7-防火墻配置與NAT配置ppt課件

1、1第七講 防火墻配置與NAT配置n防火墻技術(shù)n訪問控制列表nAR18防火墻配置nAR28防火墻配置nNAT技術(shù)nAR18 NAT配置nAR28 NAT配置2防火墻技術(shù) 概念n防火墻（Firewall）的本義是一種建筑結(jié)構(gòu)，它用來防止大火從建筑物的一部分蔓延到另一部分。n在計算機網(wǎng)絡(luò)中，防火墻是指用于完成下述功能的軟件或硬件：q對單個主機或整個計算機網(wǎng)絡(luò)進行保護，使之能夠抵抗來自外部網(wǎng)絡(luò)的不正當(dāng)訪問。3防火墻技術(shù) 分類n包過濾防火墻（Packet Filter Firewall）：對IP包進行過濾，先獲取包頭信息，包括IP 層所承載的上層協(xié)議的協(xié)議號、數(shù)據(jù)包的源地址、目的地址、源端口和目的端口等

2、，然后和設(shè)定的規(guī)則進行比較，根據(jù)比較的結(jié)果決定數(shù)據(jù)包是否被允許通過。n應(yīng)用層報文過濾（Application Specific Packet Filter）：也稱為狀態(tài)防火墻，它維護每一個連接的狀態(tài)，并且檢查應(yīng)用層協(xié)議的數(shù)據(jù)，以此決定數(shù)據(jù)包是否被允許通過。4防火墻技術(shù) 示意圖RInternet公司總部內(nèi)部網(wǎng)絡(luò)未授權(quán)用戶辦事處n防火墻一般被放置在內(nèi)部網(wǎng)和Internet之間5防火墻技術(shù) 路由器實現(xiàn)包過濾防火墻路由器上的路由器上的IP包包轉(zhuǎn)發(fā)機制轉(zhuǎn)發(fā)機制IP PacketIP Packet網(wǎng)絡(luò)層數(shù)據(jù)鏈路層輸入IP包規(guī)則庫輸出IP包規(guī)則庫由規(guī)則決定對IP包的處理: 丟棄或通過由規(guī)則決定對IP包的處理

3、: 丟棄或通過路由器可以在輸入和輸出兩個方向上對IP包進行過濾接口1接口26訪問控制列表 概念n訪問控制列表（Access Control List, ACL）是實現(xiàn)包過濾規(guī)則庫的一般方法，它由一系列“permit”或“deny”的規(guī)則組成。n除安全之外，訪問控制列表還有以下兩種應(yīng)用：qQoS（Quality of Service）qNAT（Network Address Translation）7訪問控制列表 分類（AR18）n標(biāo)準(zhǔn)訪問控制列表q只使用源IP地址來描述IP包q數(shù)字標(biāo)識：2000 2999n擴展訪問控制列表q使用源和目的IP地址，協(xié)議號，源和目的端口號來描述IP包q數(shù)字表示：3

4、000 39998訪問控制列表 標(biāo)準(zhǔn)ACLnQuidway acl acl-number match-order config | auto qacl-number：2000 2999qconfig：配置順序 /缺省值qauto：深度優(yōu)先nQuidway-acl-2000 rule normal | special permit | deny source source-addr source-wildcard | any qnormal：該規(guī)則在所有時間段內(nèi)起作用； /缺省值qspecial：該規(guī)則在指定時間段內(nèi)起作用，使用special 時用戶需另外設(shè)定時間段qsource-wildcar

5、d：反掩碼9訪問控制列表 反掩碼例如：Quidway-acl-2000 rule normal permit source 55n反掩碼和子網(wǎng)掩碼功能相似，但寫法不同：q0表示需要比較q1表示忽略比較n反掩碼和IP地址結(jié)合使用，可以描述一個地址范圍。000255只比較前24位003255只比較前22位0255255255只比較前8位10訪問控制列表 擴展ACLn配置TCP/UDP協(xié)議的擴展ACLn配置ICMP協(xié)議的擴展ACLn配置其他協(xié)議的擴展ACL11訪問控制列表 擴展ACL（續(xù)）n配置TCP/UDP協(xié)議的擴展ACL： rule normal | spe

6、cial permit | deny tcp | udp source source-addr source-wildcard | any source-port operator port1 port2 destination dest-addr dest-wildcard | any destination-port operator port1 port2 Operator的語法的語法意義意義equal portnumber等于端口號等于端口號 portnumbergreater-than portnumber大于端口號大于端口號portnumberless-than portnumbe

7、r小于端口號小于端口號portnumbernot-equal portnumber不等于端口號不等于端口號portnumber range portnumber1 portnumber2介于端口號介于端口號portnumber1 和和portnumber2之間之間12訪問控制列表 擴展ACL（續(xù)）n配置TCP/UDP協(xié)議的擴展ACL舉例： rule normal deny tcp source destination 6 destination-port equal 80 n配置ICMP協(xié)議的擴展ACL ： rul

8、e normal | special permit | deny icmp source source-addr source-wildcard | any destination dest-addr dest- wildcard | any icmp-type icmp-type icmp-code 注：缺省為全部ICMP消息類型n配置ICMP協(xié)議的擴展ACL舉例 ： rule normal deny icmp source any destination 55 icmp-type echo 13訪問控制列表 擴展ACL（續(xù)）nICMP協(xié)議消息類型的助

9、記符 ：echoecho-replyhost-unreachablenet-redirectnet-unreachableparameter-problemport-unreachableprotocol-unreachablettl-exceededType=8, Code=0Type=0, Code=0Type=3, Code=1Type=5, Code=0Type=3, Code=0Type=12,Code=0Type=3, Code=3Type=3, Code=2Type=11,Code=014訪問控制列表 擴展ACL（續(xù)）n配置其它協(xié)議的擴展ACL ： rule normal | s

10、pecial permit | deny ip | ospf | igmp | gre source source-addr source-wildcard | any destination dest-addr dest-wildcard | any n配置其它協(xié)議的擴展ACL 舉例： rule normal permit ip source 55 destination any15訪問控制列表 分類（AR28）n基于接口的訪問控制列表（Interface-based ACL）q使用接口來控制網(wǎng)絡(luò)包q數(shù)字標(biāo)識：1000 1999n基本的訪問控制列表（Ba

11、sic ACL）q只使用源IP地址來控制IP包q數(shù)字標(biāo)識：2000 2999n高級的訪問控制列表（Advanced ACL）q使用源和目的IP地址，協(xié)議號，源和目的端口號來控制IP包q數(shù)字表示：3000 3999n基于MAC 的訪問控制列表（MAC-based ACL）q使用MAC地址來控制網(wǎng)絡(luò)包q數(shù)字表示：4000 499916訪問控制列表 創(chuàng)建ACL（AR28）nQuidway acl number acl-number match-order config | auto qconfig：匹配規(guī)則時按用戶的配置順序。 /缺省值qauto：匹配規(guī)則時按“深度優(yōu)先”的順序。n創(chuàng)建ACL后，將進

12、入ACL視圖：qQuidway-acl-adv-3000q進入ACL 視圖之后，就可以配置ACL的規(guī)則了。17訪問控制列表 Basic ACLnQuidway-acl-basic-2000 rule rule-id permit | deny source sour-addr sour-wildcard | any time-range time-name qrule-id：可選參數(shù)，規(guī)則編號，范圍為065534。q少了 normal | special qtime-range：可選參數(shù)，指定訪問控制列表的生效時間。q其余與AR18同n舉例： Quidway-acl-basic-2000 ru

13、le permit source 18訪問控制列表 Advanced ACLnQuidway-acl-adv-3000 rule rule-id permit | deny protocol source sour-addr sour-wildcard | any destination dest-addr dest-mask | any source-port operator port1 port2 destination-port operator port1 port2 icmp-type icmp-message | icmp-type icmp

14、-code time-range time-name n格式與AR18中的三種擴展ACL基本相同：qprotocol : ip, ospf, igmp, gre, icmp, tcp, udp, etc. q少了 normal | special q多了 rule-id 和 time-rangeqoperator 被簡化: “eq” -等于端口號， “gt” 大于端口號， “l(fā)t” 小于端口號， “neq” 不等于端口號， “range” 介于兩端口號之間19AR18防火墻配置 啟動/禁止n啟動防火墻qQuidway firewall enablen禁止防火墻qQuidway firewall

15、 disablen缺省情況下，防火墻處于“啟動”狀態(tài)20AR18防火墻配置 缺省過濾方式n缺省過濾方式：當(dāng)訪問規(guī)則中沒有找到一條匹配的規(guī)則來判定網(wǎng)絡(luò)包是否可以通過的時候，將根據(jù)缺省過濾方式來決定“允許”還是“禁止”網(wǎng)絡(luò)包通過。n設(shè)置缺省過濾方式為“允許”：qQuidway firewall default permitn設(shè)置缺省過濾方式為“禁止”：qQuidway firewall default denyn缺省情況下，缺省過濾方式為“允許”21AR18防火墻配置 在接口上應(yīng)用ACLn要實現(xiàn)接口對報文的過濾功能，就必須先將相應(yīng)ACL應(yīng)用到接口上n用戶可在一個接口上對“入”和“出”兩個方向的報文

16、分別定義不同的ACLn在接口上應(yīng)用ACL的命令為：Quidway-Serial0 firewall packet-filter acl-number inbound | outbound qinbound：入方向qoutbound：出方向n在一個接口的一個方向上，可以配置多個ACL，匹配時從acl-number 大的ACL開始，若匹配則停止22AR18防火墻配置 顯示配置信息n顯示ACL及在接口上的應(yīng)用 任意視圖 display acl all | acl-number n顯示防火墻狀態(tài) 任意視圖 display firewall23AR18防火墻配置 舉例n只有外部特定PC可以訪問內(nèi)部服務(wù)器

17、n只有內(nèi)部特定PC可以訪問外部網(wǎng)絡(luò)防火墻配置要求：Ethernet0Serial024AR18防火墻配置 舉例（續(xù)）# 打開防火墻功能。Router firewall enable# 設(shè)置防火墻缺省過濾方式為允許包通過。Router firewall default permit# 配置Ethernet0入方向訪問規(guī)則禁止所有包通過。Router acl 3001 match-order autoRouter-acl-3001 rule deny ip source any destination any# 允許內(nèi)部特定PC訪問外部網(wǎng)，允許內(nèi)部服務(wù)器與外部特定PC通訊。Ro

18、uter-acl-3001 rule permit ip source 0 destination anyRouter-acl-3001 rule permit ip source 0 destination 0Router-acl-3001 rule permit ip source 0 destination 0Router-acl-3001 rule permit ip source 0 destination 025AR18防火墻配置

19、 舉例（續(xù)）# 配置Serial0入方向訪問規(guī)則禁止所有包通過。 Router acl 3002 match-order autoRouter-acl-3002 rule deny ip source any destination any# 允許外部網(wǎng)與內(nèi)部特定PC通訊。Router-acl-3002 rule permit ip source any destination 0# 允許外部特定PC訪問內(nèi)部服務(wù)器。Router-acl-3002 rule permit ip source 0 destination 0Rout

20、er-acl-3002 rule permit ip source 0 destination 0Router-acl-3002 rule permit ip source 0 destination 0# 將規(guī)則3001 作用于從接口Ethernet0 進入的包。Router-Ethernet0 firewall packet-filter 3001 inbound# 將規(guī)則3002 作用于從接口Serial0 進入的包。Router-Serial0 firewall packet-filter 3002

21、 inbound26AR28防火墻配置 啟動/禁止n啟動防火墻qQuidway firewall enablen禁止防火墻qQuidway undo firewall enablen缺省情況下，防火墻處于“禁止”狀態(tài)與AR18不同27AR28防火墻配置 缺省過濾方式n缺省過濾方式：當(dāng)訪問規(guī)則中沒有找到一條匹配的規(guī)則來判定網(wǎng)絡(luò)包是否可以通過的時候，將根據(jù)缺省過濾方式來決定“允許”還是“禁止”網(wǎng)絡(luò)包通過。n設(shè)置缺省過濾方式為“允許”：qQuidway firewall default permitn設(shè)置缺省過濾方式為“禁止”：qQuidway firewall default denyn缺省情況下

22、，缺省過濾方式為“允許”與AR18相同28AR28防火墻配置 在接口上應(yīng)用ACLn在接口上應(yīng)用ACL的命令為：Quidway-Serial0 firewall packet-filter acl-number inbound | outbound qinbound：入方向qoutbound：出方向n在一個接口的一個方向上，可以配置多個ACL，匹配時從acl-number 大的ACL開始與AR18相同29AR28防火墻配置 顯示配置信息n顯示ACL及在接口上的應(yīng)用 任意視圖 display acl all | acl-number n顯示防火墻狀態(tài) 任意視圖 display firewall-s

23、tatistics all | interface type number 與AR18不同30AR28防火墻配置 舉例防火墻配置要求：n只有外部特定PC可以訪問內(nèi)部服務(wù)器n只有內(nèi)部特定PC可以訪問外部網(wǎng)絡(luò)Ethernet0Serial031AR28防火墻配置 舉例（續(xù)）# 打開防火墻功能。Router firewall enable# 設(shè)置防火墻缺省過濾方式為允許包通過。Router firewall default permit# 配置Ethernet0入方向訪問規(guī)則禁止所有包通過。Router acl number 3001 match-order autoRouter

24、-acl-adv-3001 rule deny ip source any destination any# 允許內(nèi)部特定PC訪問外部網(wǎng)，允許內(nèi)部服務(wù)器與外部特定PC通訊。Router-acl-adv-3001 rule permit ip source 0 destination anyRouter-acl-adv-3001 rule permit ip source 0 destination 0Router-acl-adv-3001 rule permit ip source 0 destinatio

25、n 0Router-acl-adv-3001 rule permit ip source 0 destination 032AR28防火墻配置 舉例（續(xù)）# 配置Serial0入方向訪問規(guī)則禁止所有包通過。 Router acl number 3002 match-order autoRouter-acl-adv-3002 rule deny ip source any destination any# 允許外部網(wǎng)與內(nèi)部特定PC通訊。Router-acl-adv-3002 rule permit ip source any de

26、stination 0# 允許外部特定PC訪問內(nèi)部服務(wù)器。Router-acl-adv-3002 rule permit ip source 0 destination 0Router-acl-adv-3002 rule permit ip source 0 destination 0Router-acl-adv-3002 rule permit ip source 0 destination 0# 將規(guī)則3001 作用于從接口Etherne

27、t0 進入的包。Router-Ethernet0 firewall packet-filter 3001 inbound# 將規(guī)則3002 作用于從接口Serial0 進入的包。Router-Serial0 firewall packet-filter 3002 inbound33NAT技術(shù) 概述nNAT (Network Address Translation)是目前用于解決IP地址緊缺問題的主要技術(shù)。nNAT的標(biāo)準(zhǔn)文檔是RFC 2663，1999年和RFC 3022，2001年（obsolete RFC 1631，1994年）.nNAT是在路由器上實現(xiàn)的，它的主要操作是在私網(wǎng)IP地址和公網(wǎng)

28、IP地址之間作相互轉(zhuǎn)換。n通過這種轉(zhuǎn)換，一個網(wǎng)絡(luò)能夠在其內(nèi)部使用私網(wǎng)IP地址，而在外部使用一個或少數(shù)幾個公網(wǎng)IP地址連接到Internet上。34NAT技術(shù) 私網(wǎng)IP地址Internet/8/16/24PrivateNetwork 1私網(wǎng)私網(wǎng)IP地址范圍：地址范圍： - 55 - 55 - 55PrivateNetwork 2PrivateNetwork 335NAT技術(shù) 基本思想n每個NAT路由器都維護

29、一張地址轉(zhuǎn)換表。地址轉(zhuǎn)換表36NAT技術(shù) 基本思想（NAPT）nNAT的最常見形式 - NAPT (Network Address Port Translation):地址轉(zhuǎn)換表37NAT技術(shù) 基本思想（內(nèi)部服務(wù)器）InternetR內(nèi)部服務(wù)器外部用戶E0S0內(nèi)部地址:內(nèi)部端口:80外部地址:外部端口:80IP:配置地址轉(zhuǎn)換:IP地址:端口:8080外部用戶訪問內(nèi)部服務(wù)器38NAT 私網(wǎng)訪問公網(wǎng)具體步驟Internet內(nèi)部網(wǎng)絡(luò)/8NAT路由器公用地址池202.0.

30、0.1 私網(wǎng)地址私網(wǎng)端口公網(wǎng)地址公網(wǎng)端口10011044dstIP:, srcIP:dstPort:21, srcPort:1001dstIP:, srcIP:dstPort:21, srcPort:1044dstIP:, srcIP:dstPort:1001, srcPort:21查找地址轉(zhuǎn)換表，更改目的IP和端口增加地址轉(zhuǎn)換表項，更改源IP和端口12345dstIP:, srcIP:dstPort:1

31、044, srcPort:216外部PC內(nèi)部PC39NAT 公網(wǎng)訪問內(nèi)部服務(wù)器具體步驟私網(wǎng)地址私網(wǎng)端口公網(wǎng)地址公網(wǎng)端口2121Internet內(nèi)部網(wǎng)絡(luò)/8NAT路由器需預(yù)先配置如下靜態(tài)地址轉(zhuǎn)換表項公用地址池 dstIP:, srcIP:dstPort:21, srcPort:1044dstIP:, srcIP:dstPort:1044, srcPort:21查找地址轉(zhuǎn)換表，更改源IP和端口查

32、找地址轉(zhuǎn)換表，更改目的IP和端口12345FTP客戶FTP服務(wù)器6dstIP:, srcIP:dstPort:21, srcPort:104dstIP:, srcIP:dstPort:1044, srcPort:2140NAT 技術(shù) 其它用途 n使易于更換ISPnIP偽裝 (IP Masquerading)n服務(wù)器前端 (Front End)，在多個服務(wù)器之間分配負(fù)載41NAT技術(shù) 服務(wù)器前端 地址轉(zhuǎn)換表42NAT技術(shù) 批評n開銷增加qNAT: 重新計算IP Header Checksum

33、qNAPT: 重新計算TCP/UDP Header Checksumn違反了協(xié)議分層的原則。n使在應(yīng)用層的數(shù)據(jù)中攜帶有IP地址或端口號的協(xié)議不能正常運行。欲知有關(guān)NAT各方面影響的詳細(xì)討論，請參見RFC 2993.43NAT配置（AR18） 定義地址池n地址池是一串連續(xù)IP 地址的集合，當(dāng)內(nèi)部IP包通過地址轉(zhuǎn)換到達外部網(wǎng)絡(luò)時，將會選擇地址池中的某個地址作為轉(zhuǎn)換后的源地址n定義地址池命令：qQuidway nat address-group start-addr end-addr pool-namen舉例：qQuidway nat address-group 210.3

34、0.101.4 pool144NAT配置（AR18） 定義地址池與ACL的關(guān)聯(lián)nACL在NAT中的作用是 “描述將被做地址轉(zhuǎn)換的IP包” 。 n當(dāng)內(nèi)部網(wǎng)絡(luò)有數(shù)據(jù)包要發(fā)往外部網(wǎng)絡(luò)時，首先根據(jù)該ACL判定是否是允許的數(shù)據(jù)包，然后再根據(jù)定義的關(guān)聯(lián)找到與之對應(yīng)的地址池，最后再把源地址轉(zhuǎn)換成這個地址池中的某一個地址。n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-no address-group pool-namen舉例：qQuidway acl 2000 match-order autoqQuidway-acl-2000 rule permit source 192

35、.168.1.0 55qQuidway-acl-2000 rule deny source anyqQuidway nat address-group pool1qQuidway-Serial0 nat outbound 2000 address-group pool145NAT配置（AR18） 定義接口與ACL的關(guān)聯(lián)n接口與ACL的關(guān)聯(lián)又稱EASY IP 特性，它是指在地址轉(zhuǎn)換的過程中直接使用接口的IP 地址作為轉(zhuǎn)換后的源地址n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-no interf

36、acen舉例：qQuidway acl 2000 match-order autoqQuidway-acl-2000 rule permit source 55qQuidway-acl-2000 rule deny source anyqQuidway-Serial0 nat outbound 2000 interface46NAT配置（AR18） 建立內(nèi)部服務(wù)器映射n用戶可將內(nèi)部服務(wù)器的IP地址和端口號映射到NAT路由器的外部地址以及端口號上，從而實現(xiàn)由外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器的功能。n建立映射命令：qQuidway-Serial0 nat server

37、global global-addr global-port | any | domain | ftp | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop3 | smtp | telnet | www protocol-number | ip | icmp | tcp | udp n舉例：qQuidway-Serial0 nat server global 2 8080 tcp47NAT配置（AR18） 配置信息顯示n查看地址

38、轉(zhuǎn)換的配置信息：q任意視圖 display natn查看地址轉(zhuǎn)換表：q任意視圖 display nat translations global ip-address | inside ip-address 48NAT配置（AR18） 舉例RRRInternetFTP 服務(wù)器WWW 服務(wù)器1WWW 服務(wù)器2內(nèi)部PC00S0內(nèi)部PC00RSMTP 服務(wù)器地址池：0103網(wǎng)絡(luò)地址轉(zhuǎn)換配置要求：n內(nèi)部/

39、24 網(wǎng)段的PC 機可訪問Internet，其它網(wǎng)段的PC 機不能訪問Internet。n外部PC 機可以訪問內(nèi)部的服務(wù)器。49NAT配置（AR18） 舉例（續(xù)）# 配置地址池和ACLRouter nat address-group 01 03 pool1Router acl 2000 match-order autoRouter-acl-2000rule permit source 55Router-acl-2000rule deny source 55# 允許10.

40、110.10.0/24 的網(wǎng)段進行地址轉(zhuǎn)換Router-Serial0 nat outbound 2000 address-group pool1# 設(shè)置內(nèi)部FTP 服務(wù)器Router-Serial0 nat server global 01 # 設(shè)置內(nèi)部WWW服務(wù)器1Router-Serial0 nat server global 02 # 設(shè)置內(nèi)部WWW服務(wù)器2Router-Serial0 nat server global 02 8080 inside 10.110.1

41、0.3 # 設(shè)置內(nèi)部SMTP 服務(wù)器Router-Serial0 nat server global 03 smtp inside smtp tcp50NAT配置（AR28） 定義地址池n地址池是一些連續(xù)的IP 地址的集合，當(dāng)內(nèi)部IP包通過地址轉(zhuǎn)換到達外部網(wǎng)絡(luò)時，將會選擇地址池中的某個地址作為轉(zhuǎn)換后的源地址n定義地址池命令：qQuidway nat address-group group-number start-addr end-addrn舉例：qQuidway nat address-group 1 210.30.1

42、01.4 與AR18不同51NAT配置（AR28） 定義地址池與ACL的關(guān)聯(lián)n當(dāng)內(nèi)部網(wǎng)絡(luò)有數(shù)據(jù)包要發(fā)往外部網(wǎng)絡(luò)時，首先根據(jù)該ACL判定是否是允許的數(shù)據(jù)包，然后再根據(jù)定義的關(guān)聯(lián)找到與之對應(yīng)的地址池，最后再把源地址轉(zhuǎn)換成這個地址池中的某一個地址n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-number address-group group-numbern舉例：qQuidway acl 2000 match-order autoqQuidway-acl-basic-2000 rule permit source 55qQu

43、idway-acl-basic-2000 rule deny source anyqQuidway nat address-group 1 qQuidway-Serial0 nat outbound 2000 address-group 1與AR18不同52NAT配置（AR28） 定義接口與ACL的關(guān)聯(lián)n接口與ACL的關(guān)聯(lián)又稱EASY IP 特性，它是指在地址轉(zhuǎn)換的過程中直接使用接口的IP 地址作為轉(zhuǎn)換后的源地址n定義關(guān)聯(lián)命令：qQuidway-Serial0 nat outbound acl-numbern舉例：qQuidway acl 20

44、00 match-order autoqQuidway-acl-basic-2000 rule permit source 55qQuidway-acl-basic-2000 rule deny source anyqQuidway-Serial0 nat outbound 2000與AR18不同,省略”interface”53NAT配置（AR28） 建立內(nèi)部服務(wù)器映射n用戶可將內(nèi)部服務(wù)器的IP地址和端口號映射到NAT路由器的外部地址以及端口號上，從而實現(xiàn)由外部網(wǎng)絡(luò)訪問內(nèi)部服務(wù)器的功能。n建立映射命令：qQuidway-Serial0 nat server

45、 protocol protocol-number | ip | icmp | tcp | udp global global-addr global-port | any | domain | ftp | pop3 | smtp | telnet | www inside inside-addr inside-port | any | domain | ftp | pop3 | smtp | telnet | www n舉例：qQuidway-Serial0 nat server tcp global 2 8080與AR18不同,位置改變54NAT配置（AR28） 配置信息顯示n查看地址轉(zhuǎn)換的配置信息：q任意視圖 display nat address-gr