- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
07-NAT命令
本章節下載: 07-NAT命令 (276.58 KB)
1.1.2 display nat address-group
1.1.17 nat link-down reset-session enable
1.1.24 nat server (for normal nat server)
1.1.29 reset userlog nat export
1.1.30 reset userlog nat logbuffer
1.1.31 userlog nat export host
1.1.32 userlog nat export source-ip
1.1.33 userlog nat export version
【命令】
address start-address end-address
undo address start-address end-address
【視圖】
地址組視圖
【缺省級別】
2:係統級
【參數】
start-address:地址組成員的開始IP地址。
end-address:地址組成員的結束IP地址。end-address必須大於或等於start-address。如果start-address和end-address相同,表示隻有一個地址。
【描述】
address命令用來添加一個地址組成員,各地址組成員之間的IP地址範圍不要求是連續的。undo address命令用來刪除一個地址組成員。
需要注意的是:
· 若地址組成員中定義的IP地址正在被使用或者該地址組已經與某個訪問控製列表關聯,則不允許在該地址組中添加或刪除地址組成員。
· 一個地址組中最多允許添加100個地址組成員。
· 地址組成員的IP地址段不能與其它地址池或者地址組成員的IP地址段重疊。
相關配置可參考命令display nat address-group和nat address-group。
【舉例】
# 創建地址組2,並在該地址組視圖下添加兩個地址組成員,一個指定從10.1.1.1到10.1.1.15的地址段,一個指定從10.1.1.20到10.1.1.30的地址段。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-nat-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-nat-address-group-2] address 10.1.1.20 10.1.1.30
【命令】
display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
【缺省級別】
1:監控級
【參數】
group-number:表示地址池索引號。取值範圍為0~31。如果不設定該值,則表示顯示所有NAT地址池的信息。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat address-group命令用來顯示NAT地址池的信息。
相關配置可參考命令nat address-group。
【舉例】
<Sysname> display nat address-group
NAT address-group information:
There are currently 2 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
2 : from 202.110.10.20 to 202.110.10.25
# 顯示索引號為1的NAT地址池信息。
<Sysname> display nat address-group 1
NAT address-group information:
1 : from 202.110.10.10 to 202.110.10.15
表1-1 display nat address-group命令顯示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
顯示NAT地址池信息 |
|
There are currently 2 nat address-group(s) |
存在兩條NAT地址池信息 |
|
1 : from 202.110.10.10 to 202.110.10.15 |
1號地址池的IP地址範圍為202.110.10.10到202.110.10.15 |
【命令】
display nat aging-time [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat aging-time命令用來顯示地址轉換表項的有效時間。
相關配置可參考命令nat aging-time。
【舉例】
# 顯示地址轉換表項有效時間。
<Sysname> display nat aging-time
NAT aging-time value information:
tcp ---- aging-time value is 300 (seconds)
udp ---- aging-time value is 240 (seconds)
icmp ---- aging-time value is 10 (seconds)
pptp ---- aging-time value is 300 (seconds)
dns ---- aging-time value is 10 (seconds)
tcp-fin ---- aging-time value is 10 (seconds)
tcp-syn ---- aging-time value is 10 (seconds)
ftp-ctrl ---- aging-time value is 300 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
no-pat ---- aging-time value is 240 (seconds)
表1-2 display nat aging-time命令顯示信息描述表
|
字段 |
描述 |
|
NAT aging-time value information |
顯示各個協議的NAT轉換有效時間 |
|
tcp |
TCP協議地址轉換有效時間 |
|
udp |
UDP協議地址轉換有效時間 |
|
icmp |
ICMP協議地址轉換有效時間 |
|
pptp |
PPTP協議地址轉換有效時間 |
|
dns |
DNS協議地址轉換有效時間 |
|
tcp-fin |
TCP 協議fin 或 rst連接地址轉換有效時間 |
|
tcp-syn |
TCP 協議syn連接地址轉換有效時間 |
|
ftp-ctrl |
FTP協議控製鏈路地址轉換有效時間 |
|
ftp-data |
FTP協議數據鏈路地址轉換有效時間 |
|
no-pat |
NO-PAT轉換方式下的私網地址和公網地址轉換表項的有效時間 |
【命令】
display nat all [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat all命令用來顯示所有的NAT配置信息。
【舉例】
# 顯示所有的關於地址轉換的配置信息。
<Sysname> display nat all
NAT address-group information:
There are currently 1 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: Ethernet1/1
Direction: outbound ACL: 2009 Address-group: 1 NO-PAT: N
NAT server in private network information:
There are currently 1 internal server(s)
Interface: Ethernet1/2, Protocol: 6(tcp)
Global: 5.5.5.5 : 80(www)
Local : 192.1.1.1 : 80(www)
NAT static information:
There are currently 1 NAT static configuration(s)
single static:
Local-IP : 1.1.1.1
Global-IP : 2.2.2.2
Local-VPN : ---
Global -VPN : ---
NAT static enabled information:
Interface Direction
Ethernet1/4 out-static
NAT aging-time value information:
tcp ---- aging-time value is 300 (seconds)
udp ---- aging-time value is 240 (seconds)
icmp ---- aging-time value is 10 (seconds)
pptp ---- aging-time value is 300 (seconds)
dns ---- aging-time value is 10 (seconds)
tcp-fin ---- aging-time value is 10 (seconds)
tcp-syn ---- aging-time value is 10 (seconds)
ftp-ctrl ---- aging-time value is 300 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
no-pat ---- aging-time value is 240 (seconds)
NAT log information:
log enable : enable
flow-begin : enable
flow-active : 40(minutes)
# 顯示所有的關於地址轉換的配置信息。
<Sysname> display nat all
NAT address-group information:
There are currently 2 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
2 : from 202.110.10.20 to 202.110.10.25
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: GigabitEthernet1/1
Direction: outbound ACL: 2036 Address-group: --- NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
NAT server in private network information:
There are currently 1 internal server(s)
Interface: GigabitEthernet1/1, Protocol: 6(tcp)
Global: 50.1.1.1 : 23(telnet)
Local : 192.168.10.15 : 23(telnet)
NAT static information:
There are currently 2 NAT static configuration(s)
net-to-net:
Local-IP : 1.1.1.0
Global-IP : 2.2.2.0
Netmask : 255.255.255.0
Unidirectional : N
Local-VPN : vpn1
Global-VPN : vpn2
single static:
Local-IP : 4.4.4.4
Global-IP : 5.5.5.5
Unidirectional : N
Local-VPN : ---
Global-VPN : ---
NAT static enabled information:
Interface Direction
GigabitEthernet1/2 out-static
表1-3 display nat all命令顯示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
NAT地址池信息 |
|
There are currently 1 nat address-group(s) |
存在1條NAT地址池信息,具體顯示信息字段的描述請參見命令display nat address-group |
|
NAT bound information |
內部地址和外部地址的轉換配置信息,具體顯示信息字段的描述請參見命令display nat bound |
|
There are currently 1 nat bound rule(s) |
存在1條地址轉換關聯信息 |
|
NAT server in private network information |
內部服務器信息,具體顯示信息字段的描述請參見命令display nat server |
|
There are currently 1 internal server(s) |
存在1條內部服務器信息 |
|
NAT static information |
靜態地址轉換信息,具體顯示信息字段的描述請參見命令display nat static |
|
There are currently 2 NAT static configuration(s) |
存在2條靜態轉換表項 |
|
NAT static enabled information |
接口靜態地址轉換的使能的信息,具體顯示信息字段的描述請參見命令display nat static |
|
NAT aging-time value information |
地址轉換連接的有效時間信息,具體顯示信息字段的描述請參見命令display nat aging-time |
|
NAT log information |
日誌配置信息,具體顯示信息字段的描述請參見命令display nat log |
【命令】
display nat bound [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat bound命令用來顯示地址轉換關聯的配置信息。
相關配置可參考命令nat outbound。
【舉例】
# 顯示配置的地址轉換的信息。
<Sysname> display nat bound
NAT bound information:
There are currently 1 nat bound rule(s)
Interface:Ethernet0/0
Direction: outbound ACL: 2000 Address-group: 319 NO-PAT: Y
VPN-instance: ---
表1-4 display nat bound命令顯示信息描述表
|
字段 |
描述 |
|
NAT bound information: |
顯示內部地址和外部地址的轉換信息 |
|
There are currently 1 nat bound rule(s) |
存在1條地址轉換關聯信息 |
|
Interface |
地址轉換關聯的接口 |
|
Direction |
地址轉換方向, outbound表示出方向 |
|
ACL |
地址池關聯的ACL規則 |
|
Address-group |
地址池索引,Easy IP方式下該項無內容 |
|
NO-PAT |
是否支持NO-PAT方式 |
|
VPN-instance |
地址池所屬的L3VPN的VPN實例名稱,未配置則顯示“---” |
【命令】
display nat dns-map [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat dns-map命令用來顯示NAT DNS mapping的配置信息。
相關配置可參考命令nat dns-map。
【舉例】
# 顯示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
There are currently 2 NAT DNS mapping(s)
Domain-name: www.server.com
Global-IP : 202.113.16.117
Global-port: 80(www)
Protocol : 6(tcp)
Domain-name: ftp.server.com
Global-IP : 202.113.16.100
Global-port: 21(ftp)
Protocol : 6(tcp)
表1-5 display nat dns-map命令顯示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping信息 |
|
There are currently 2 DNS mapping(s) |
存在2條DNS mapping信息 |
|
Domain-name |
內部服務器的域名 |
|
Global-IP |
內部服務器對外的外網IP地址 |
|
Global-port |
內部服務器對外的服務端口號 |
|
Protocol |
內部服務器支持的協議類型 |
【命令】
display nat log [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat log命令用來顯示NAT日誌的配置信息。
相關配置可參考命令nat log enable、nat log flow-active和nat log flow-begin。
【舉例】
# 顯示配置的日誌信息。
<Sysname> display nat log
NAT log information:
log enable : enable acl 2000
flow-begin : enable
flow-active : 10(minutes)
表1-6 display nat log命令顯示信息描述表
|
字段 |
描述 |
|
NAT log information : |
顯示地址轉換的日誌信息 |
|
log enable : enable acl 2000 |
日誌使能信息,對匹配ACL 2000的數據流做日誌記錄 |
|
flow-begin : enable |
新建流的使能情況 |
|
flow-active : 10(minutes) |
活躍流的間隔時間為10分鍾 |
【命令】
display nat server [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat server命令用來顯示內部服務器的信息。
相關配置可參考命令nat server。
【舉例】
# 顯示內部服務器的信息。
<Sysname> display nat server
NAT server in private network information:
There are currently 2 internal server(s)
Interface: Vlan-interface10, Protocol: 6(tcp)
Global: 100.100.120.120 : 21(ftp)
Local : 192.168.100.100 : 21(ftp)
Status:Inactive
Interface: Vlan-interface11, Protocol: 6(tcp)
Global: 100.100.100.121 : 80(www)
Local : 192.168.100.101 : 80(www) vpn2
Status:Active
# 顯示內部服務器的信息。
<Sysname> display nat server
NAT server in private network information:
There are currently 2 internal server(s)
Interface: Ethernet1/0, Protocol: 6(tcp)
Global: 10.1.1.3 : 80(www)
Local : 9.9.9.9 : 80(www)
Interface: Ethernet1/2, Protocol: 6(tcp)
Global: 10.1.1.1 : 21(ftp)
Local : (server-group 1) vpn2
2.2.2.2 : 21(ftp) (Connections: 0)
2.2.2.5 : 21(ftp) (Connections: 1)
2.2.2.6 : 21(ftp) (Connections: 0)
表1-7 display nat server命令顯示信息描述表
|
字段 |
描述 |
|
Server in private network information |
顯示內部服務器信息 |
|
There are currently 2 internal server(s) |
存在2條內部服務器信息 |
|
Interface |
內部服務器所在接口 |
|
Protocol |
內部服務器的協議類型 |
|
Global |
顯示服務器外網地址/端口號(知名端口類型),外網地址所屬的MPLS L3VPN的VPN實例名稱 |
|
Local |
顯示服務器內網信息 · 對於普通內部服務器,顯示服務器內網地址/端口號(知名端口類型),內網地址所屬的MPLS L3VPN的VPN實例名稱 · 對於負載分擔內部服務器,顯示內部服務器組名,內網地址所屬的MPLS L3VPN的VPN實例名稱,內部服務器成員信息,以及內部服務器組成員的當前連接數 |
|
Status |
該配置的當前狀態,生效顯示“Active”,未生效則顯示“Inactive” |
【命令】
display nat session [ vpn-instance vpn-instance-name ] [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
vpn-instance vpn-instance-name:顯示指定VPN中的NAT轉換表項,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示顯示非VPN中的NAT轉換表項。
source global global-address:顯示指定外部源地址的NAT轉換表項。
source inside inside-address:顯示指定內部源地址的NAT轉換表項。
destination dst-address:顯示指定目的IP地址的NAT轉換表項。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat session命令用來顯示當前的NAT轉換表項信息。
【舉例】
# 顯示當前的NAT轉換表項信息。
<Sysname> display nat session
There are currently 1 NAT session:
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
TCP 8.8.8.101 3.3.3.101 ---
GlobalVPN: vpn3 LocalVPN: vpn1
status: 800 TTL: 00:05:00 Left: 00:04:26
表1-8 display nat session命令顯示信息描述表
|
字段 |
描述 |
|
Pro |
協議類型 |
|
GlobalAddr:Port |
轉換後的外部源地址和源端口 |
|
LocalAddr:Port |
轉換前的內部源地址和源端口 |
|
DestAddr:Port |
目的地址和端口 |
|
GlobalVPN |
外部源地址所屬MPLS L3VPN的外部VPN實例名稱 |
|
LocalVPN |
內部源地址所屬MPLS L3VPN的內部VPN實例名稱 |
|
status |
表項的狀態特征 |
|
TTL |
表項的生命周期,單位為小時:分鍾:秒鍾 |
|
Left |
表項的剩餘的存活時間,單位為小時:分鍾:秒鍾 |
【命令】
display nat static [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat static命令用來顯示係統配置的靜態轉換配置和接口靜態使能配置。
相關配置可參考命令nat static和nat outbound static。
【舉例】
# 顯示靜態配置和接口靜態使能配置的信息。
<Sysname> display nat static
NAT static information:
There are currently 2 NAT static configuration(s)
net-to-net:
Local-IP-Start : 192.168.1.1 Local-IP-End : 192.168.1.100
Global-IP : 2.2.2.0
Netmask : 255.255.255.0
Local-VPN : ---
Global-VPN : ---
single static:
Local-IP : 2.2.2.2
Global-IP : 1.1.1.1
Local-VPN : 1
Global-VPN : 2
NAT static enabled information:
Interface Direction
Ethernet0/0 out-static
表1-9 display nat static命令顯示信息描述表
|
字段 |
描述 |
|
NAT static information |
靜態地址轉換的配置信息 |
|
net-to-net |
表示網段到網段靜態地址轉換映射 |
|
single static |
表示一對一靜態地址轉換映射 |
|
Local-IP |
內網IP地址 |
|
Global-IP |
外網IP地址 |
|
Netmask |
網段映射的網絡掩碼 |
|
Local-VPN |
內網IP地址所屬的MPLS L3VPN的VPN實例名稱 |
|
Global-VPN |
外網IP地址所屬的MPLS L3VPN的VPN實例名稱 |
|
NAT static enabled information |
靜態地址轉換在接口的使能信息 |
|
Interface |
靜態地址轉換配置的接口 |
|
Direction |
靜態地址轉換配置的方向 |
【命令】
display nat statistics [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display nat statistics命令用來顯示地址轉換的統計信息。
【舉例】
# 顯示地址轉換的統計信息。
<Sysname> display nat statistics
total PAT session table count: 1
total NO-PAT session table count: 0
total SERVER session table count: 0
total STATIC session table count: 0
total FRAGMENT session table count: 0
total FULL-CONE session table count: 0
active PAT session table count: 1
active NO-PAT session table count: 0
active FRAGMENT session table count: 0
表1-10 display nat statistics命令顯示信息描述表
|
字段 |
描述 |
|
total PAT session table count |
PAT轉換表項數 |
|
total NO-PAT session table count |
NO-PAT轉換表項數 |
|
total SERVER session table count |
內部服務器轉換表項數 |
|
total STATIC session table count |
靜態地址轉換表項數 |
|
total FRAGMENT session table count |
NAT分片轉換表項數 |
|
total FULL-CONE session table count: 0 |
三元組轉換表項數 |
|
active PAT session table count |
活動狀態的PAT轉換表項數 |
|
active NO-PAT session table count |
活動狀態的NO-PAT轉換表項數 |
|
active FRAGMENT session table count |
活動狀態的NAT分片轉換表項數 |
【命令】
display userlog export [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display userlog export命令用來查看輸出到日誌服務器的日誌的配置和統計信息。
需要注意的是,該命令可用於查看輸出到日誌服務器的所有類型的日誌信息,本文中該命令僅用於查看NAT日誌的信息。
相關配置可參考命令reset userlog nat export。
【舉例】
#查看NAT日誌的配置和統計信息。
<Sysname> display userlog export
nat:
Export Version 1 logs to log server : enabled
Source address of exported logs : 2.2.2.2
Address of log server : 1.1.1.1 (port: 23)
Total Logs/UDP packets exported : 0/0
Logs in buffer : 0
表1-11 display userlog export顯示信息描述表
|
字段 |
描述 |
|
nat |
表示顯示的是NAT日誌信息 |
|
No userlog export is enabled |
不能輸出日誌,出現該提示信息原因有: · 日誌功能未啟用, · 啟用了日誌功能,但配置為輸出到信息中心; · 啟用了日誌功能,但沒有配置日誌服務器的IP地址及UDP端口號 |
|
Export Version 1 logs to log server |
將版本號為1的日誌報文發送給日誌服務器 |
|
Source address of exported logs |
日誌報文的源IP地址(如果沒有配置源IP地址則不顯示該字段) |
|
Address of log server |
日誌服務器的地址,包括IP地址和端口 |
|
Total Logs/UDP packets exported |
發送的日誌總數和包含日誌的UDP報文總數(此處的UDP報文是指承載了日誌的UDP報文,一個UDP報文可以承載多條日誌) |
|
Logs in buffer |
緩存中的Flow或NAT日誌總數 |
【命令】
nat address-group group-number [ start-address end-address ]
undo nat address-group group-number [ start-address end-address ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
group-number:地址池索引號,取值範圍為0~31。
end-address:地址池的結束IP地址。end-address必須大於或等於start-address,如果start-address和end-address相同,則表示隻有一個地址。地址池中的IP地址數不能超過255個。
【描述】
nat address-group命令用來配置NAT轉換使用的地址池。若本命令中指定了開始IP地址和結束IP地址,則表示要定義一個地址池;若不指定開始IP地址和結束IP地址,則表示要創建並進入一個地址組視圖。undo nat address-group命令用來刪除配置的地址池或者地址組。
一個地址池是一些連續的IP地址的集合,而一個地址組是多個地址組成員的集合,各個地址組成員(通過address命令配置)所定義的IP地址範圍之間是可以是不連續的,因此一個地址組中允許存在多個不連續的IP地址段。當對需要到達外部網絡的數據報文進行地址轉換時,其源地址將被轉換為地址池或地址組成員中的某個地址。
需要注意的是:
· 已經和某個訪問控製列表關聯的地址池或地址組,在進行地址轉換時是不允許刪除的。
· 不同地址池中定義的IP地址段之間不允許重疊。
· 地址組成員的IP地址段不能與其它地址池或者地址組成員的IP地址段重疊。
· 所有地址池以及地址組中可定義的IP地址總數不能超過255。
· 如果設備僅提供Easy IP功能,則不需要配置NAT地址池或地址組,直接使用接口地址作為轉換後的IP地址。
相關配置可參考命令display nat address-group和address。
【舉例】
# 配置一個從202.110.10.10到202.110.10.15的地址池,地址池索引號為1。
<Sysname> system-view
[Sysname] nat address-group 1 202.110.10.10 202.110.10.15
# 創建地址組2,並在該地址組視圖下添加一個從10.1.1.1到10.1.1.15的地址組成員。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-nat-address-group-2] address 10.1.1.1 10.1.1.15
【命令】
nat aging-time { dns | ftp-ctrl | ftp-data | icmp | no-pat | pptp | tcp | tcp-fin | tcp-syn | udp } seconds
undo nat aging-time { dns | ftp-ctrl | ftp-data | icmp | no-pat | pptp | tcp | tcp-fin | tcp-syn | udp } [ seconds ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
dns:設置DNS協議地址轉換表項的有效時間。
ftp-ctrl:設置FTP協議控製鏈路地址轉換表項的有效時間。
ftp-data:設置FTP協議數據鏈路地址轉換表項的有效時間。
icmp:設置ICMP協議地址轉換表項的有效時間。
no-pat:設置NO-PAT轉換方式下的私網地址和公網地址轉換表項的有效時間。
pptp:設置PPTP協議地址轉換表項的有效時間。
tcp:設置TCP協議地址轉換表項的有效時間。
tcp-fin:設置TCP協議fin或rst連接地址轉換表項的有效時間。
tcp-syn:設置TCP協議syn連接地址轉換表項的有效時間。
udp:設置UDP協議地址轉換表項的有效時間。
seconds:地址轉換表項的有效時間,取值範圍為10~86400,單位為秒。
【描述】
nat aging-time命令用來設置地址轉換表項的有效時間。undo nat aging-time用來將指定協議類型的地址轉換表項的有效時間恢複為缺省情況。
缺省情況下,各協議的地址轉換表項的有效時間如下:
· DNS協議地址轉換表項的有效時間為10秒;
· FTP協議控製鏈路(ftp-ctrl)地址轉換表項的有效時間為300秒;
· FTP協議數據鏈路(ftp-data)地址轉換表項的有效時間為300秒;
· ICMP地址轉換表項的有效時間為10秒;
· NO-PAT轉換方式下的私網地址和公網地址轉換表項的有效時間為240秒;
· PPTP協議地址轉換表項的有效時間為300秒;
· TCP地址轉換表項的有效時間為300秒;
· TCP協議fin、rst連接地址轉換表項的有效時間為10秒;
· TCP協議syn連接地址轉換表項的有效時間為10秒;
· UDP地址轉換表項的有效時間為240秒。
由於地址轉換表項不能永久存在,該命令支持用戶為TCP、UDP、ICMP等協議分別設置地址轉換表項的有效時間,若在設定的有效時間內未使用該表項,該表項將失效。舉例來說,某個IP地址為10.110.10.10的用戶利用端口2000進行了一次對外TCP連接,地址轉換為它分配了相應的地址和端口,但是若在一定時間內這個TCP連接一直未被使用,係統將刪除此連接。
在使用NO-PAT方式的地址轉換的情況下,若私網用戶較多,且用戶上下線頻繁,則可通過適當減小NO-PAT轉換方式下的私網地址和公網地址轉換表項的有效時間,來加速地址池中被使用的公網IP地址的釋放速度,使公網IP地址盡快地空閑出來供其他用戶使用。
相關配置可參考命令display nat aging-time。
【舉例】
# 設定TCP協議的地址轉換表項的有效時間為240秒。
<Sysname> system-view
[Sysname] nat aging-time tcp 240
【命令】
nat alg { all | dns | ftp | h323 | ils | nbt | pptp | sip }
undo nat alg { all | dns | ftp | h323 | ils | nbt | pptp | sip }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
all:所有支持的特殊協議。
dns:支持DNS協議。
ftp:支持FTP協議。
h323:支持H.323協議。
ils:支持ILS協議。
nbt:支持NBT協議。
pptp:支持PPTP協議。
sip:支持SIP協議。
【描述】
nat alg命令用來使能指定協議類型的地址轉換應用網關功能。undo nat alg命令用來禁用地址轉換應用網關功能。
缺省情況下,地址轉換應用網關功能處於使能狀態。
【舉例】
# 使能支持FTP應用的地址轉換應用網關功能。
<Sysname> system-view
[Sysname] nat alg ftp
【命令】
nat dns-map domain domain-name protocol pro-type ip global-ip port global-port
undo nat dns-map domain domain-name
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
domain domain-name:指定內部服務器的合法域名。domain-name表示內部服務器的域名,為不超過255個字符的字符串,不區分大小寫,由一個或者多個label組成,兩個label間由"."分隔,每個label最長為63個字符,必須由字母或數字開頭,由字母或數字結尾,中間字符可以是字母、數字或連字符"-"。
protocol pro-type:指定內部服務器支持的協議類型。pro-type表示具體的協議類型,取值為tcp或udp。
ip global-ip:指定內部服務器提供給外部網絡訪問的IP地址。global-ip表示外網IP地址。
port global-port:指定內部服務器提供給外部網絡訪問的服務端口號。global-port表示服務端口號,取值範圍為1~65535。
【描述】
nat dns-map命令用來配置一條域名到內部服務器的映射。undo nat dns-map命令用來刪除一條域名到內部服務器的映射。
相關配置可參考命令display nat dns-map。
MSR係列路由器各款型對於本節所描述的命令的支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
參數 |
描述 |
|
MSR800 |
nat dns-map |
設備最多可支持配置的映射條目 |
32 |
|
MSR 900 |
32 |
||
|
MSR900-E |
32 |
||
|
MSR 930 |
32 |
||
|
MSR 20-1X |
32 |
||
|
MSR 20 |
32 |
||
|
MSR 30 |
MSR3010:32 MSR3011:32 MSR3011E-F:32 MSR3016:64 MSR30:64 |
||
|
MSR 50 |
MSR5040:128 MSR5060:128 MSR50(MPU-G2):128 MSR5006:64 |
||
|
MSR 2600 |
32 |
||
|
MSR3600-51F |
32 |
【舉例】
# 某公司內部對外提供Web服務,內部服務器的域名為www.server.com,對外的IP地址為202.112.0.1。配置一條域名到內部服務器的映射,使得公司內部用戶可以通過域名訪問內部Web服務器。
<Sysname> system-view
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port www
【命令】
nat link-down reset-session enable
undo nat link-down reset-session enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
nat link-down reset-session enable命令用來使能接口鏈路down時NAT表項老化功能。undo nat link-down reset-session enable命令用來恢複缺省情況。
缺省情況下,接口鏈路down時NAT表項老化功能處於關閉狀態。
【舉例】
# 使能接口鏈路down時NAT表項老化功能。
<Sysname> system-view
[Sysname] nat link-down reset-session enable
【命令】
nat log enable [ acl acl-number ]
undo nat log enable [ acl acl-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl acl-number:對匹配ACL的數據流使能NAT日誌功能。acl-number的取值範圍為2000~3999。不輸入該參數時,對所有數據流使能NAT日誌功能。
【描述】
nat log enable命令用來使能NAT日誌功能。undo nat log enable命令用來取消NAT日誌功能。
缺省情況下,NAT日誌功能處於關閉狀態。
【舉例】
# 使能NAT日誌功能。
<Sysname> system-view
[Sysname] nat log enable acl 2001
【命令】
nat log flow-active minutes
undo nat log flow-active [ minutes ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
minutes:指定生成NAT活躍流日誌的時間間隔。minutes的取值範圍為10~120,單位為分鍾。設備每經過指定的時間間隔,就對活躍流記錄一次NAT日誌。
【描述】
nat log flow-active命令用來使能NAT活躍流的日誌功能,並設置生成活躍流日誌的時間間隔。undo nat log flow-active命令用來關閉活躍流的NAT日誌功能。
缺省情況下,NAT活躍流的日誌功能處於關閉狀態。
如果僅僅在創建、刪除NAT連接時進行日誌記錄,由於有些連接可能長時間處於活動狀態,設備一直不能對它進行記錄日誌。通過配置本命令,設備可以對這種長時間沒有斷開的連接進行定時記錄。
【舉例】
# 使能NAT活躍流的日誌功能,並設置生成活躍流日誌的時間間隔為10分鍾。
<Sysname> system-view
[Sysname] nat log flow-active 10
【命令】
nat log flow-begin
undo nat log flow-begin
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
nat log flow-begin命令用來設置在創建NAT連接時生成NAT日誌。undo nat log flow-begin命令用來恢複缺省情況。
缺省情況下,創建NAT連接時不生成NAT日誌。
【舉例】
# 設置在創建NAT連接時生成NAT日誌。
<Sysname> system-view
[Sysname] nat log flow-begin
【命令】
nat mapping-behavior endpoint-independent [ acl acl-number ]
undo nat mapping-behavior endpoint-independent [ acl acl-number ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
endpoint-independent:表示不關心對端地址和端口的NAT地址轉換模式。
acl acl-number:用於控製需要遵守指定地址轉換模式的報文範圍的訪問控製列表。acl-number表示訪問控製列表號,取值範圍為2000~3999。
【描述】
nat mapping-behavior命令用來配置動態地址轉換PAT方式下的地址轉換模式。undo nat mapping-behavior命令用來恢複缺省情況。
缺省情況下,動態地址轉換PAT方式下的地址轉換模式為Address and Port-Dependent Mapping(關心對端地址和端口轉換模式)。
· Endpoint-Independent Mapping(不關心對端地址和端口轉換模式):隻要是來自相同源地址和源端口號的報文,不論其目的地址是否相同,通過NAPT映射後,其源地址和源端口號都被轉換為同一個外部地址和端口號,並且NAT網關設備允許外部網絡的主機通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式可以很好得支持位於不同NAT網關之後的主機間進行互訪。
· Address and Port-Dependent Mapping(關心對端地址和端口轉換模式):對於來自相同源地址和源端口號的報文,若其目的地址和目的端口號不同,通過NAPT映射後,相同的源地址和源端口號將被轉換為不同的外部地址和端口號,並且NAT網關設備隻允許這些目的地址對應的外部網絡的主機才可以通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式安全性好,但是不便於位於不同NAT網關之後的主機間進行互訪。
需要注意的是,若配置了訪問控製列表,則表示隻有符合ACL規則的報文才采用Endpoint-Independent Mapping模式進行地址轉換,若不配置訪問控製列表,則表示所有的報文都采用Endpoint-Independent Mapping模式進行地址轉換。
【舉例】
# 對所有報文都以Endpoint-Independent Mapping模式進行地址轉換。
<Sysname> system-view
[Sysname] nat mapping-behavior endpoint-independent
# 僅對FTP和HTTP報文才以Endpoint-Independent Mapping模式進行地址轉換,其它報文默認采用Address and Port-Dependent Mapping模式進行地址轉換。
<Sysname> system-view
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule permit tcp destination-port eq 80
[Sysname-acl-adv-3000] rule permit tcp destination-port eq 21
[Sysname-acl-adv-3000] quit
[Sysname] nat mapping-behavior endpoint-independent acl 3000
【命令】
nat outbound [ acl-number ] [ [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] ] ] | port-range port-range-start port-range-end ] [ track vrrp virtual-router-id ]
undo nat outbound [ acl-number ] [ [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] ] ] | port-range port-range-start port-range-end ] [ track vrrp virtual-router-id ]
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
acl-number:訪問控製列表號,取值範圍為2000~3999。
address-group group-number:指定地址轉換使用的地址池。group-number為一個已經定義的地址池的編號,取值範圍為0~31。如果未指定本參數,則表示直接使用該接口的IP地址作為轉換後的地址,即實現Easy IP功能。
vpn-instance vpn-instance-name:指定地址池中的地址所屬的VPN,表示可以支持VPN之間通過NAT轉換進行互訪。vpn-instance-name表示MPLS L3VPN中的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示地址池中的地址不屬於任何一個VPN。
no-pat:表示不使用TCP/UDP端口信息實現多對多地址轉換。如果未指定本參數,則表示使用TCP/UDP端口信息實現多對一地址轉換。
reversible:表示允許反向地址轉換。即,在內網用戶主動向外網發起連接並成功觸發建立地址轉換表項的情況下,允許外網向該內網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換。
port-range port-range-start port-range-end:指定地址池地址的端口範圍。port-range-start為起始端口,取值範圍1~65535。port-range-end為結束端口,取值範圍1~65535。起始端口port-range-start不能大於結束端口port-range-end。
track vrrp virtual-router-id:指定出接口地址轉換與VRRP備份組進行關聯。virtual-router-id表示關聯的VRRP備份組號,取值範圍為1~255。如果未指定本參數,則表示沒有進行VRRP備份組關聯。
【描述】
nat outbound命令用來配置出接口地址關聯。若配置了訪問控製列表,則表示將一個訪問控製列表ACL和一個地址池關聯起來,即符合ACL規則的報文的源IP地址可以使用地址池中的地址進行地址轉換;若不配置訪問控製列表,則表示隻要出接口報文的源IP地址不是出接口的地址,就可以使用地址池中的地址進行地址轉換。undo nat outbound命令用來取消關聯。
如果不指定地址池,則直接使用該接口的IP地址作為轉換後的地址,即實現Easy IP功能。
需要注意的是:
· 可以在同一個接口上配置不同的地址轉換關聯。使用對應的undo命令可以將相應的地址轉換關聯刪除。該接口一般情況下和外部網絡連接,是內部網絡的出口。
· 當ACL規則變為無效時,新連接的NAT會話表項將無法建立,但是已經建立的連接仍然可以繼續通信。
· 支持指定下一跳,當報文查找路由表進行轉發時,如果命中指定的下一跳IP地址,則將采用配置地址池中的地址進行轉換;如果沒有命中,則不能進行地址轉換。
· 在一個接口下,一個ACL隻能與一個地址池綁定;但一個地址池可以與多個ACL綁定。
· NAPT方式下不支持外網主動向內網發起連接。
· 支持反向地址轉換的情況下,內網用戶主動向外網發起連接並成功觸發建立地址轉換表項後,外網向該內網用戶發起的連接必須與接口上動態地址轉換配置使用的地址池所關聯的某個ACL匹配上,才能成功利用已有的地址轉換表項進行目的地址轉換。
某些設備上的關聯配置需遵循限製:同一接口下引用的ACL中所定義的規則之間不允許衝突:源IP地址信息、目的IP地址信息以及VPN實例信息完全相同,即認為衝突。對於關聯基本ACL(ACL序號為2000~2999)的情況,隻要源地址信息、VPN實例信息相同即認為衝突。
【舉例】
# 允許10.110.10.0/24網段的主機進行地址轉換,選用202.110.10.10到202.110.10.12之間的地址作為轉換後的地址。假設Serial1/0接口連接外部網絡。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2001] rule deny
[Sysname-acl-basic-2001] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 允許地址轉換,使用地址池1中的地址進行地址轉換,在轉換的時候使用TCP/UDP的端口信息。
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat outbound 2001 address-group 1
# 如果不使用TCP/UDP的端口信息進行地址轉換,可以使用如下配置。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat outbound 2001 address-group 1 no-pat
# 如果直接使用Serial1/0接口的IP地址,可以使用如下的配置。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat outbound 2001
# 內網10.110.10.0/24網段的主機使用地址池1(202.110.10.10~202.110.10.12)中地址作為轉換後的地址訪問外部網絡。要在內網用戶向外網主動發起訪問之後,允許外網用戶主動向10.110.10.0/24網段的主機發起訪問,並利用已建立的地址轉換表項進行反向地址轉換,可以使用如下配置。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat outbound 2001 address-group 1 no-pat reversible
【命令】
nat outbound static [ track vrrp virtual-router-id ]
undo nat outbound static [ track vrrp virtual-router-id ]
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
track vrrp virtual-router-id:指定NAT靜態轉換與VRRP備份組進行關聯。virtual-router-id表示關聯的VRRP備份組號,取值範圍為1~255。如果未指定本參數,則表示沒有進行VRRP備份組關聯。
【描述】
nat outbound static命令用來使配置的NAT靜態轉換在接口上生效。undo nat outbound static命令用來取消接口上已經配置的NAT靜態轉換。
相關配置可參考命令display nat static。
【舉例】
# 配置內網IP地址192.168.1.1到外網IP地址2.2.2.2的一對一轉換,並且在Serial2/0接口上使能該地址轉換。
<Sysname> system-view
[Sysname] nat static 192.168.1.1 2.2.2.2
[Sysname] interface serial 2/0
[Sysname-Serial2/0] nat outbound static
【命令】
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ] [ track vrrp virtual-router-id ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ] [ track vrrp virtual-router-id ]
nat server index protocol pro-type global { global-address global-port1 global-port2 inside local-address1 local-address2 local-port [ vpn-instance local-name ] [ track vrrp virtual-router-id ] | current-interface [ global-port ] inside local-address [ local-port ] [ vpn-instance local-name ] [ remote-host host-address ] [ lease-duration lease-time ] [ description string ] }
undo nat server index protocol pro-type global { global-address global-port1 global-port2 inside local-address1 local-address2 local-port [ vpn-instance local-name ] [ track vrrp virtual-router-id ] | current-interface [ global-port ] inside local-address [ local-port ] [ vpn-instance local-name ] [ remote-host host-address ] [ lease-duration lease-time ] [ description string ] }
【視圖】
接口視圖
【缺省級別】
2:係統級
【參數】
index:指定內部服務器的索引號。取值範圍為1~256。
protocol pro-type:指定支持的協議類型。pro-type表示了具體的協議類型,可以支持TCP、UDP和ICMP協議。當指定為ICMP時,配置的內部服務器不帶端口參數。
global-address:提供給外部訪問的合法IP地址。
current-interface:使用當前接口地址作為內部服務器的外網地址。
interface:表示使用指定接口的地址作為內部服務器的外網地址,即實現Easy IP方式的內部服務器。
interface-type interface-number:指定接口類型和接口編號,目前隻支持Loopback接口,且Loopback接口必須存在,否則為非法配置。
global-port1、global-port2:通過兩個端口指定一個端口範圍,和內部主機的IP地址範圍構成一種對應關係。global-port2必須大於global-port1。
local-address1、local-address2:定義一組連續的地址範圍,和前麵定義的端口範圍構成一一對應的關係。local-address2必須大於local-address1。該地址範圍的數量必須和global-port1、global-port2定義的端口數量相同。
local-port:內部服務器提供的服務端口號,取值範圍為0~65535(FTP數據端口號20除外)。
· 常用的端口號可以用關鍵字代替。如:Web服務端口為80,可以用www代替。FTP服務端口號為21,可以用ftp代替。
· 取值為0,表示任何類型的服務都提供,可以用any關鍵字代替,相當於global-address和local-address之間有一個靜態的連接。
global-port:提供給外部訪問的服務端口號,取值範圍為0~65535,缺省值及關鍵字的使用和local-port的規定一致。
local-address:服務器在內部局域網的IP地址。
vpn-instance global-name:對外公布的外網地址所屬的VPN。global-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示對外公布的外網地址不屬於任何一個VPN。
vpn-instance local-name:內部服務器所屬的VPN。local-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內部服務器不屬於任何一個VPN。
remote-host host-address:訪問內部服務器的遠端主機的IP地址。
lease-duration lease-time:內部服務器向外部提供服務的有效時間。lease-time表示有效期,取值範圍為0~4294967295,單位為秒。0表示永不過期。
description string:內部服務器表項的描述信息,為1~256個字符的字符串,不區分大小寫。
track vrrp virtual-router-id:指定內部服務器與VRRP備份組進行關聯。virtual-router-id表示關聯的VRRP備份組號,取值範圍為1~255。如果未指定本參數,則表示沒有進行VRRP備份組關聯。
【描述】
nat server命令用來定義一個內部服務器的映射表,用戶可以通過global-address定義的地址和global-port定義的端口來訪問地址和端口分別為local-address和local-port的內部服務器。undo nat server命令用來取消映射表。
需要注意的是:
· global-port和local-port隻要有一個定義為any,則另一個要麼不定義,要麼定義為any,否則是非法配置。
· 通過該命令可以配置一些內部網絡提供給外部使用的服務器,例如Web服務器、FTP服務器、Telnet服務器、POP3服務器、DNS服務器等。內部服務器可以位於普通的內網內,也可以位於MPLS VPN實例內。
· 一個接口下允許配置的內部服務器地址轉換命令條數與設備的型號有關,每條命令可以配置的內部服務器數目為global-port2與global-port1的差值,即配置多少個端口就對應多少個內部服務器。一個接口下最多可以配置4096個內部服務器。係統中最多可以配置1024個內部服務器地址轉換命令。
· 配置該命令的接口一般情況下和ISP連接,是內部網絡的出口。
· 目前設備支持引用接口地址作為內部服務器的外網地址(Easy IP方式)。如果配置關鍵字current-interface表示外網地址使用的是當前接口的當前主地址;如果指定具體的接口,隻能指定Loopback接口,外網地址使用的是配置的Loopback接口的當前主地址,且該Loopback接口必須是已存在的。
· 由於Easy IP方式的內部服務器使用了當前接口的IP地址作為它的外網地址,因此強烈建議在當前接口上配置了Easy IP方式的內部服務器之後,其它內部服務器不要配置該接口的IP地址作為它的外網地址,反之亦然。
· 請在雙機熱備組網環境下保證同一個接口下的內部服務器的外網地址所關聯的VRRP組相同,否則係統默認該外網地址與組號最大的VRRP組進行關聯。
相關配置可參考命令display nat server。
當pro-type不是udp(協議號為17)或tcp(協議號為6)時,用戶隻能設置內部IP地址與外部IP地址的一一對應的關係,無法設置端口號的映射。
【舉例】
# 指定局域網內部的Web服務器的IP地址是10.110.10.10,MPLS VPN vrf10內部的FTP服務器的IP地址是10.110.10.11,希望外部通過http://202.110.10.10:8080可以訪問Web服務器,通過ftp://202.110.10.10可以訪問FTP服務器。假設Serial1/0和外部網絡連接。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
[Sysname-Serial1/0] quit
[Sysname] ip vpn-instance vrf10
[Sysname-vpn-instance] route-distinguisher 100:001
[Sysname-vpn-instance] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance] quit
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
# 指定一個VPN vrf10內部的主機10.110.10.12,希望外部網絡的主機可以利用ping 202.110.10.11命令ping通它。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
# 指定一個外部地址202.110.10.10,從端口1001~1100分別映射MPLS VPN vrf10內主機10.110.10.1~10.110.10.100的telnet服務。202.110.10.10:1001訪問10.110.10.1,202.110.10:1002訪問10.110.10.2,依此類推。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 用以下命令可以刪除Web服務器。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] undo nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
# 用以下命令可以刪除VPN vrf10內部的FTP服務器。
<Sysname> system-view
[Sysname] interface serial 1/0
[Sysname-Serial1/0] undo nat server protocol tcp global 202.110.10.11 21 inside 10.110.10.11 ftp vpn-instance vrf10
【命令】
nat static [ acl-number ] local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ]
undo nat static [ acl-number ] local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ]
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl-number:訪問控製列表號,取值範圍為2000~3999。可通過指定本參數來控製內網主機可以訪問的目的地址。
local-ip:內網IP地址。
vpn-instance local-name:內網IP地址所屬的VPN名。local-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
global-ip:外網IP地址。
vpn-instance global-name:外網IP地址所屬的VPN。global-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
【描述】
nat static命令用於配置一對一靜態地址轉換映射。undo nat static命令用來取消一對一靜態地址轉換映射。
相關配置可參考命令display nat static。
【舉例】
# 係統視圖下,配置內網IP地址192.168.1.1到外網IP地址2.2.2.2的靜態地址轉換。
<Sysname> system-view
[Sysname] nat static 192.168.1.1 2.2.2.2
# 配置靜態地址轉換,允許內網用戶192.168.1.1訪問外網網段3.3.3.0/24時,使用外網IP地址2.2.2.2。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] nat static 3001 192.168.1.1 2.2.2.2
【命令】
nat static [ acl-number ] net-to-net local-start-address local-end-address global global-network { netmask-length | netmask }
undo nat static [ acl-number ] net-to-net local-start-address local-end-address global global-network { netmask-length | netmask }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
acl-number:訪問控製列表號,取值範圍為2000~3999。可通過指定本參數來控製內網主機可以訪問的目的地址。
local-start-address local-end-address:內網IP地址範圍,所包含的地址數目不能超過255。
netmask-length:網絡掩碼長度。
netmask:網絡掩碼。
【描述】
nat static net-to-net命令用於配置網段到網段的靜態地址轉換映射。undo nat static net-to-net命令用來取消網段到網段的靜態地址轉換映射。
需要注意的是:
必須保證內部IP地址的起始和終止地址在外部網絡地址掩碼長度的條件下沒有跨網段。
相關配置可參考命令display nat static。
【舉例】
# 配置內網網段192.168.1.0/24到外網網段2.2.2.0/24的雙向靜態地址轉換。
<Sysname> system-view
[Sysname] nat static net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
# 配置網段到網段的靜態地址轉換,允許內網192.168.1.0/24網段的用戶訪問外網網段3.3.3.0/24時,使用外網網段2.2.2.0/24中的地址。
<Sysname> system-view
[Sysname] acl number 3001
[Sysname-acl-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-adv-3001] quit
[Sysname] nat static 3001 net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
【命令】
port-range port-range-start port-range-end
undo port-range
【視圖】
NAT地址組視圖
【缺省級別】
2:係統級
【參數】
port-range-start:起始端口,取值範圍1~65535。
port-range-end:結束端口,取值範圍1~65535。
【描述】
port-range命令用來配置NAT地址池地址的端口範圍,undo port-range命令用來恢複缺省情況。
缺省情況下,NAT地址池地址的端口範圍為1~65535。
需要注意的是:
· 起始端口port-range-end不能小於結束端口port-range-start。
· 該配置僅當對應地址池的引用模式為pat模式時生效。
相關配置可參考命令nat address-group。
【舉例】
# 配置NAT地址組1地址池地址的端口範圍為2~5。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] port-range 2 5
【命令】
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
reset nat session命令用來清除地址轉換映射表,釋放動態分配的用於存放地址映射表的內存空間。
【舉例】
# 清除地址轉換映射表。
<Sysname> reset nat session
【命令】
reset userlog nat export
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
reset userlog nat export命令用來清除NAT日誌的統計信息。
當設備啟動NAT日誌功能後,係統會定時對NAT日誌進行統計。
相關配置可參考命令display userlog export。
【舉例】
# 清除NAT日誌的統計信息。
<Sysname> reset userlog nat export
【命令】
reset userlog nat logbuffer
【視圖】
用戶視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
reset userlog nat logbuffer命令用來清除NAT日誌緩存中的記錄。
清除NAT日誌緩存中的記錄會造成NAT日誌信息的丟失,正常情況下,建議不要進行清除操作。
【舉例】
# 清除當前緩存區中的NAT日誌。
<Sysname> reset userlog nat logbuffer
【命令】
userlog nat export host { ipv4-address | ipv6 ipv6-address } udp-port
undo userlog nat export host { ipv4-address | ipv6 ipv6-address }
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ipv4-address:NAT日誌服務器的IPv4地址,取值範圍是合法的單播IP地址,且不能是環回地址。
ipv6 ipv6-address:NAT日誌服務器的IPv6地址,取值範圍是合法的單播IPv6地址。
udp-port:NAT日誌服務器的UDP端口號,取值範圍為0~65535。
【描述】
userlog nat export host命令用來配置接收NAT日誌報文的NAT日誌服務器的IP地址和UDP端口號。undo userlog nat export host命令用來恢複缺省情況。
缺省情況下,沒有配置NAT日誌服務器的IP地址和UDP端口號。
需要注意的是:
· 如果以UDP報文輸出NAT日誌,則必須配置NAT日誌服務器,否則NAT日誌不能正常輸出。
· 為了避免與通用的UDP端口號衝突,建議使用1024以上的UDP端口號。
相關配置可參考命令userlog nat export source-ip。
【舉例】
# 將NAT日誌信息發送給NAT日誌服務器(NAT日誌服務器的地址為169.254.1.1、端口號為2000)。
<Sysname> system-view
[Sysname] userlog nat export host 169.254.1.1 2000
【命令】
userlog nat export source-ip ip-address
undo userlog nat export source-ip
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
ip-address:UDP報文的源IP地址。
【描述】
userlog nat export source-ip命令用來配置承載NAT日誌的UDP報文的源IP地址。undo userlog nat export source-ip命令用來恢複缺省情況。
缺省情況下,承載NAT日誌的UDP報文的源IP地址為發送該報文的接口的IP地址。
相關配置可參考命令userlog nat export host。
【舉例】
# 將169.254.1.2配置為承載NAT日誌的UDP報文的源IP地址。
<Sysname> system-view
[Sysname] userlog nat export source-ip 169.254.1.2
【命令】
userlog nat export version version-number
undo userlog nat export version
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
version-number:NAT日誌報文的版本號,取值範圍為1(目前係統僅支持版本1)。
【描述】
userlog nat export version命令用來配置NAT日誌報文的版本號。undo userlog nat export version命令用來恢複缺省情況。
缺省情況下,NAT日誌報文的版本號為1。
【舉例】
# 將NAT日誌報文版本號設為版本1。
<Sysname> system-view
[Sysname] userlog nat export version 1
【命令】
userlog nat syslog
undo userlog nat syslog
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
userlog nat syslog命令用來配置NAT日誌輸出到信息中心。undo userlog nat syslog命令用來恢複缺省情況。
缺省情況下,NAT日誌輸出到NAT日誌服務器。
需要注意的是,如果將NAT日誌輸出方式設置為輸出到信息中心,係統產生的NAT日誌可能會占用較大的內存空間,因此建議該方式用於日誌量比較小的情況。
【舉例】
# 設置NAT日誌輸出到信息中心。
<Sysname> system-view
[Sysname] userlog nat syslog
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
