Chinaunix首页 | 论坛 | 博客
  • 博客访问: 543519
  • 博文数量: 101
  • 博客积分: 1889
  • 博客等级: 上尉
  • 技术积分: 906
  • 用 户 组: 普通用户
  • 注册时间: 2009-05-14 16:22
文章分类

全部博文(101)

文章存档

2012年(11)

2011年(19)

2010年(59)

2009年(12)

我的朋友

分类: 系统运维

2010-06-12 11:40:34

三、查看NAT的选项和统计

  当我们完成NAT规则的设置后,在平常的使用过程中,可能随时要了解NAT的工作状态,查看NAT端口当前的各项功能应用,监看网络上NAT端口的数据流量等,或者当网络出现故障时,我们可能能够从这些统计数据中找到一些原因。这就要使用到"查看NAT的选项和统计",在笔者所使用的ADSL Modem中有三种不同的方式可为查看NAT的选项和统计,它们分别是:查看NAT的全部设置和统计、查看NAT规则和规则统计、查处当前NAT转换。下面对它们分别加以详述。

  1、查看NAT的全部设置和统计

  点击"服务"标签"NAT",选择"NAT Global Info",则弹出的"NAT Global信息"配置页会显示有以下各项:

图三

  NAT Options NAT选项列单,它提供可以查用全部信息页(默认显示),NAT规则配置页和NAT转换页,它显示当前的NAT地址转换情况。

  "启用"/"禁用"单选按钮:它可以打开或关闭NAT功能。

  NAT Global信息:NAT全部信息表,它列举了应用到所有NAT规则转换的下列设定:

   TCP Idle Timeoutsec):  TCP空闲超时时间(秒);

  TCP Close Waitsec):TCP等待关闭时间(秒);

  TCP Def Timeoutsec):  TCP Def暂时停转时间:当二台计算机通过互联网通信时,它们间的数据包交换是建立在TCP通信协议上的,依靠TCP协议数据包才能被传递,TCP协议可以看成是以下三种状态之一:建立状态:正在连接时;活动状态:正在使用连接来交换数据;关闭状态:连接已经关闭。

  TCP协议受制于NAT规则,在活动状态时如果在规则指定的TCP空闲超时时间内还没有数据包交换则TCP协议会暂停工作;在关闭状态时如果在规则指定的TCP等待关闭时间内还没有数据包交换则TCP协议会暂停工作;在建立状态时如果在规则指定的TCP Def暂时停转时间内还没有数据包交换则TCP协议会暂停工作。 

  UDP Timeoutsec):UDPUser Datagram Protocol, 用户数据报协议)超时(秒),同TCP空闲暂时停转时间一样,但它时针对UDP通信协议的。

   ICMP Timeoutsec):ICMPInternet Control Messages Protocol, 网间控制报文协议)超时,同TCP空闲暂时停转时间一样,但它时针对ICMP通信协议的。

  GRE Timeoutsec):GRE超时,同TCP空闲暂时停转时间一样,但它时针对GRE通信协议的。

  Default Nat Agesec):缺省NAT期限(秒),对于所有其它的NAT转换协议,如果在这个秒数内没有数据包交换但NAT转换仍然有效运行。

  NAPT端口 Start /NAPT端口 End NAPT端口开启/结束,当建立了一个NAPT规则时,源端口将会被转换为有序的数字显示在这里。

  如果你已经在这修改了这些值,点击"提交"按钮,然后点击管理标签并提交你的修改到固态存储器中。你可以点击"全域统计"来看有多少NAT规则已经调用和有多少数据已经被转换的累积统计数,在出现的"NAT规则全域统计"页上的表格中提供你已经建立的每条NAT规则的基本信息,你可以点击"清除"按钮来清除这些数据,重新从它们的初始值来统计。

  2、查看NAT规则和规则统计

  要查看现在在你的系统上的NAT规则设定,在"NAT Options"下拉选项菜单中选择"NAT Rule Entry",则"NAT规则配置"页上显示有每条规则的基本信息。在"NAT规则配置"页上你可以点击"添加"按钮来添加新规则,或者使用右边的图标来删除( )规则或查看( )规则的祥细资料。要查看一个特定NAT规则的使用频率,可在操作栏中点击"统计"按钮。

图四

  在"NAT规则统计"页上显示有规则已经调用了多长时间及有多少当前活动的协议正在主,调用这规则,你可以点击"清除"按钮来重置统计归零,点击"刷新"按钮来重新显示最新的统计数。

   3、查看当前NAT转换

  要查看NAT转换列表最近完成转换情况和未完成情况(对一些规则),可从"NAT Options"下拉选项菜单中选择"NAT Translations",在弹出的"NAT翻译"页的表格中有以下这些项:

  Trans Index:全部号码,由NAT转换协议分配连续的号码给IP协议使用。

  Rule ID:规则ID,调用NAT规则的ID号。

  接口:NAT规则被调用的设备接口。

  协议:数据包使用IP协议时受到转换的方式:TCPUDPICMP

  ALG Type AlgApplication Level Gateway 网关使用级别)类型,如果要,它是用来打开NAT转换的(当启用NAT时,专门设定ALG来让某些应用软件来按规定运行)。

  NAT Direction NAT方向,转换的方向(引入或输出)每个端口都指定了NAT的方向;以太网和USB口定义为引入口,广域网口定义为输出口。NAT方向由调用规则的接口决定的。

  Entry Age:使用期限,NAT转换协议的共用时间(秒)。

  你可以在操作栏中点击 来查看有关NAT转换协议的其它详细资料,弹出的"NAT地址翻译-详细"页上主要有以下几项:

  Translated In地址:转换地址,公网IP地址,它提供的可转换的IP地址。

  In 地址:内部地址,被转换的私有IP地址。

  Out 地址:输出地址,外面目标的IP地址(网站,FTP站点等等)。

  In Packets/Out Packets:输入/输出数据包,在这转换协议中已经被转换的引入和输出的IP数据包的数。

  In端口s:引入端口,正在和LAN计算机通信的端口。

  Out端口s:输出端口,连接到目标地址的端口号。

  Translated In端口s:翻译为端口,局域网计算机真实端口号被转换为的端口号。

图五

  四、NAT功能的具体应用

   1、内网机器对外提供WEB/FTP服务

  配置内部网络IP 192.168.1.2对外提供WEB服务,192.168.1.3提供FTP服务。

                                      

                                     图六

  在你的ADSL收到一个含有请求访问你网站服务器数据包时,这个数据包的头部包含有作为目标IP地址的你的局域网的公网IP地址,还有目标端口为80。因为你已经为目标端口为80的进入的数据包设置了一个RDR规则,ADSL认为这个数据包是请求访问网站服务器的,它便会转换这个数据包的目标地址为你网站服务器的私有IP地址并将数据包传给网站服务器。

   你的网站服务器传送回应数据包,在ADSL传送数据包到互联网上之前,它把从你的网站服务器私有IP地址传来的数据包的源IP地址转换为你局域网的公网IP地址,对于一个外网用户来说就象你的网站服务器使用你的公网IP地址。

  (1)、在"Rule Flavor"中选择RDR作为规则形式,如果有必要请输入一个规则号。

  (2)、选择规则使用的接口。

  (3)、选择一个规则适用的协议,或选择全部。

  (4)、在本地IP地址开始和本地IP地址结尾框中输入同一私有IP地址,或者最低和最高的地址范围。

  如果你在二个框中输入同一个IP地址,那么在进入的数据如果符合你在第56步的标准时将要改送到它的地址。 

  如果你输入的是一个范围地址,那么在进入的数据将要改送到在这个范围可用的任一计算机,这个选项常用在本地网络匹配,凭借它网络通信量可以分散到几个相同的服务器之一以达到保证有效的网络性能。

  这些地址应该符合在你的网络中使用的私有IP地址(是静态分配到你的PC中或是用DHCP动态分配的)。

  (5)、在公网IP地址开始和公网IP地址结尾框中,输入你ISP分配给你的公网IP地址。(动态获取IP的不用填)。

  如果你有多个广域网(PPP)接口,那么规则不再强迫数据到达其它PPP接口。

  如果你有多个广域网接口并且你想让规则强制数据到过它们中的不止一个(或全部),那么你要在框中输入开始和结束IP地址的范围。

  (6)、在目标端口开始和目标端口结尾框中,输入已经创建规则应用到你的局域网计算机中你所想让它获得进入数据包的端口号(或一个范围)。

  进入的数据如果符合这规则标准将会改送它到你在下一个框中指定的本地端口号机上。

  (7)、然后再提交你的更改。

   2、特殊的网络应用

  为了更多的网络应用,如内网中的BT下载,MSN,网络游戏等,将电脑192.168.1.2配置为Bimap的透明翻译,注意由于MSN语音需要用到特殊的端口,所以该方式不能支持。

图七

  (1)、在"Rule Flavor"中选择Bimap作为规则形式,输入一个规则号。

  (2)、选择规则使用的接口。

  (3)、在本地IP地址框中输入你同意让外网访问的计算机的私有IP地址。

  (5)、在公网IP地址框中,为你局域网计算机输入你想用作服务器的公开IP地址(动态获取IP的不用填)。

  (6)、然后再提交你的更改。 

  3、共享上网

  通过NAPT设置,只允许30PC可以共享ADSL(范围为192.168.1.2192.168.1.31),具体的设置如下图所示。在小型的局域网中,我们常常要提供多台机器的共享上网,并且内部网络中的机器对外部网络的访问来讲,要有较强的安全性,需要限制外网机器访问局域网中的机器,这就要使用NAPT规则。

图八

  4、提供非标准端口服务

   在局域网的计算机作为一个网站或FTP服务器时,可能需要计算机通过特殊的非标准端口来与外网通信,就可以用添加RDR规则来实现。以下的举例是使用RDR规则以非标准端口来给外网计算机访问内部网站服务器的:

              

图九

  具体的规则添加步骤如例一,这里就不再详述了,但在"Local 端口"中要加以设置。

  例如,如果你同意让公众访问你局域网上的网站服务器,那么你要让进入的数据包去往包含端口号为80的计算机上,这个设置好像一个过滤器,数据包不包含有这个端口号的将无法访问你的本地计算机。

  如果你已经配置你的公用局域网计算机使用一个不标准端口号来接收通信,那么在本地端口框中输入一个不标准端口号。

  这个选项转换数据包的标准端口号为你指定的你局域网计算机的不标准端口号,例如,如果你的网站服务器使用(不标准)端口号2020,但你想接收进入数据包的端口号为(标准)80,那么你要在这输入2020和在目标端口框中输入80,那么进入的数据包头部包含有80端口号的将会被修改为端口号2020,这个数据然后才可以正确传送到网站服务器。

  

阅读(2998) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~