山石SA2001A操作指导手册 表示把规则“4”移至规则“2”的前面,使用“show policy”查看结果如下:
上图显示ID为“4”的规则位于规则为“2”的前面,说明给规则排序成功。
信息中心
7/11/2013
21
山石SA2001A操作指导手册
七,SA2001A NAT功能介绍
7.1 NAT概述
NAT是网络地址转换(Network Address Translation)的简称,它是将 IP 数据包包头中的IP地址转换为另一个IP地址的协议。当 IP 数据包通过路由器或者安全网关时,路由器或者安全网关会把 IP 数据包的源IP地址和/或者目的IP地址进行转换。在实际应用中,NAT 主要用于私有网络访问外部网络或外部网络访问私有网络的情况。
NAT 有以下优点: 1,通过使用少量的公有IP地址代表多数的私有IP地址,缓解了可用IP地址空间枯竭的速度。
2,NAT可以隐藏私有网络,达到保护私有网络的目的。
7.2 SA2001A的NAT功能
SA2001A的 NAT 功能将内部网络主机的 IP 地址和端口替换为安全网关外部网络的地址和端口,以及将安全网关的外部网络地址和端口转换为内部网络主机的 IP 地址和端口。也就是\私有地址+端口\与\公有地址+端口\之间的转换。SA2001A通过创建并执行 NAT 规则来实现 NAT 功能。NAT 规则有两类,分别为源 NAT 规则(SNAT Rule)和目的 NAT 规则(DNAT Rule)。SNAT 转换源 IP 地址,从而隐藏内部 IP 地址或者分享有限的 IP 地址;DNAT 转换目的 IP 地址,通常是将受SA2001A保护的内部服务器(如WWW 服务器或者 SMTP 服务器)的 IP 地址转换成公网 IP 地址。
7.3 SA2001A的NAT配置规则
NAT 规则基于 VRouter 创建并生效。用户可以在 VRouter 配置模式下,创
建 SNAT/DNAT规则、修改 SNAT/DNAT 规则排列以及删除 SNAT/DNAT 规则等。为缺省 VR 即 trust-vr 配置NAT,也可以使用 NAT 模式(在全局配置模式下,使用 nat 命令进入 NAT 配置模式)。
要进入 VRouter 配置模式,在全局配置模式下使用以下命令“ip vrouter”。 具体如下:
信息中心
7/11/2013
22
山石SA2001A操作指导手册
表示已经创建了名为“test”虚拟路由器并进入了VRouter 配置模式。
注意:在执行上叙操作命令时,需要在执行模式()下执行命
令“exec vrouter enable”开启SA2001A的虚拟路由器功能,然后用“save”命令保存当前配置,接着使用命令”reboot”重启SA2001A,具体如下:
以上图片表示在执行模式下开启SA2001A的虚拟路由器功能;
以上图片表示保存当前配置。
信息中心
7/11/2013
23
山石SA2001A操作指导手册
以上图片表示SA2001A重启成功。
7.4创建SNAT规则
SNAT 规则指定是否对符合条件的流量的源 IP 地址做 NAT 转换,如果需要转 换,则同时指定转换的地址和方式。配置做 NAT 转换的 SNAT 规则,在 VRouter 配置模式下使用命令“snatrule”,具体如下:
表示创建ID号为2,源地址为10.0.0.0,目标地址为192.168.0.0,出接口为E0/1,NAT转换地址为172.168.2.22,NAT转换模式为PAT的SANAT规则。
执行查看命令”show snat vrouter trust-vr”输出如下所示结果:
注意:这里要保证接口E0/1在当前虚拟路由器的安全域中,此例子仅做演示用。
7.5
创建DNAT规则
DNAT 规则指定是否对符合条件的流量的目的 IP 地址做 NAT 转换。配置做 NAT 转换的 DNAT规则,在 VRouter 配置模式下使用命令“dnatrule”,具体如下:
信息中心
7/11/2013
24
山石SA2001A操作指导手册
表示创建目的NAT规则,规则号为“1”,源IP为任何IP,目的IP为200.20.30.0,转换地址为200.20.30.3,端口为80。
信息中心
7/11/2013
25
服务为http,
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库山石SA2001A VPN防火墙简明配置手册(5)在线全文阅读。
相关推荐: