網件路由器設置方法:
1、首先將WGR614v6接入網路
•目前一般的家庭或小型辦公網路最常使用的是ADSL接入,直接用電腦撥號上網時的網路連接如下:
•使用WGR614v6實現共享上網,若使用有線,正確的連接方式如下:
•電腦應先連接到WGR614v6的四個區域網埠之一(見上圖C曲線)
•再用另一條網線將WGR614v6的互聯網埠(路由器上單獨的那個埠)與ADSL MODEM連接(見上圖)。
2、電腦網路屬性配置
•在配置路由器前,首先要對用來管理路由器的電腦進行網路屬性的配置,下面以Windows XP Home Edition Service Pack 2為例來說明電腦的配置過程:
❷ 如何設置nat
NAT(Network Address Translation,網路地址轉換)是1994年提出的。當在專用網內部的一些主機本來已經分配到了本地IP地址(即僅在本專用網內使用的專用地址),但現在又想和網際網路上的主機通信(並不需要加密)時,可使用NAT方法。
這種方法需要在專用網連接到網際網路的路由器上安裝NAT軟體。裝有NAT軟體的路由器叫做NAT路由器,它至少有一個有效的外部全球IP地址。這樣,所有使用本地地址的主機在和外界通信時,都要在NAT路由器上將其本地地址轉換成全球IP地址,才能和網際網路連接。
在配置網路地址轉換的過程之前,首先必須搞清楚內部介面和外部介面,以及在哪個外部介面上啟用NAT。通常情況下,連接到用戶內部網路的介面是NAT內部介面,而連接到外部網路(如Internet)的介面是NAT外部介面。
靜態地址轉換的實現
假設內部區域網使用的lP地址段為192.168.0.1~192.168.0.254,路由器區域網端(即默認網關)的IP地址為192.168.0.1,子網掩碼為255.255.255.0。網路分配的合法IP地址范圍為61.159.62.128~61.159.62.135,路由器在廣域網中的IP地址為61.159.62.129,子網掩碼為255.255.255.248可用於轉換的IP地址范圍為61.159.62.130~61.159.62.134。要求將內部網址192.168.0.2~192.168.0.6分別轉換為合法IP地址61.159.62.130~61.159.62.134。
第一步,設置外部埠。
interface serial 0
ip address 61.159.62.129 255.255.255.248
ip nat outside
第二步,設置內部埠。
interface ethernet 0
ip address 192.168.0.1 255.255.255.0
ip nat inside
第三步,在內部本地與外部合法地址之間建立靜態地址轉換。
ip nat inside source static 內部本地地址 外部合法地址。
示例:
ip nat inside source static 192.168.0.2 61.159.62.130 //將內部網路地址192.168.0.2轉換為合法IP地址61.159.62.130
ip nat inside source static 192.168.0.3 61.159.62.131 //將內部網路地址192.168.0.3轉換為合法IP地址61.159.62.131
ip nat inside source static 192.168.0.4 61.159.62.132 //將內部網路地址192.168.0.4轉換為合法IP地址61.159.62.132
ip nat inside source static 192.168.0.5 61.159.62.133 //將內部網路地址192.168.0.5轉換為合法IP地址61.159.62.133
ip nat inside source static 192.168.0.6 61.159.62.134 //將內部網路地址192.168.0.6轉換為合法IP地址61.159.62.134
至此,靜態地址轉換配置完畢。
❸ NAT技術該怎麼配置
(一)相關概念
為了更好地認識NAT技術,我們先了解一下它所涉及的幾個概念。
1.內部局部地址 在內部網上分配到一個主機的IP地址。這個地址可能不是一個有網路信息中心(NIC)或服務提供商所分配的合法IP地址。
2.內部全局地址 一個合法的IP地址(由NIC或服務供應商分配),對應到外部世界的一個或多個本地IP地址。
3.外部局部地址 出現在網路內的一個外部主機的IP地址,不一定是合法地址,它可以在內部網上從可路由的地址空間進行分配。
4.外部全局地址 由主機擁有者在外部網上分配給主機的IP地址,該地址可以從全局路由地址或網路空間進行分配。圖1展示了NAT相關術語的圖解。
對於NAT技術,提供4種翻譯地址的方式,如下所示。
(二)4種翻譯方式
1.靜態翻譯 是在內部局部地址和內部全局地址之間建立一對一的映射。
2.動態翻譯 是在一個內部局部地址和外部地址池之間建立一種映射。
3.埠地址翻譯 超載內部全局地址通過允許路由器為多個局部地址分配一個全局地址,也就是將多個局部地址映射為一個全局地址的某一埠,因此也被稱為埠地址翻譯(PAT)。
4.重疊地址翻譯 翻譯重疊地址是當一個內部網中使用的內部局部地址與另外一個內部網中的地址相同,通過翻譯,使兩個網路連接後的通信保持正常。
在實際使用中,通常需要以上幾種翻譯方式配合使用。
二、讓典型應用「說話」
現在,我們以常見Cisco路由器為例,闡述典型應用中NAT技術的實現。
1.配置共享IP地址
應用需求:當您需要允許內部用戶訪問Internet,但又沒有足夠的合法IP地址時,可以使用配置共享IP地址連接Internet的NAT轉換方式。
圖2是配置內部網路10.10.10.0/24通過重載一個地址172.16.10.1./24訪問外部網路的全過程。如果有多個外部地址,可以利用動態翻譯進行轉換,這里就不多做說明了。清單1展示了具體配置方法。
NAT路由器配置清單1
interface ethernet 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 172.16.10.64 255.255.255.0
ip nat outside
!-- 定義外部轉換介面
ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24
!-- 定義名為ovrld的NAT地址池和地址池重的地址172.16.10.1
ip nat inside source list 1 pool ovrld overload
!--指出被 access-list 1 允許的源地址會轉換成NAT地址池ovrld中的地址並且轉換會被內部多個機器重載成一個相同的IP地址。
access-list 1 permit 10.10.10.0 0.0.0.31
!-- Access-list 1 允許地址10.10.10.0到10.10.10.255進行轉換
NAT路由器配置清單2
interface ethernet 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 172.16.20.254 255.255.255.0
ip nat outside
!-- 定義外部轉換介面
ip nat inside source static 10.10.10.1 172.16.20.1
!-- 指定將地址10.10.10.1靜態轉換為172.16.20.1
適用范圍:這種情況適合於通信都是由內部用戶向Internet發起的應用。
例如小型企業多個用戶通過共享xDSL連接Internet。另外,也可以用軟體進行NAT轉換,Windows 2000的操作系統就有這樣的功能。至於內部用戶數量較多的情況,建議使用代理伺服器。
2.配置在Internet上發布的伺服器
應用需求:當您需要將內部設備發布到Internet上時,可以使用配置在Internet上發布的伺服器的NAT轉換方式。
圖3是將內部網路的郵件伺服器(IP地址為10.10.10.1/24)發布到外部網路的全過程,使用靜態翻譯可以實現這種轉換。清單2展示了具體配置方法。
適用范圍:這種情況適合於訪問是從外部網路向內部設備發起的應用。
3.配置埠映射
應用需求:假設您在Internet上發布一台在內部網路的Web伺服器,伺服器配置成監聽8080埠,您需要把外部網路對Web伺服器80埠的訪問請求重定向。
圖4為配置埠映射示意圖,清單3展示了具體配置方法。
4.配置TCP傳輸
應用需求:TCP傳輸裝載共享是與地址匱乏無關的問題,它將數個設備的地址映射成一個虛擬設備的地址,從而實現設備間的負載均衡。
圖5是將地址從10.10.10.2到10.10.10.15的真實設備映射成虛擬10.10.10.1地址的全過程。清單4展示了具體配置方法。
5.真實應用案例
應用需求:筆者所在的單位內部的區域網已建成,並穩定運行著各種應用系統。隨著業務的發展,需要實施一個數據中心在外單位的新應用。出於安全方面的考慮,不能夠對現有網路結構進行大的調整和改動;另外,由於資金方面的原因,需要盡可能地節省設備等方面的投入。
應用現狀:我單位內部網結構如下:具有3個VLAN。VLAN 1(即10.1.1.X),使用單位內部應用系統,與數據中心沒有數據交換;VLAN 2(即10.2.2.X),使用數據中心提供的應用系統,約有100台機器;VLAN 3(即10.3.3.X),只用2台機器使用數據中心提供的應用,分別是10.3.3.1和10.3.3.2。
數據中心提供一台Cisco 3640,Serial口與數據中心通過HDSL連接,分配的地址分別是192.168.252.1和255.255.255.252,FastEthernet口與單位內部區域網連接,分配的地址分別是192.168.1.0和255.255.255.0。
實施方案:由於不打算更改內部網的結構,所以將內部網地址作為內部局部地址,數據中心分配的地址作為內部全局地址,實施NAT應用。另外NAT需要兩個埠,一個做為inside,另一個做為outside,因此考慮使用FastEthernet口做inside,Serial口做outside。圖6 為本單位NAT技術的應用圖。
利用以上設置,我們成功實現了內部地址的翻譯轉換,並實現了在不改變現有網路結構的情況下與數據中心連網的目標。
三、有比較有選擇
1.與代理伺服器的比較
用戶經常把NAT和代理伺服器相混淆。NAT設備對源機器和目標機器都是透明的,地址翻譯只在網路邊界進行。代理伺服器不是透明的,源機器知道它需要通過代理伺服器發出請求,而且需要在源機器上做出相關的配置,目標機器則以為代理伺服器就是發出請求的源機器,並將數據直接發送到代理伺服器,由代理伺服器將數據轉發到源機器上。
NAT路由器配置清單3
interface ethernet 0
ip address 10.10.10.254 255.255.255.0
ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 172.16.30.254 255.255.255.0
ip nat outside
!-- 定義外部轉換介面
ip nat inside source static tcp 10.10.10.8 8080 172.16.30.8 80
!-- 指定將地址10.10.10.8:8080靜態轉換為172.16.30.8:80
NAT路由器配置清單4
interface ethernet 0
ip address 10.10.10.17 255.255.255.0ip nat inside
!-- 定義內部轉換介面
interface serial 0
ip address 10.10.10.254 255.255.255.0ip nat outside
!-- 定義外部轉換介面
ip nat pool real-hosts 10.10.10.2 10.10.10.15 prefix-length 28 type rotaryip nat inside destination list 1 pool real-hosts
!--定義地址池real-hosts地址范圍是從10.10.10.2到10.10.10.15
!--指定將地址將地址池real-hosts轉換為10.10.10.1
access-list 1 permit 10.10.10.1
代理伺服器工作在OSI模型的第4層傳輸層,NAT則是工作在第3層網路層,由於高層的協議比較復雜,通常來說,代理伺服器比NAT要慢一些。
但是NAT比較佔用路由器的CPU資源,加上NAT隱藏了IP地址,跟蹤起來比較困難,不利於管理員對內部用戶對外部訪問的跟蹤管理和審計工作。所有NAT技術只適用於內部用戶數量較少的應用,如果訪問外部網路的用戶數量大,而且管理員對內部用戶有訪問策略設置和訪問情況跟蹤的應用,還是使用代理伺服器較好一些。
NAT路由器配置清單5
interface fastethernet 1/0
ip nat inside
!-- 定義內部轉換介面
interface serial 0/0
ip address 192.168.252.1 255.255.255.252
ip address 192.168.1.254 255.255.255.0 secondary
ip nat outside
!-- 為節省埠,將數據中心提供的地址全部綁在Serial口
ip nat pool ToCenter 192.168.1.1 192.168.1.253 prefix-length 24
ip nat inside source list 1 pool ToCenter
!-- 建立動態源地址翻譯,指定在前一步定義的訪問列表
access-list 1 permit 10.3.3.1
access-list 1 permit 10.3.3.2
access-list 1 permit 10.2.2.0 0.0.0.255
!-- 定義一個標準的訪問列表,對允許訪問數據中心的地址進行翻譯
2.與防火牆比較
防火牆是一個或一組安全系統,它在網路之間執行訪問控制策略。防火牆對流經它的網路通信數據進行掃描,這樣能夠過濾掉一些攻擊,以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠,禁止特定埠的流出通信,封鎖特洛伊木馬等。最後,它可以禁止來自特殊站點的訪問,從而防止來自不明入侵者的所有通信。
一般的防火牆都具有NAT功能,或者能和NAT配合使用。應用到防火牆技術中的NAT技術可以把個別IP地址隱藏起來不被外界發現,使外界無法直接訪問內部網路設備。作為網路安全的一個重要手段,是選用單純的NAT技術還是帶NAT技術的防火牆,要從幾個方面考慮:
一是您的企業和運營機構如何運用訪問控制策略,是為了明確地拒絕除對於連接到網路至關重的服務之外的所有服務,還是為了訪問提供一種計量和審計的方法;
二是您對企業網需要何種程度的監視、冗餘度以及控制水平;
三則是財務上的考慮,一個高端完整的防火牆系統是十分昂貴的。是否採用防火牆需要在易用性、安全性和預算之間做出平衡的決策。
四、安全中的不安全
我們可以從以下幾個方面窺視NAT技術的安全性問題。
1.NAT只對地址進行轉換而不進行其他操作,因此,當您建立了與外部網路的連接時,NAT不會阻止任何從外部返回的惡意破壞信息。
2.雖然NAT隱藏了端到端的IP地址,但它並不隱藏主機信息。例如您通過NAT設備訪問Windows Streaming Media伺服器,您會發現伺服器記錄的不僅是您的主機名,還有您的內部IP地址和操作系統。
3.Internet上的惡意攻擊通常針對機器的「熟知埠」,如HTTP的80埠、FTP的21埠和POP的110埠等。雖然NAT可以屏蔽不向外部網路開放的埠,但針對面向熟知埠的攻擊,它是無能為力的。
4.許多NAT設備都不記錄從外部網路到內部網路的連接,這會使您受到來自外部網路的攻擊,但由於沒有記錄可以追查,您根本無法發覺自己受到過什麼攻擊。
NAT隱藏了內部IP地址,使其具有一定的安全性,但從上面的分析我們可以知道,不能將NAT作為網路單一的安全防範措施。