuǎn)換。這種關(guān)聯(lián)指定了“具有某些特征的ip 報文”才可以使用“這樣的地址池中的地址（或接口地址）”。當內(nèi)部網(wǎng)絡有數(shù)據(jù)包要發(fā)往外部網(wǎng)絡時，首先根據(jù)訪問列表判定是否是允許的數(shù)據(jù)包，然后根據(jù)轉(zhuǎn)換關(guān)聯(lián)找到與之對應的地址池（或接口地址）進行轉(zhuǎn)換。訪問控制列表的配置請參見第3 章訪問控制列表配置。不同形式的地址轉(zhuǎn)換，配置方法稍有不同。1. easy ip如果地址轉(zhuǎn)換命令不帶address-group 參數(shù)，即僅使用nat outbound acl-number命令，則實現(xiàn)了easy-ip 的特性。地址轉(zhuǎn)換時，直接使用接口的ip 地址作為轉(zhuǎn)換后的地址，利用訪問控制列表控制哪些地址可以進行地址轉(zhuǎn)換。請在接口視圖下進行下列配置。2. 使用指定loopback 接口進行地址轉(zhuǎn)換請在接口視圖下進行下列配置。匹配訪問控制列表的數(shù)據(jù)報文的源地址將轉(zhuǎn)換為指定的loopback 接口的ip 地址。3. 配置靜態(tài)地址轉(zhuǎn)換表(1) 配置一對一靜態(tài)地址轉(zhuǎn)換表請在系統(tǒng)視圖下進行下列配置。(2) 配置靜態(tài)網(wǎng)段地址轉(zhuǎn)換表使用靜態(tài)網(wǎng)段地址轉(zhuǎn)換時，只進行網(wǎng)段地址的轉(zhuǎn)換，而保持主機地址不變。請在系統(tǒng)視圖下進行下列配置。nat static inside 和nat static 會分別創(chuàng)建兩種不同的nat 靜態(tài)表項，在具體的配置中，兩種nat 靜態(tài)表項不存在沖突即可。在配置靜態(tài)網(wǎng)段地址轉(zhuǎn)換時，應該確保轉(zhuǎn)換后的地址不會被網(wǎng)絡拓撲中的其他設備使用。(3) 使靜態(tài)轉(zhuǎn)換表項在接口上生效請在接口視圖下進行下列配置。4. 配置多對多地址轉(zhuǎn)換將訪問控制列表和地址池關(guān)聯(lián)后，即可實現(xiàn)多對多地址轉(zhuǎn)換。請在接口視圖下進行下列配置。5. 配置napt將訪問控制列表和nat 地址池關(guān)聯(lián)時，如果選擇no-pat 參數(shù)，則表示只轉(zhuǎn)換數(shù)據(jù)包的ip 地址而不使用端口信息，即不使用napt 功能；如果不選擇no-pat 參數(shù)，則啟用napt 功能。缺省情況是啟用。請在接口視圖下進行下列配置。6. 配置雙向地址轉(zhuǎn)換請在系統(tǒng)視圖下進行下面配置。7. 配置nat 多實例無論easy ip、多對多地址轉(zhuǎn)換，還是napt，都可以支持nat 多實例的配置。只要在訪問控制列表的規(guī)則rule 中配置vpn-instance vpn-instance-name，指明那些mpls vpn 用戶需要進行地址轉(zhuǎn)換，即可以實現(xiàn)對mpls vpn 的支持。4.3.3 配置內(nèi)部服務器通過配置內(nèi)部服務器，可將相應的外部地址、端口等映射到內(nèi)部的服務器上，提供了外部網(wǎng)絡可訪問內(nèi)部服務器的功能。內(nèi)部服務器與外部網(wǎng)絡的映射表是由nat server 命令配置的。用戶需要提供的信息包括：外部地址、外部端口、內(nèi)部服務器地址、內(nèi)部服務器端口以及服務協(xié)議類型。防火墻支持使用接口地址作為nat server 的公網(wǎng)地址。當路由器的公網(wǎng)接口通過撥號或dhcp 方式獲取公網(wǎng)地址時，其nat server 的公網(wǎng)地址可以動態(tài)更新，方便用戶配置。當內(nèi)部服務器位于mpls vpn 時，還應指定所屬的vpn-instance-name。如果不設置該值，表示內(nèi)部服務器屬于一個普通的私網(wǎng)，不屬于某一個mpls vpn。請在接口視圖下進行下列配置。global-port 和inside-port 只要有一個定義了any，則另一個要么不定義，要么是any。如果global-port 和inside-port 都為0、any 或未配置的話，則內(nèi)網(wǎng)服務器可以通過該配置訪問公網(wǎng)，但發(fā)起訪問的協(xié)議必須與配置的協(xié)議相同。acl-number 指定的訪問控制列表只對內(nèi)部到外部的報文生效，即控制其是否進行地址轉(zhuǎn)換處理，對外部到內(nèi)部的報文不生效。當使用端口范圍配置ftp 服務器的nat server 時，內(nèi)部端口號不能配置為20和21；當不使用端口范圍配置ftp 服務器的nat server 時，內(nèi)部端口號不能配置為20。由于tftp 協(xié)議的特殊性，當配置tftp 服務器的nat server 時，還應對內(nèi)部的tftp 服務器配置相應的nat outbound 命令。4.3.4 配置地址轉(zhuǎn)換應用層網(wǎng)關(guān)請在系統(tǒng)視圖下進行下面配置缺省情況下，使能地址轉(zhuǎn)換應用層網(wǎng)關(guān)功能。4.3.5 配置內(nèi)部主機通過域名區(qū)分并訪問其對應的內(nèi)部服務器當內(nèi)部網(wǎng)絡無dns 服務器，但存在類型不同的多臺內(nèi)部服務器（如ftp、www等），且內(nèi)部主機希望通過不同域名區(qū)分并訪問其對應的內(nèi)部服務器時，請在系統(tǒng)視圖下進行下面配置。系統(tǒng)最多允許配置16 條映射。4.3.6 配置地址轉(zhuǎn)換有效時間由于地址轉(zhuǎn)換所使用的hash 表不能永久存在，該命令支持用戶可為tcp、udp、icmp 協(xié)議分別設置hash 表有效的時間，若在設定的時間內(nèi)未使用該hash 表，將失效。舉例來說，某個ip 地址為10.110.10.10 的用戶利用端口2000 進行了一次對外tcp 連接，地址轉(zhuǎn)換為它分配了相應的地址和端口，但是若在一定時間內(nèi)他一直未使用這個tcp 連接，系統(tǒng)將把這個連接刪除。請在系統(tǒng)視圖下進行下列配置。參數(shù)default 表示采用系統(tǒng)缺省的地址轉(zhuǎn)換有效時間。缺省情況下，dns 協(xié)議地址轉(zhuǎn)換有效時間為60 秒，ftp 協(xié)議控制鏈路地址轉(zhuǎn)換有效時間為7200 秒，ftp 協(xié)議數(shù)據(jù)鏈路地址轉(zhuǎn)換有效時間為300 秒，pptp 協(xié)議地址轉(zhuǎn)換有效時間為86400 秒，tcp 地址轉(zhuǎn)換有效時間為86400 秒，tcp 協(xié)議fin、rst 或syn 連接地址轉(zhuǎn)換有效時間為60 秒，udp 地址轉(zhuǎn)換有效時間為300 秒，icmp 地址轉(zhuǎn)換有效時間為60 秒。alg 的默認老化時間和對應的應用有關(guān)，同時為防止攻擊，首包老化時間設置為5 秒。4.3.7 配置nat 限制最大tcp 連接數(shù)1. 使能連接數(shù)限制功能請在系統(tǒng)視圖下進行下列配置。缺省情況下，關(guān)閉連接數(shù)限制功能。2. 設置缺省的連接數(shù)限制行為當系統(tǒng)在未查找到連接數(shù)限制策略時，可以設置缺省行為，即是否進行連接數(shù)限制。請在系統(tǒng)視圖下進行下列配置。缺省情況下，未查找到連接數(shù)限制策略時不對連接數(shù)進行限制。3. 設置連接數(shù)限制的缺省閾值請在系統(tǒng)視圖下進行下列配置。缺省情況下，上限為50，下限為20。4. 創(chuàng)建連接數(shù)限制策略請在系統(tǒng)視圖下進行下列配置。缺省情況下，未創(chuàng)建連接數(shù)限制策略。5. 定義連接數(shù)限制策略的規(guī)則請在連接數(shù)限制策略視圖下進行下列配置。缺省情況下，未定義連接數(shù)限制策略的規(guī)則。通過定義連接限制策略規(guī)則的acl，不但可以限制tcp 連接數(shù)量，也可以限制非tcp 流量（如：udp、icmp）。如果只對tcp 連接進行限制，需要在acl中明確指定。在實際應用中，需要合理設置tcp 連接的上限值和下限值，否則會影響正常業(yè)務。6. 綁定連接數(shù)限制策略配置完連接數(shù)限制策略后，需將其與nat 功能綁定才能生效。請在系統(tǒng)視圖下進行下列配置。缺省情況下，未綁定連接數(shù)限制策略。