- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-NAT命令
本章節下載: 01-NAT命令 (553.66 KB)
目 錄
1.1.3 display nat address-group
1.1.12 display nat outbound port-block-group
1.1.14 display nat port-block-group
1.1.15 display nat port-block-usage
1.1.17 display nat server-group
1.1.36 nat log port-block usage threshold
1.1.37 nat log port-block-assign
1.1.38 nat log port-block-withdraw
1.1.41 nat outbound ds-lite-b4
1.1.42 nat outbound port-block-group
1.1.44 nat port-block global-share enable
1.1.45 nat port-block synchronization enable
1.1.47 nat port-load-balance enable
1.1.48 nat redirect reply-route
1.1.52 nat session create-rate enable
1.1.55 nat static inbound net-to-net
1.1.56 nat static inbound object-group
1.1.57 nat static inbound rule move
1.1.59 nat static outbound net-to-net
1.1.60 nat static outbound object-group
1.1.61 nat static outbound rule move
address命令用來添加一個地址組成員。
undo address命令用來刪除一個地址組成員。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情況】
不存在地址組成員。
【視圖】
NAT地址組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-address end-address:地址組成員的起始IP地址和結束IP地址。end-address必須大於或等於start-address,如果start-address和end-address相同,則表示隻有一個地址。
【使用指導】
一個NAT地址組是多個地址組成員的集合。當需要對到達外部網絡的數據報文進行地址轉換時,報文的源地址將被轉換為地址組成員中的某個地址。
一個地址組成員所包含的地址數目不能超過65535。
各地址組成員的IP地址段不能互相重疊。
在多形態防火牆設備上,配置的所有地址組成員包含的地址總數不能少於安全引擎(或安全插卡)的數量。
【舉例】
# 在NAT地址組2中添加兩個地址組成員。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] address 10.1.1.20 10.1.1.30
【相關命令】
· nat address-group
block-size命令用來設置端口塊大小。
undo block-size命令用來恢複缺省情況。
【命令】
block-size block-size
undo block-size
【缺省情況】
一個端口塊中包含256個端口。
【視圖】
NAT端口塊組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-size:端口塊大小,即一個端口塊中所包含的端口數,取值範圍為1~max_number。其中max_number的取值範圍為1~65535。
【使用指導】
在一個端口塊組中,需要根據私網IP地址個數,以及公網IP地址個數及其端口範圍,確定一個合理的端口塊大小值。端口塊大小值不能超過公網地址的端口範圍值。
【舉例】
# 配置端口塊組1的端口塊大小為1024。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] block-size 1024
【相關命令】
· nat port-block-group
display nat address-group命令用來顯示NAT地址組配置信息。
【命令】
display nat address-group [ group-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
group-id:地址組的編號,取值範圍為0~65535。如果不設置該值,則顯示所有地址組。
【舉例】
# 顯示所有地址組的配置信息。
<Sysname> display nat address-group
NAT address group information:
Totally 5 NAT address groups.
Address group ID: 1 Address group name: a
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Address group ID: 2
Port range: 1-65535
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group ID: 3
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group ID: 4
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group ID: 6
Port range: 1-65535
Address information:
Start address End address
--- ---
# 顯示指定地址組的配置信息。
<Sysname> display nat address-group 1
Address group ID: 1 Address group name: a
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
表1-1 display nat address-group命令顯示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址組信息 |
|
Totally n NAT address groups |
當前有n個地址組 |
|
Address group ID |
地址組編號 |
|
Address group name |
地址組名稱。如果沒有配置,則不顯示該字段 |
|
Port range |
地址的端口範圍 |
|
Block size |
端口塊大小。如果未配置,則不顯示 |
|
Extended block number |
增量端口塊數。如果未配置,則不顯示 |
|
Address information |
地址組成員信息 |
|
Start address |
地址組成員的起始地址。如果未配置,則顯示”---” |
|
End address |
地址組成員的結束地址。如果未配置,則顯示”---” |
【相關命令】
· nat address-group
display nat alg用來顯示所有協議類型的NAT ALG功能的開啟狀態。
【命令】
display nat alg
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示所有協議類型的NAT ALG功能的開啟狀態。
<Sysname> display nat alg
NAT ALG:
DNS : Enabled
FTP : Disabled
H323 : Disabled
ICMP-ERROR : Disabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Disabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
表1-2 display nat alg命令顯示信息描述表
|
字段 |
描述 |
|
Enabled |
協議的NAT ALG功能處於開啟狀態 |
|
Disabled |
協議的NAT ALG功能處於關閉狀態 |
【相關命令】
· display nat all
display nat all命令用來顯示所有的NAT配置信息。
【命令】
display nat all
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示所有的NAT配置信息。
<Sysname> display nat all
NAT address group information:
Totally 5 NAT address groups.
Address group 1:
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Address group 2:
Port range: 1-65535
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group 3:
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group 4:
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group 6:
Port range: 1-65535
Address information:
Start address End address
--- ---
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: GigabitEthernet1/0/1
ACL: 2038
Address group ID: 2
Add route: Y NO-PAT: Y Reversible: N
VPN instance: vpn_nat
Rule name: abcdefg
Priority: 1000
Config status: Active
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2036
Address group ID: 1
Port-preserved: Y NO-PAT: N Reversible: N
Rule name: cdefg
Priority: 1001
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: address group, and ACL.
Interface: GigabitEthernet1/0/2
ACL: 2037
Address group ID: 1
Port-preserved: N NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Rule name: blue
Priority: 1002
Config status: Active
NAT internal server information:
Totally 5 internal servers.
Interface: GigabitEthernet1/0/1
Global ACL : 2000
Local IP/port : 192.168.10.1/23
Rule name : cdefgab
Priority : 1000
Config status : Active
Interface: GigabitEthernet1/0/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
ACL : 2000
Rule name : green
Config status : Active
Interface: GigabitEthernet1/0/4
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Rule name : blue
Config status : Active
Interface: GigabitEthernet1/0/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
ACL : 3000
Rule name : white
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN, and ACL.
Interface: GigabitEthernet1/0/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
192.168.0.26/23 (Connections: 10)
192.168.0.27/23 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn3
Rule name : black
Config status : Active
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 2.2.2.1 – 2.2.2.255
Local IP : 1.1.1.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Rule name : pink
Priority : 1000
Config status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
Global VPN : vpn3
Local VPN : vpn4
ACL : 2001
Reversible : Y
Rule name : yellow
Priority : 1000
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN, global VPN, and ACL.
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
Local VPN : vpn1
Global VPN : vpn2
ACL : 2000
Reversible : Y
Rule name : grey
Priority : 1000
Config status: Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
Local VPN : vpn1
Global VPN : vpn2
ACL: : 2001
Reversible : Y
Rule name : orange
Priority : 10000
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/4
Config status: Active
Interface: GigabitEthernet1/0/6
Config status: Active
NAT DNS mappings:
Totally 2 NAT DNS mappings.
Domain name : www.server.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : www.service.com
Global IP : ---
Global port : 12
Protocol : TCP(6)
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
NAT logging:
Log enable : Enabled(ACL 2000)
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Enabled(10 minutes)
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT hairpinning:
Totally 2 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/0/4
Config status: Active
Interface: GigabitEthernet1/0/6
Config status: Active
NAT mapping behavior:
Mapping mode : Endpoint-Independent
ACL : 2050
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 vpna
192.168.3.1 192.168.3.254 vpna
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 vpnb
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: GigabitEthernet1/0/2
Port block group: 2
Rule name: stone
Config status : Active
Interface: GigabitEthernet1/0/2
Port block group: 10
Rule name: brown
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
上述顯示信息是目前所有NAT配置信息的集合。由於部分NAT配置(nat address-group、nat server-group、nat inbound、nat outbound、nat server、nat static、nat static net-to-net、nat static enable、nat dns-map、nat log、nat port-block-group和nat outbound port-block-group)有自己獨立的顯示命令,且此處顯示信息的格式與各命令對應的顯示信息的格式相同的,所以此處不對這些配置的顯示字段的含義進行詳細解釋,如有需要,請參考各獨立的顯示命令。下麵的表格將給出相關顯示命令的參見信息並僅解釋nat hairpin enable、nat mapping-behavior和nat alg配置的顯示字段的含義。
表1-3 display nat all命令顯示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址組的配置信息,詳細字段解釋請參見“表1-1” |
|
NAT server group information |
NAT內部服務器組的配置信息,詳細字段解釋請參見“表1-15” |
|
NAT inbound information: |
入方向動態地址轉換的配置信息,詳細字段解釋請參見“表1-6” |
|
NAT outbound information |
出方向動態地址轉換的配置信息,詳細字段解釋請參見“表1-9” |
|
NAT internal server information |
NAT內部服務器的配置信息,詳細字段解釋請參見“表1-14” |
|
Static NAT mappings |
靜態地址轉換的配置信息,詳細字段解釋請參見“表1-17” |
|
NAT DNS mappings |
NAT DNS mapping的配置信息,詳細字段解釋請參見“表1-4” |
|
NAT logging |
NAT日誌功能的配置信息,詳細字段解釋請參見“表1-7” |
|
NAT hairpinning |
NAT hairpin功能 |
|
Totally n interfaces enabled NAT hairpinning |
當前有n個接口開啟NAT hairpin功能 |
|
Interface |
開啟NAT hairpin功能的接口 |
|
Rule name |
NAT規則的名稱 |
|
Priority |
NAT規則的匹配優先級 |
|
Config status |
顯示NAT hairpin配置的狀態 · Active:生效 · Inactive:不生效 |
|
NAT mapping behavior |
PAT方式下的地址轉換模式 · Endpoint-Independent:表示不關心對端地址和端口 · Address and Port-Dependent:表示關心對端地址和端口 |
|
ACL |
引用的ACL編號或名稱。如果未配置,則顯示“---” |
|
Config status |
顯示NAT mapping behavior配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示NAT mapping behavior配置不生效的原因:The following items don't exist or aren't effective: ACL:引用的ACL不存在 |
|
NAT ALG |
各協議的NAT ALG功能開啟信息 |
|
NAT port block group information |
NAT端口塊組的配置信息,詳細字段解釋請參見“表1-12” |
|
NAT outbound port block group information |
NAT444端口塊靜態映射的配置信息,詳細字段解釋請參見“表1-10” |
display nat dns-map命令用來顯示NAT DNS mapping配置信息。
【命令】
display nat dns-map
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示所有NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
Totally 2 NAT DNS mappings.
Domain name : www.server.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : www.service.com
Global IP : ---
Global port : 12
Protocol : TCP(6)
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
表1-4 display nat dns-map命令顯示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping配置信息 |
|
Totally n NAT DNS mappings |
當前有n條DNS mapping配置 |
|
Domain name |
DNS域名 |
|
Global IP |
外網地址。如果配置使用的是Easy IP方式,則此處顯示指定的接口的地址。“---”表示接口下未配置外網地址 |
|
Global port |
外網端口號 |
|
Protocol |
協議名稱以及協議編號 |
|
Config status |
顯示DNS mapping配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示DNS mapping配置不生效的原因:The following items don't exist or aren't effective: interface IP address:引用的接口未配置IP地址 |
【相關命令】
· nat dns-map
display nat eim命令用來顯示NAT EIM表項信息。
【命令】
display nat eim [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
slot slot-number:顯示指定成員設備上的EIM表項信息,slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示顯示所有成員設備上的EIM表項信息。
【使用指導】
EIM表項是報文在進行Endpoint-Independent Mapping方式的PAT轉換時創建的,它記錄了內網和外網的轉換關係(內網地址和端口<-->NAT地址和端口),該表項有以下兩個作用:
· 保證後續來自相同源地址和源端口的新建連接與首次連接使用相同的轉換關係。
· 允許外網主機向NAT地址和端口發起的新建連接根據EIM表項進行反向地址轉換。
【舉例】
# 顯示1號成員設備上的NAT EIM表項信息。
<Sysname> display nat eim slot 1
Slot 1:
Local IP/port: 192.168.100.100/1024
Global IP/port: 200.100.1.100/2048
Local VPN: vpn1
Global VPN: vpn2
Protocol: TCP(6)
Local IP/port: 192.168.100.200/2048
Global IP/port: 200.100.1.200/4096
Protocol: UDP(17)
Total entries found: 2
表1-5 display nat eim命令顯示信息描述表
|
字段 |
描述 |
|
Local IP/port |
內網IP地址/端口號 |
|
Global IP/port |
外網IP地址/端口號 |
|
Local VPN |
內網地址所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
Global VPN |
外網地址所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
Protocol |
協議名稱以及協議編號 |
|
Total entries found |
當前查找到的EIM表項的個數 |
【相關命令】
· nat mapping-behavior
· nat outbound
display nat inbound命令用來顯示NAT入方向動態地址轉換的配置信息。
【命令】
display nat inbound
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示NAT入接口動態地址轉換的配置信息。
<Sysname> display nat inbound
NAT inbound information:
Totally 2 NAT inbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2038
Address group ID: 2 Address group name: b
Add route: Y NO-PAT: Y Reversible: N
VPN instance: vpn1
Rule name: abcd
Priority: 1000
Config status: Active
Interface: GigabitEthernet1/0/3
ACL: 2037
Address group ID: 1 Address group name: a
Add route: Y NO-PAT: Y Reversible: N
VPN instance: vpn2
Rule name: eif
Priority: 1001
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN, and ACL.
表1-6 display nat inbound命令顯示信息描述表
|
字段 |
描述 |
|
NAT inbound information |
NAT入方向動態地址轉換的配置信息 |
|
Totally n NAT inbound rules |
當前存在n條入入方向動態地址轉換配置 |
|
Interface |
入方向動態地址轉換配置所在的接口 |
|
ACL |
引用的ACL編號或名稱 |
|
Address group ID |
入方向動態地址轉換使用的地址組編號 |
|
Address group name |
入方向動態地址轉換使用的地址組名稱。如果沒有配置,則不顯示該字段 |
|
Add route |
是否添加路由。若其值為“Y”,則表示有報文命中此項入接口動態地址轉換配置時,設備會自動添加一條路由;否則,不添加 |
|
NO-PAT |
是否使用NO-PAT方式進行地址轉換。若其值為“Y”,則表示使用NO-PAT方式;若其值為“N”,則表示使用PAT方式 |
|
Reversible |
是否允許反向地址轉換。若其值為“Y”,則表示在某方向上發起的連接已成功建立地址轉換表項的情況下,允許反方向發起的連接使用已建立的地址轉換表項進行地址轉換;否則,不允許 |
|
VPN instance |
地址組所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
Rule name |
NAT規則的名稱 |
|
Priority |
NAT規則的匹配優先級 |
|
Config status |
顯示NAT配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示NAT入方向動態地址轉換的配置不生效的原因:The following items don't exist or aren't effective: local VPN, address group, and ACL:配置中地址組所屬的VPN實例、地址組、ACL不存在或不生效 |
【相關命令】
· nat inbound
display nat log命令用來顯示NAT日誌功能的配置信息。
【命令】
display nat log
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示NAT日誌功能的配置信息。
<Sysname> display nat log
NAT logging:
Log enable : Enabled(ACL 2000)
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Enabled(10 minutes)
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
表1-7 display nat log命令顯示信息描述表
|
字段 |
描述 |
|
NAT logging |
NAT日誌功能的配置信息 |
|
Log enable |
NAT日誌開關的開啟情況。如果NAT日誌開關處於開啟狀態,且指定了ACL,則同時顯示指定的ACL編號或名稱 |
|
Flow-begin |
NAT會話新建日誌開關的開啟情況 |
|
Flow-end |
NAT會話刪除日誌開關的開啟情況 |
|
Flow-active |
NAT活躍流日誌開關的開啟情況以及閾值信息。如果NAT活躍流日誌開關處於開啟狀態,則同時顯示配置的生成活躍流日誌的時間間隔(單位為分) |
|
Port-block-assign |
端口塊分配的NAT444用戶日誌開關的開啟情況 |
|
Port-block-withdraw |
端口塊回收的NAT444用戶日誌開關的開啟情況 |
|
Alarm |
NAT444告警信息日誌開關的開啟情況 |
【相關命令】
· nat log enable
· nat log flow-active
· nat log flow-begin
display nat no-pat命令用來顯示NAT NO-PAT表項信息。
【命令】
display nat no-pat [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
slot slot-number:顯示指定成員設備上的NO-PAT表項信息,slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示顯示所有成員設備上的NO-PAT表項信息。
【使用指導】
NO-PAT表項記錄了動態分配的一對一地址映射關係,該表項有兩個作用:
· 保證後續同方向的新連接使用與第一個連接相同的地址轉換關係。
· 反方向的新連接可以使用NO-PAT表進行地址轉換。
nat inbound和nat outbound配置的NO-PAT方式在轉換報文地址之後都需要創建NO-PAT表。這兩種配置創建的NO-PAT表類型不同,不能互相使用,因此分成兩類進行顯示。
【舉例】
# 顯示1號成員設備的NAT NO-PAT表項。
<Sysname> display nat no-pat slot 1
Slot 1:
Global IP: 200.100.1.100
Local IP: 192.168.100.100
Global VPN: vpn2
Local VPN: vpn1
Reversible: N
Type : Inbound
Local IP: 192.168.100.200
Global IP: 200.100.1.200
Reversible: Y
Type : Outbound
Total entries found: 2
表1-8 display nat no-pat命令顯示信息描述表
|
字段 |
描述 |
|
Local IP |
內網IP地址 |
|
Global IP |
外網IP地址 |
|
Local VPN |
內網地址所屬的VPN的實例名稱。如果不屬於任何VPN,則該行不顯示 |
|
Global VPN |
外網地址所屬的VPN的實例名稱。如果不屬於任何VPN,則該行不顯示 |
|
Reversible |
是否允許反向地址轉換。若其值為“Y”,則表示在某方向上發起的連接已成功建立地址轉換表項的情況下,允許反方向發起的連接使用已建立的地址轉換表項進行地址轉換 |
|
Type |
NO-PAT表項類型 · Inbound:入方向動態地址轉換過程中創建的NO-PAT表項 · Outbound:出方向動態地址轉換過程中創建的NO-PAT表項 |
|
Total entries found |
當前查找到的NO-PAT表項的個數 |
【相關命令】
· nat inbound
· nat outbound
display nat outbound命令用來顯示出方向動態地址轉換的配置信息。
【命令】
display nat outbound
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示出方向動態地址轉換的配置信息。
<Sysname> display nat outbound
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: GigabitEthernet1/0/1
ACL: 2036
Address group ID: 1 Address group name: a
Port-preserved: Y NO-PAT: N Reversible: N
Rule name: abefg
Priority: 1000
Config status: Active
Interface: GigabitEthernet1/0/2
ACL: 2037
Address group ID: 2 Address group name: b
Port-preserved: N NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Rule name: cdefg
Priority: 1001
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: global VPN, and ACL.
Interface: GigabitEthernet1/0/1
DS-Lite B4 ACL: 2100
Address group ID: 2 Address group name: b
Port-preserved: N NO-PAT: N Reversible: N
Priority: 0
Config status: Active
表1-9 display nat outbound命令顯示信息描述表
|
字段 |
描述 |
|
NAT outbound information |
出方向動態地址轉換的配置信息 |
|
Totally n NAT outbound rules |
當前存在n條出方向動態地址轉換 |
|
Interface |
出方向動態地址轉換配置所在的接口 |
|
ACL |
引用的IPv4 ACL編號或名稱。如果未配置,則顯示“---” |
|
DS-Lite B4 ACL |
DS-Lite B4引用的IPv6 ACL編號或名稱 |
|
Address group ID |
出方向動態地址轉換使用的地址組編號。如果未配置,則顯示“---” |
|
Address group name |
出方向動態地址轉換使用的地址組名稱。如果未配置,則不顯示該字段 |
|
Port-preserved |
PAT方式下,是否盡量不轉換端口 |
|
NO-PAT |
是否使用NO-PAT方式進行轉換。若其值為“N”,則表示使用PAT方式 |
|
Reversible |
是否允許反向地址轉換。若其值為“Y”,則表示在某方向上發起的連接已成功建立地址轉換表項的情況下,允許反方向發起的連接使用已建立的地址轉換表項進行地址轉換 |
|
VPN instance |
地址組所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
Rule name |
NAT規則的名稱 |
|
Priority |
NAT規則的匹配優先級 |
|
Config status |
顯示配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示配置不生效的原因 · The following items don't exist or aren't effective: global VPN, interface IP address, address group, and ACL:配置中地址組所屬的VPN實例、接口地址、地址組、ACL不存在或不生效 · NAT address conflicts:NAT地址衝突 |
【相關命令】
· nat outbound
display nat outbound port-block-group命令用來顯示NAT444端口塊靜態映射的配置信息。
【命令】
display nat outbound port-block-group
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示NAT444端口塊靜態映射的配置信息。
<Sysname> display nat outbound port-block-group
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: GigabitEthernet1/0/2
Port block group: 2
VPN instance: vpna
Rule name: abcdefg
Config status : Active
Interface: GigabitEthernet1/0/2
Port block group: 10
VPN instance: vpna
Rule name: abcfg
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
表1-10 display nat outbound port-block-group命令顯示信息描述表
|
字段 |
描述 |
|
NAT outbound port block group information |
NAT444端口塊靜態映射的配置信息 |
|
Totally n outbound port block group items |
當前存在n條NAT444端口塊靜態映射配置 |
|
Interface |
NAT444端口塊靜態映射配置所在的接口 |
|
Port block group |
端口塊組編號 |
|
VPN instance |
端口塊組所屬的VPN實例名稱。如果該接口沒有綁定任何VPN實例,則不顯示該字段 |
|
Rule name |
NAT規則的名稱 |
|
Config status |
顯示配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示配置不生效的原因:The following items don't exist or aren't effective: port block group:配置中端口塊組不存在或不生效 |
【相關命令】
· nat outbound port-block-group
display nat port-block命令用來顯示端口塊表項。
【命令】
display nat port-block { dynamic [ ds-lite-b4 ] | static } [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
dynamic:顯示動態端口塊表項。
ds-lite-b4:顯示基於DS-Lite B4地址的端口塊表項。
static:顯示靜態端口塊表項。
slot slot-number:顯示指定成員設備上的端口塊表項信息,slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示顯示所有成員設備上的端口塊表項信息。
【舉例】
# 顯示靜態端口塊表項。
<Sysname> display nat port-block static
Slot 0:
Local VPN Local IP Global IP Port block Connections
--- 100.100.100.111 202.202.100.101 10001-10256 0
--- 100.100.100.112 202.202.100.101 10257-10512 0
--- 100.100.100.113 202.202.100.101 10513-10768 0
vpn012345678 100.100.100.113 202.202.100.101 10769-11024 0
901234567890
1234567
Total entries found: 4
# 顯示動態端口塊表項。
<Sysname> display nat port-block dynamic
Slot 0:
Local VPN Local IP Global IP Port block Connections
--- 101.1.1.12 192.168.135.201 10001-11024 1
Total entries found: 1
# 顯示基於DS-Lite B4地址的端口塊表項。
<Sysname> display nat port-block dynamic ds-lite-b4
Slot 0:
Local VPN DS-Lite B4 addr Global IP Port block Connections
--- 2000::2 192.168.135.201 10001-11024 1
Total entries found: 1
表1-11 display nat port-block 命令顯示信息描述表
|
字段 |
描述 |
|
Local VPN |
私網IP地址所屬VPN,“---”表示不屬於任何VPN |
|
Local IP |
私網IP地址 |
|
DS-Lite B4 addr |
DS-Lite B4設備的IPv6地址 |
|
Global IP |
公網IP地址 |
|
Port block |
端口塊(起始端口-結束端口) |
|
Connections |
當前使用本端口塊中的端口建立的連接數 |
display nat port-block-group命令用來顯示NAT端口塊組配置信息。
【命令】
display nat port-block-group [ group-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
group-id:端口塊組的編號,取值範圍為0~65535。如果不設置該值,則顯示所有端口塊組的配置信息。
【舉例】
# 顯示所有端口塊組的配置信息。
<Sysname> display nat port-block-group
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 vpna
192.168.3.1 192.168.3.254 vpna
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 vpnb
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
# 顯示端口塊組1的配置信息。
<Sysname> display nat port-block-group 1
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 vpna
192.168.3.1 192.168.3.254 vpna
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
表1-12 display nat port-block-group 命令顯示信息描述表
|
字段 |
描述 |
|
NAT port block group information |
NAT端口塊組信息 |
|
Totally n NAT port block groups |
當前有n個端口塊組 |
|
Port block group |
端口塊組的編號 |
|
Port range |
公網地址的端口範圍 |
|
Block size |
端口塊大小 |
|
Local IP address information |
私網IP地址成員信息 |
|
Global IP pool information |
公網IP地址成員信息 |
|
Start address |
私網/公網IP地址成員的起始IP地址。如果未配置,則顯示“---” |
|
End address |
私網/公網IP地址成員的成員結束IP地址。如果未配置,則顯示“---” |
|
VPN instance |
私網IP地址成員所屬的VPN。如果未配置,則顯示“---” |
【相關命令】
· nat port-block-group
display nat port-block-usage命令用來顯示動態NAT444地址組中端口塊的使用率。
【命令】
display nat port-block-usage [ address-group group-id ] [ slot slot-number ]
【視圖】
係統視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
address-group group-id:顯示某一指定地址組的端口塊使用率。group-id表示地址組編號,取值範圍為0~65535。若不指定該參數,則顯示所有地址組的端口塊使用率。
slot slot-number:顯示指定成員設備上動態NAT444地址組中端口塊的使用率,slot-number表示設備在IRF中的成員編號。若不指定該參數,則顯示所有成員設備上動態NAT444地址組中端口塊的使用率。
【舉例】
# 顯示指定slot上動態NAT444地址組中端口塊的使用率。
<Sysname> display nat port-block-usage slot 1
Slot 1:
Address group 0 on channel 0:
Total port block entries :10
Active port block entries:9
Current port block usage :90%
Total NAT address groups found: 1
表1-13 display nat port-block-usage命令顯示信息描述表
|
字段 |
描述 |
|
Address group |
地址組的編號 |
|
channel |
FPGA(Field-Programmable Gate Array,現場可編程門陣列)編號 |
|
Total port block entries |
地址組中端口塊總數 |
|
Active port block entries |
地址組中已分配端口塊數 |
|
Current port block usage |
地址組中當前端口塊使用率 |
|
Total NAT address groups found |
當前地址組的個數 |
display nat server命令用來顯示NAT內部服務器的配置信息。
【命令】
display nat server
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示NAT內部服務器的信息。
<Sysname> display nat server
NAT internal server information:
Totally 5 internal servers.
Interface: GigabitEthernet1/0/1
Global ACL : 2000
Local IP/port : 192.168.10.1/23
Description : aaa
Rule name : cdefgab
Priority : 1000
Config status : Active
Interface: GigabitEthernet1/0/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
Description : bbb
Config status : Active
Interface: GigabitEthernet1/0/4
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Rule name : abcdef
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN.
Interface: GigabitEthernet1/0/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
Rule name : cdefg
Config status : Active
Interface: GigabitEthernet1/0/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
1.1.1.1/21 (Connections: 10)
192.168.100.200/80 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn10
Rule name : white
Config status : Active
表1-14 display nat server命令顯示信息描述表
|
字段 |
描述 |
|
NAT internal server information |
NAT內部服務器的配置信息 |
|
Totally n internal servers |
當前存在n條內部服務器配置 |
|
Interface |
內部服務器配置所在的接口 |
|
Protocol |
內部服務器的協議編號以及協議名稱 |
|
Global IP/port |
內部服務器的外網地址/端口號 · Global IP可以是單個地址,也可以是一個連續的地址段。如果使用Easy IP方式,則此處顯示指定的接口的地址;如果接口下未配置地址,則Global IP顯示為“---” · port可以是單個端口,也可以是一個連續的端口段。如果指定的協議沒有端口的概念,則port顯示為“---” |
|
Local IP/port |
對於普通內部服務器,顯示服務器的內網地址/端口號 · Local IP可以是單個地址,也可以是一個連續的地址段 · port可以是單個端口,也可以是一個連續的端口段。如果指定的協議沒有端口的概念,則port顯示為“---” 對於負載分擔內部服務器,顯示內部服務器組編號以及服務器組成員的IP地址、端口和連接數 |
|
Description |
NAT內部服務器的描述信息 |
|
Global VPN |
外網地址所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
Local VPN |
內網地址所屬的VPN實例名稱。 如果不屬於任何VPN,則不顯示該字段 |
|
ACL |
引用的ACL編號或名稱。如果未配置,則不顯示該字段 |
|
Rule name |
NAT規則的名稱 |
|
Config status |
顯示配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示配置不生效的原因 · The following items don't exist or aren't effective: local VPN, global VPN, interface IP address, server group, and ACL:配置中內網地址所屬的VPN實例、外網地址所屬的VPN實例、接口地址、服務器組、ACL不存在或不生效 · Server configuration conflicts:NAT內部服務器配置衝突 · NAT address conflicts:NAT地址衝突 |
【相關命令】
· nat server
display nat server-group命令用來顯示NAT內部服務器組的配置信息。
【命令】
display nat server-group [ group-id ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
group-id:NAT內部服務器組的編號,取值範圍為0~65535。如果不指定該參數,則顯示所有內部服務器組。
【舉例】
# 顯示所有NAT內部服務器組的配置信息。
<Sysname> display nat server-group
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
# 顯示指定NAT內部服務器組的配置信息。
<Sysname> display nat server-group 1
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
表1-15 display nat server-group命令顯示信息描述表
|
字段 |
描述 |
|
NAT server group information |
NAT內部服務器組信息 |
|
Totally n NAT server groups |
當前有n個內部服務器組 |
|
Group Number |
內部服務器組的編號 |
|
Inside IP |
內部服務器組成員在內網的IP地址。如果未配置,則顯示“---” |
|
Port |
內部服務器組成員在內網的端口。如果未配置,則顯示“---” |
|
Weight |
內部服務器組成員的權重值。如果未配置,則顯示“---” |
【相關命令】
· nat server-group
display nat session命令用來顯示NAT會話表項,即經過NAT地址轉換處理的會話。
【命令】
display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
responder:表示以響應方的信息篩選顯示NAT會話表項。若不指定該參數時,則以發起方的信息篩選顯示NAT會話表項。
source-ip source-ip:顯示指定源地址的NAT會話表項。source-ip表示源地址,該地址必須是創建NAT會話表項的報文的源地址。
destination-ip destination-ip:顯示指定目的地址的NAT會話表項。destination-ip表示目的地址,該地址必須是創建NAT會話表項的報文的目的地址。
vpn-instance vpn-instance-name:顯示指定目的VPN的NAT會話表項。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。該VPN必須是報文中攜帶的VPN。如果不指定該參數,則顯示目的IP不屬於任何VPN的NAT會話表項。
slot slot-number:顯示指定成員設備上的NAT會話表項,slot-number表示設備在IRF中的成員編號。若不指定該參數,則顯示所有成員設備上的NAT會話表項。
verbose:顯示NAT會話表項的詳細信息。如果不配置則顯示NAT會話表項的概要信息。
【使用指導】
如果不指定任何參數,則顯示所有的NAT會話表項。
【舉例】
# 顯示1號成員設備上NAT會話表項的詳細信息。
<Sysname> display nat session slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-16 display nat session命令顯示信息描述表
|
字段 |
描述 |
|
Initiator |
發起方的會話信息 |
|
Responder |
響應方的會話信息 |
|
Source IP/port |
源IP地址/端口號 |
|
Destination IP/port |
目的IP地址/端口號 |
|
DS-Lite tunnel peer |
DS-Lite隧道對端地址。會話不屬於任何DS-Lite隧道時,本字段顯示為“-” |
|
VPN instance/VLAN ID/Inline ID |
會話所屬的VPN實例/二層轉發時會話所屬的VLAN ID/二層轉發時會話所屬的INLINE。如果未指定則顯示“-/-/-” |
|
Protocol |
傳輸層協議類型,包括:DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
報文的入接口 |
|
Source security zone |
源安全域,即入接口所屬的安全域。若接口不屬於任何安全域,則顯示為“-” |
|
State |
會話狀態 |
|
Application |
應用層協議類型,取值包括:FTP、DNS等,OTHER表示未知協議類型,其對應的端口為非知名端口 |
|
Start time |
會話創建時間 |
|
TTL |
會話剩餘存活時間,單位為秒 |
|
Initiator->Responder |
發起方到響應方的報文數、報文字節數 |
|
Responder->Initiator |
響應方到發起方的報文數、報文字節數 |
|
Total sessions found |
當前查找到的會話表總數 |
【相關命令】
· reset nat session
display nat static命令用來顯示NAT靜態地址轉換的配置信息。
【命令】
display nat static
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示NAT靜態地址轉換的配置信息。
<Sysname> display nat static
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 1.1.1.1 - 1.1.1.255
Local IP : 2.2.2.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Rule name : adefg
Priority : 1000
Config status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
Global VPN : vpn3
Local VPN : vpn4
ACL : 2001
Reversible : Y
Rule name : abefg
Priority : 1000
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN, global VPN, and ACL.
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
Local VPN : vpn1
Global VPN : vpn2
ACL : 2000
Reversible : Y
Rule name : abcd
Priority : 1000
Config status: Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
Local VPN : vpn4
Global VPN : vpn3
ACL: : 2000
Reversible : Y
Rule name : defg
Priority : 1000
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN, and global VPN.
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/2
Config status: Active
Interface: GigabitEthernet1/0/3
Config status: Active
表1-17 display nat static命令顯示信息描述表
|
字段 |
描述 |
|
Static NAT mappings |
靜態地址轉換的配置信息 |
|
Totally n inbound static NAT mappings |
當前存在n條入方向靜態地址轉換的配置 |
|
Totally n outbound static NAT mappings |
當前存在n條出方向靜態地址轉換的配置 |
|
Net-to-net |
網段到網段的靜態地址轉換映射 |
|
IP-to-IP |
IP到IP的靜態地址轉換映射 |
|
Local IP |
內網IP地址或地址範圍 |
|
Global IP |
外網IP地址或地址範圍 |
|
Netmask |
IP地址掩碼 |
|
Local VPN |
內網地址所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
Global VPN |
外網地址所屬的VPN實例名稱。如果不屬於任何VPN,則不顯示該字段 |
|
ACL |
引用的ACL編號或名稱。如果未配置,則不顯示該字段 |
|
Reversible |
是否允許反向地址轉換。若其值為“Y”,則表示在某方向上發起的連接已成功建立地址轉換表項的情況下,允許反方向發起的連接使用已建立的地址轉換表項進行地址轉換 如果未配置,則不顯示該字段 |
|
Interfaces enabled with static NAT |
靜態地址轉換在接口下的開啟情況 |
|
Totally n interfaces enabled with static NAT |
當前有n個接口開啟了靜態地址轉換 |
|
Interface |
開啟靜態地址轉換功能的接口 |
|
Rule name |
NAT規則的名稱 |
|
Priority |
NAT規則的匹配優先級 |
|
Config status |
顯示配置的狀態 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
當Config status字段為Inactive時,顯示配置不生效的原因 · The following items don't exist or aren't effective: local VPN, global VPN, and ACL:配置中內網地址所屬的VPN實例、外網地址所屬的VPN實例、ACL不存在或不存在 · NAT address conflicts:NAT地址衝突 |
【相關命令】
· nat static
· nat static net-to-net
· nat static enable
display nat statistics命令用來顯示NAT統計信息。
【命令】
display nat statistics [ summary ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
summary:顯示NAT統計信息的摘要信息。不指定該參數時,顯示NAT統計信息的詳細信息。
slot slot-number:顯示指定成員設備上的NAT統計信息,slot-number表示設備在IRF中的成員編號。若不指定該參數,則顯示所有成員設備上的NAT統計信息。
【舉例】
# 顯示所有NAT統計信息的詳細信息。
<Sysname> display nat statistics
Slot 1:
Total session entries: 100
Session creation rate: 0
Total EIM entries: 1
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 10
Total dynamic port block entries: 15
Active static port block entries: 0
Active dynamic port block entries: 0
表1-18 display nat statistics命令顯示信息描述表
|
字段 |
描述 |
|
Total session entries |
NAT會話表項個數 |
|
Session creation rate |
NAT會話的新建速率 |
|
Total EIM entries |
EIM表項個數 |
|
Total inbound NO-PAT entries |
入方向的NO-PAT表項個數 |
|
Total outbound NO-PAT entries |
出方向的NO-PAT表項個數 |
|
Total static port block entries |
當前配置創建的靜態端口塊表項個數 |
|
Total dynamic port block entries |
當前配置可創建的動態端口塊表項個數,即可分配的動態端口塊總數,包括已分配的端口塊和尚未分配的端口塊 |
|
Active static port block entries |
當前正在使用的靜態端口塊表項個數 |
|
Active dynamic port block entries |
當前已創建的動態端口塊表項個數,即已分配的動態端口塊個數 |
# 顯示所有NAT統計信息的概要信息。
<Sysname> display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
2 0 0 0 1572720 0 0
表1-19 display nat statistics summary命令顯示信息描述表
|
字段 |
描述 |
|
Slot |
IRF中的成員編號 |
|
Sessions |
NAT會話表項個數 |
|
EIM |
EIM表項個數 |
|
SPB |
當前配置創建的靜態端口塊表項個數 |
|
DPB |
當前配置可創建的動態端口塊表項個數,即可分配的動態端口塊總數,包括已分配的端口塊和尚未分配的端口塊 |
|
ASPB |
當前正在使用的靜態端口塊表項個數 |
|
ADPB |
當前已創建的動態端口塊表項個數,即已分配的動態端口塊個數 |
global-ip-pool命令用來添加一個公網地址成員。
undo global-ip-pool命令用來刪除一個公網地址成員。
【命令】
global-ip-pool start-address end-address
undo global-ip-pool start-address
【缺省情況】
不存在公網地址成員。
【視圖】
NAT端口塊組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-address end-address:公網地址成員的起始IP地址和結束IP地址。end-address必須大於或等於start-address;如果start-address和end-address相同,則表示隻有一個地址。
【使用指導】
在NAT444端口塊靜態映射中,端口基於公網地址成員的IP地址為私網地址成員的IP地址分配端口塊。一個公網IP地址可對應的端口塊個數,由端口塊組配置的公網地址端口範圍和端口塊大小決定(端口範圍除以端口塊大小)。
一個端口塊組內,可以配置多個公網地址成員,但各公網地址成員之間的IP地址不能重疊。
不同端口塊組間的公網地址成員的IP地址可以重疊,但要保證在有地址重疊時端口範圍不重疊。
【舉例】
# 在端口塊組1中添加一個公網地址成員,IP地址從202.10.1.1到202.10.1.10。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] global-ip-pool 202.10.1.1 202.10.1.10
【相關命令】
· nat port-block-group
inside ip命令用來添加一個內部服務器組成員。
undo inside ip命令用來刪除一個內部服務器組成員。
【命令】
inside ip inside-ip port port-number [ weight weight-value ]
undo inside ip inside-ip port port-number
【缺省情況】
內部服務器組內沒有內部服務器組成員。
【視圖】
內部服務器組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
inside-ip:內部服務器組成員的IP地址。
port port-number:內部服務器組成員提供服務的端口號,取值範圍為1~65535(FTP數據端口號20除外)。
weight weight-value:內部服務器組成員的權重。weight-value表示權值,取值範圍為1~1000,缺省值為100。
【使用指導】
內部服務器組成員按照權重比例對外提供服務,權重值越大的內部服務器組成員對外提供服務的比重越大。
【舉例】
# 為內部服務器組1添加一個內部服務器組成員,其IP地址為10.1.1.2,服務端口號為30。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.1.1.2 port 30
【相關命令】
· nat server-group
local-ip-address命令用來添加一個私網地址成員。
undo local-ip-address命令用來刪除一個私網地址成員。
【命令】
local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
undo local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
【缺省情況】
不存在私網地址成員。
【視圖】
NAT端口塊組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-address end-address:私網地址成員的起始IP地址和結束IP地址。end-address必須大於或等於start-address;如果start-address和end-address相同,則表示隻有一個地址。
vpn-instance vpn-instance-name:私網地址成員所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示私網地址成員不屬於任何一個VPN。
【使用指導】
私網地址成員的IP地址作為端口塊的使用者,基於端口塊組配置的公網地址成員的IP地址為其分配端口塊。在一個端口塊組內,一個私網IP地址隻分配一個端口塊。
一個端口塊組內,可以配置多個私網地址成員,但各私網地址成員之間的IP地址不能重疊。
不同端口塊組間的私網地址成員的IP地址可以重疊。
如果一個端口塊組中的私網地址總數超過可分配的端口塊總數(端口範圍除以端口塊大小),則在進行NAT444端口塊靜態映射時,超出部分的私網地址將無法分配到端口塊。
【舉例】
# 在端口塊組1中添加一個私網地址成員,IP地址從172.16.1.1到172.16.1.255,所屬VPN為vpn1。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] local-ip-address 172.16.1.1 172.16.1.255 vpn-instance vpn1
【相關命令】
· nat port-block-group
nat address-group命令用來創建地址組,並進入地址組視圖。如果指定的地址組已經存在,則直接進入地址組視圖。
undo nat address-group命令用來刪除指定的地址組。
【命令】
nat address-group group-id [ name group-name ]
undo nat address-group group-id
【缺省情況】
不存在地址組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-id:地址組編號,取值範圍為0~65535。
name group-name:地址組的名稱,為1~63個字符的字符串,不區分大小寫。
【使用指導】
一個地址組是多個地址組成員的集合,各個地址組成員通過address命令配置。當需要對數據報文進行動態地址轉換時,其源地址將被轉換為地址組成員中的某個地址。
【舉例】
# 創建一個地址組,編號為1,名稱為abc。
<Sysname> system-view
[Sysname] nat address-group 1 name abc
【相關命令】
· address
· display nat address-group
· display nat all
· nat inbound
· nat outbound
nat alg命令用來開啟指定或所有協議類型的NAT ALG功能。
undo nat alg命令用來關閉指定或所有協議類型的NAT ALG功能。
【命令】
nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
undo nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
【缺省情況】
DNS、FTP、ICMP差錯報文、RTSP、PPTP協議類型的NAT ALG功能處於開啟狀態,其他協議類型的NAT ALG功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
all:所有可指定的協議的ALG功能。
dns:表示DNS協議的ALG功能。
ftp:表示FTP協議的ALG功能。
h323:表示H323協議的ALG功能。
icmp-error:表示ICMP差錯控製報文的ALG功能。
ils:表示ILS(Internet Locator Service,互聯網定位服務)協議的ALG功能。
mgcp:表示MGCP(Media Gateway Control Protocol,媒體網關控製協議)協議的ALG功能。
nbt:表示NBT(NetBIOS over TCP/IP,基於TCP/IP的網絡基本輸入輸出係統)協議的ALG功能。
pptp:表示PPTP(Point-to-Point Tunneling Protocol,點到點隧道協議)協議的ALG功能。
rsh:表示RSH(Remote Shell,遠程外殼)協議的ALG功能。
rtsp:表示RTSP(Real Time Streaming Protocol,實時流協議)協議的ALG功能。
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客戶端控製協議)協議的ALG功能。
sip:表示SIP(Session Initiation Protocol,會話初始協議)協議的ALG功能。
sqlnet:表示SQLNET協議的ALG功能。
tftp:表示TFTP協議的ALG功能。
xdmcp:表示XDMCP(X Display Manager Control Protocol,X顯示監控)協議的ALG功能。
【使用指導】
ALG(Application Level Gateway,應用層網關)主要完成對應用層報文的解析和處理。通常情況下,NAT隻對報文頭中的IP地址和端口信息進行轉換,不對應用層數據載荷中的字段進行分析和處理。然而對於一些應用層協議,它們的報文的數據載荷中可能包含IP地址或端口信息,這些載荷信息也必須進行有效的轉換,否則可能導致功能不正常。
例如,FTP應用由數據連接和控製連接共同完成,而數據連接使用的地址和端口由控製連接協商報文中的載荷信息決定,這就需要ALG利用NAT的相關轉換配置來完成載荷信息的轉換,以保證後續數據連接的正確建立。
【舉例】
# 開啟FTP協議的ALG功能。
<Sysname> system-view
[Sysname] nat alg ftp
【相關命令】
· display nat all
nat dns-map命令用來配置一條域名到內部服務器的映射。
undo nat dns-map命令用來刪除一條域名到內部服務器的映射。
【命令】
nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port
undo nat dns-map domain domain-name
【缺省情況】
不存在域名到內部服務器的映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
domain domain-name:指定內部服務器的合法域名。domain-name表示內部服務器的域名,由“.”分隔的字符串組成(如aabbcc.com),每個字符串的長度不超過63個字符,包括“.”在內的總長度不超過253個字符。不區分大小寫,字符串中可以包含字母、數字、“-”、“_”或“.”。
protocol pro-type:指定內部服務器的協議類型。pro-type表示具體的協議類型,取值為tcp或udp。
interface interface-type interface-number:表示使用指定接口的地址作為內部服務器的外網地址。interface-type interface-number表示接口類型和接口編號。
ip global-ip:指定內部服務器提供給外部網絡訪問的IP地址。global-ip表示外網IP地址。
port global-port:指定內部服務器提供給外部網絡訪問的服務端口號,可輸入的形式如下:
· 數字:取值範圍為1~65535。
· 協議名稱:為1~15個字符的字符串,例如ftp、telnet等。
【使用指導】
NAT的DNS mapping功能需要和內部服務器配合使用,主要應用於DNS服務器在外網,應用服務器在內網(在NAT設備上有對應的nat server配置),內網用戶需要通過域名訪問內網應用服務器的場景。NAT設備對來自外網的DNS響應報文進行DNS ALG處理時,由於載荷中隻包含域名和應用服務器的外網IP地址(不包含傳輸協議類型和端口號),當接口上存在多條NAT服務器配置且使用相同的外網地址而內網地址不同時,DNS ALG僅使用IP地址來匹配內部服務器可能會得到錯誤的匹配結果。因此需要借助DNS mapping的配置,指定域名與應用服務器的外網IP地址、端口和協議的映射關係,由域名獲取應用服務器的外網IP地址、端口和協議,進而(在當前NAT接口上)精確匹配內部服務器配置獲取應用服務器的內網IP地址。
設備可支持配置多條域名到內部服務器的映射。
【舉例】
# 某公司內部對外提供Web服務,內部服務器的域名為www.server.com,對外的IP地址為202.112.0.1,服務端口號為12345。配置一條域名到內部服務器的映射,使得公司內部用戶可以通過域名訪問內部Web服務器。
<Sysname> system-view
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port 12345
【相關命令】
· display nat all
· display nat dns-map
· nat server
nat hairpin enable命令用來開啟NAT hairpin功能。
undo nat hairpin enable用來關閉NAT hairpin功能。
【命令】
nat hairpin enable
undo nat hairpin enable
【缺省情況】
NAT hairpin功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
NAT hairpin功能用於滿足位於內網側的用戶之間或用戶與服務器之間通過NAT地址進行訪問的需求,需要與內部服務器(nat server)、出方向動態地址轉換(nat outbound)或出方向靜態地址轉換(nat static outbound)配合工作。開啟NAT hairpin的內網側接口上會對報文同時進行源地址和目的地址的轉換。
【舉例】
# 在GigabitEthernet1/0/1接口下開啟NAT hairpin功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat hairpin enable
【相關命令】
· display nat all
nat icmp-error reply命令用來開啟NAT轉換失敗時發送ICMP差錯報文功能。
undo nat icmp-error reply命令用來恢複缺省情況。
【命令】
nat icmp-error reply
undo nat icmp-error reply
【缺省情況】
NAT轉換失敗不發送ICMP差錯報文。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
缺省情況下,設備在NAT轉換失敗時,不發送ICMP差錯報文,既可以減少網絡上的無用報文,節約帶寬,還可以避免將防火牆IP地址暴露在公網側。
使用traceroute功能時,需要用到ICMP差錯報文,需要開啟發送ICMP差錯報文的功能。
【舉例】
# 開啟設備在NAT轉換失敗時,發送ICMP差錯報文功能。
<Sysname> system-view
[Sysname] nat icmp-error reply
nat inbound命令用來配置入方向動態地址轉換。
undo nat inbound命令用來刪除指定的入方向動態地址轉換。
【命令】
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ]
undo nat inbound { ipv4-acl-number | name ipv4-acl-name }
【缺省情況】
不存在入方向動態地址轉換配置。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-acl-number:ACL的編號,取值範圍為2000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
address-group:指定地址轉換使用的地址組。
group-id:地址組的編號,取值範圍為0~65535。
group-name:地址組的名稱,為1~63個字符的字符串,不區分大小寫。
vpn-instance vpn-instance-name:指定地址組中的地址所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示地址組中的地址不屬於任何一個VPN。
no-pat:表示使用NO-PAT方式進行轉換,即轉換時不使用報文的端口信息。如果未指定本參數,則表示使用PAT方式進行轉換,即轉換時使用報文的端口信息。PAT方式僅支持TCP、UDP和ICMP查詢報文,由於ICMP報文沒有端口的概念,我們將ICMP ID作為ICMP報文的源端口。
reversible:表示允許反向地址轉換。即,在外網用戶主動向內網發起連接並成功觸發建立地址轉換表項的情況下,允許內網向該外網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換。
add-route:為轉換後的地址添加路由表,其目的地址是轉換後的地址,出接口為進行地址轉換的接口,下一跳為該報文轉換前的源地址。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
description text:配置入方向動態地址轉換的描述信息,text為1~63個字符的字符串,不區分大小寫。
【使用指導】
從配置了入方向地址轉換的接口接收到的符合ACL permit規則的報文,會使用地址組group-id中的地址進行源地址轉換。
入方向地址轉換有兩種轉換方式:
· PAT方式:對於從外網到內網的報文,如果符合ACL,則使用地址組中的地址進行源地址轉換,同時轉換源端口(IP1/port1轉換為IP2/port2)。
· NO-PAT方式:對於從外網到內網的報文,如果符合ACL,則使用地址組中的地址進行源地址轉換,不轉換源端口(IP1轉換為IP2);如果用戶配置了reversible,則允許內網通過IP2主動訪問外網,對於此類訪問報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並將目的地址轉換為IP1,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能進行轉換(將目的地址IP2轉換為IP1),否則不予轉換。
nat inbound命令通常與nat outbound、nat server或nat static配合使用,用於支持在外網側口上對報文同時進行源和目的轉換,即雙向NAT。
指定入方向和出方向動態地址轉換引用的地址組時,需要注意:
· 一個地址組被nat inbound配置引用後,就不能再被nat outbound配置引用。
· 一個地址組被PAT方式的nat inbound配置引用後,不能再被NO-PAT方式的nat inbound配置引用,反之亦然。
add-route參數不能應用在內網與外網地址重疊的組網場景中。在其他組網場景中:
· 如果指定了add-route參數,則有報文命中該配置時,設備會自動添加路由表項:目的地址為本次地址轉換使用的地址組中的地址,出接口為本配置所在接口,下一跳地址為報文的源地址;
· 如果沒有指定add-route參數,則用戶需要在設備上手工添加路由。由於自動添加路由表項速度較慢,通常建議手工添加路由。
在一個接口下,一個ACL隻能被一個nat inbound引用。
一個接口下可同時配置多條入方向地址轉換。
在VPN組網中,配置入方向動態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
對於入方向動態地址轉換,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 配置ACL 2001,允許對VPN實例vpn10內10.110.10.0/24網段的主機進行地址轉換。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit vpn-instance vpn10 source 10.110.10.0 0.0.0.255
[Sysname-acl-ipv4-basic-2001] rule deny
[Sysname-acl-ipv4-basic-2001] quit
# 配置VPN實例vpn10。
[Sysname] ip vpn-instance vpn10
[Sysname-vpn-instance-vpn10] route-distinguisher 100:001
[Sysname-vpn-instance-vpn10] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance-vpn10] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance-vpn10] quit
# 配置地址組1,並添加地址組成員:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] nat address-group 1
[Sysname-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-address-group-1] quit
# 在接口GigabitEthernet1/0/1上配置入方向動態地址轉換,使用地址組1中的地址進行地址轉換,在轉換的時候不使用TCP/UDP的端口信息,且需要添加路由。同時指定該入方向動態NAT規則的名稱為abc,匹配優先級為0。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat inbound 2001 address-group 1 vpn-instance vpn10 no-pat add-route rule abc priority 0
【相關命令】
· display nat all
· display nat inbound
· display nat no-pat
nat inbound rule move命令用來調整入方向動態NAT規則的匹配優先級。
【命令】
nat inbound rule move nat-rule-name1 { after | before } nat-rule-name2
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
nat-rule-name1:要移動的NAT規則的名稱。
after:將nat-rule-name1移動到nat-rule-name2後麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值+1。
before:將nat-rule-name1移動到nat-rule-name2前麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值-1。
nat-rule-name2:要移動的NAT規則的名稱。
【使用指導】
本命令僅對指定了NAT規則名稱的入方向動態NAT生效。
對於被移動到前麵的NAT規則,設備將會優先進行匹配。
【舉例】
# 將入方向動態NAT規則abc移動到入方向動態NAT規則def的前麵。
<Sysname> nat inbound rule move abc before def
【相關命令】
· nat inbound
nat log alarm命令用來開啟NAT告警信息日誌功能。
undo nat log alarm命令用來關閉NAT告警信息日誌功能。
【命令】
nat log alarm
undo nat log alarm
【缺省情況】
NAT告警信息日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對於NAT444告警日誌,在配置NAT告警信息日誌功能前,必須先配置將用戶定製日誌發送到日誌主機的功能,否則無法產生NAT444告警信息日誌。詳細配置請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟NAT告警信息日誌功能。
<Sysname> system-view
[Sysname] nat log alarm
【相關命令】
· display nat all
· display nat log
· nat log enable
nat log enable命令用來開啟NAT日誌功能。
undo nat log enable用來關閉NAT日誌功能。
【命令】
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat log enable
【缺省情況】
NAT日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
acl:指定ACL的編號或名稱。
ipv4-acl-number:ACL的編號,取值範圍為2000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
【使用指導】
必須開啟NAT日誌功能,NAT會話日誌功能(包括NAT新建會話、NAT刪除會話和NAT活躍流的日誌功能)、NAT444用戶日誌功能(包括NAT444端口塊分配和NAT444端口塊回收的日誌功能)和NAT告警信息日誌功能才能生效。
acl參數隻對NAT會話日誌功能有效,對其他NAT日誌功能無效。如果指定了ACL,則隻有符合ACL permit規則的數據流才有可能觸發輸出NAT會話日誌;如果沒有指定ACL,則表示對所有被NAT處理過的數據流都有可能觸發輸出NAT會話日誌。
【舉例】
# 開啟NAT日誌功能。
<Sysname> system-view
[Sysname] nat log enable
【相關命令】
· display nat all
· display nat log
· nat log alarm
· nat log flow-active
· nat log flow-begin
· nat log flow-end
· nat log port-block-assign
· nat log port-block-withdraw
nat log flow-active命令用來開啟NAT活躍流日誌功能,並設置生成活躍流日誌的時間間隔。
undo nat log flow-active命令用來關閉NAT活躍流的日誌功能。
【命令】
nat log flow-active time-value
undo nat log flow-active
【缺省情況】
NAT活躍流的日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
time-value:表示觸發輸出NAT活躍流日誌的時間間隔,取值範圍為10~120,單位為分鍾。
【使用指導】
對於一些長時間沒有斷開的NAT會話(即活躍流),如果需要定期記錄其連接情況,則可以通過活躍流日誌功能來實現。
開啟NAT活躍流日誌功能後,對於NAT活躍流,每經過指定的時間間隔,設備就會記錄一次NAT日誌。
隻有開啟NAT日誌功能之後,活躍流日誌功能才能生效。
【舉例】
# 開啟NAT活躍流日誌功能,並設置輸出NAT活躍流日誌的時間間隔為10分鍾。
<Sysname> system-view
[Sysname] nat log flow-active 10
【相關命令】
· display nat all
· display nat log
· nat log enable
nat log flow-begin命令用來開啟NAT新建會話的日誌功能,即新建NAT會話時,輸出NAT日誌。
undo nat log flow-begin命令用來關閉NAT新建會話的日誌功能。
【命令】
nat log flow-begin
undo nat log flow-begin
【缺省情況】
NAT新建會話的日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有開啟NAT日誌功能之後,NAT新建會話的日誌功能才能生效。
【舉例】
# 開啟NAT新建會話的日誌功能。
<Sysname> system-view
[Sysname] nat log flow-begin
【相關命令】
· display nat all
· display nat log
· nat log enable
nat log flow-end命令用來開啟NAT刪除會話的日誌功能。
undo nat log flow-end命令用來關閉NAT刪除會話的日誌功能。
【命令】
nat log flow-end
undo nat log flow-end
【缺省情況】
NAT刪除會話的日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
隻有開啟NAT日誌功能之後,NAT刪除會話的日誌功能才能生效。
【舉例】
# 開啟NAT刪除會話的日誌功能。
<Sysname> system-view
[Sysname] nat log flow-end
【相關命令】
· display nat all
· display nat log
· nat log enable
nat log port-block usage threshold命令用來配置動態NAT444端口塊使用率的閾值。
undo nat log port-block usage threshold命令用來恢複缺省情況。
【命令】
nat log port-block usage threshold threshold-value
undo nat log port-block usage threshold
【缺省情況】
動態NAT444的端口塊使用率的閾值為90%。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
threshold-value:端口使用率的閾值,為百分比數值,取值範圍為40~100。
【使用指導】
創建動態端口塊表項時,若端口塊的使用率大於閾值,係統會輸出告警日誌。
【舉例】
# 配置動態NAT444端口塊使用率的閾值為60%。
<Sysname> system-view
[Sysname] nat log port-block usage threshold 60
nat log port-block-assign命令用來開啟端口塊分配的NAT444用戶日誌功能。
undo nat log port-block-assign命令用來關閉端口塊分配的NAT444用戶日誌功能。
【命令】
nat log port-block-assign
undo nat log port-block-assign
【缺省情況】
端口塊分配的NAT444用戶日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
端口塊靜態映射方式下,在某私網IP地址的第一個新建連接通過端口塊進行地址轉換時,如果開啟了端口塊分配的NAT444用戶日誌功能,則會輸出日誌。
端口塊動態映射方式下,在為某私網IP地址分配端口塊或增量端口塊時,如果開啟了端口塊分配的NAT444用戶日誌功能,則會輸出日誌。
隻有開啟NAT日誌功能之後,端口塊分配的NAT444用戶日誌功能才能生效。
【舉例】
# 開啟端口塊分配的NAT444用戶日誌功能。
<Sysname> system-view
[Sysname] nat log port-block-assign
【相關命令】
· display nat all
· display nat log
· nat log enable
nat log port-block-withdraw命令用來開啟端口塊回收的NAT444用戶日誌功能。
undo nat log port-block-withdraw命令用來關閉端口塊回收的NAT444用戶日誌功能。
【命令】
nat log port-block-withdraw
undo nat log port-block-withdraw
【缺省情況】
端口塊回收的NAT444用戶日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
端口塊靜態映射方式下,在某私網IP地址的最後一個連接拆除時,如果開啟了端口塊回收的NAT444用戶日誌功能,則會輸出日誌。
端口塊動態映射方式下,在釋放端口塊資源(並刪除端口塊表項)時,如果開啟了端口塊回收的NAT444用戶日誌功能,則會輸出日誌。
隻有開啟NAT日誌功能之後,端口塊回收的NAT444用戶日誌功能才能生效。
【舉例】
# 開啟端口塊回收的NAT444用戶日誌功能。
<Sysname> system-view
[Sysname] nat log port-block-withdraw
【相關命令】
· display nat all
· display nat log
· nat log enable
nat mapping-behavior命令用來配置PAT方式出方向動態地址轉換的模式。
undo nat mapping-behavior命令用來恢複缺省情況。
【命令】
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat mapping-behavior endpoint-independent
【缺省情況】
PAT出方向動態方式地址轉換的模式為Address and Port-Dependent Mapping。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
acl:指定ACL的編號或名稱,用於控製需要遵守指定地址轉換模式的報文範圍。
ipv4-acl-number:ACL的編號,取值範圍為2000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
【使用指導】
PAT方式出方向動態地址轉換支持兩種模式:
· Endpoint-Independent Mapping(不關心對端地址和端口的轉換模式):隻要是來自相同源地址和源端口號的報文,不論其目的地址是否相同,通過PAT映射後,其源地址和源端口號都被轉換為同一個外部地址和端口號,該映射關係會被記錄下來並生成一個EIM表項;並且NAT網關設備允許外部網絡的主機通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式可以很好的支持位於不同NAT網關之後的主機間進行互訪。
· Address and Port-Dependent Mapping(關心對端地址和端口的轉換模式):對於來自相同源地址和源端口號的報文,若其目的地址和目的端口號不同,由於相同的源地址和源端口號不要求被轉換為相同的外部地址和端口號,所以通過PAT映射後,相同的源地址和源端口號通常會被轉換成不同的外部地址和端口號。並且NAT網關設備隻允許這些目的地址對應的外部網絡的主機才可以通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式安全性好,但是不便於位於不同NAT網關之後的主機間進行互訪。
該配置隻對出方向動態地址轉換的PAT方式起作用。入方向動態地址轉換的PAT方式的轉換模式始終為 Address and Port-Dependent Mapping。
如果配置了acl參數,則表示隻有符合ACL permit規則的報文才采用Endpoint-Independent Mapping模式進行地址轉換;如果沒有配置acl參數,則表示所有的報文都采用Endpoint-Independent Mapping模式進行地址轉換。
【舉例】
# 對所有報文都以Endpoint-Independent Mapping模式進行地址轉換。
<Sysname> system-view
[Sysname] nat mapping-behavior endpoint-independent
# 僅對FTP和HTTP報文才以Endpoint-Independent Mapping模式進行地址轉換,其它報文采用Address and Port-Dependent Mapping模式進行地址轉換。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 21
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] nat mapping-behavior endpoint-independent acl 3000
【相關命令】
· nat outbound
· display nat eim
nat outbound命令用來配置出方向動態地址轉換。
undo nat outbound命令用來刪除指定的出方向動態地址轉換。
【缺省情況】
不存在動態地址轉換配置。
【命令】
· NO-PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
· PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv4-acl-number:ACL的編號,取值範圍為2000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
address-group:指定地址轉換使用的地址組。如果不指定該參數,則直接使用該接口的IP地址作為轉換後的地址,即實現Easy IP功能。
group-id:地址組的編號,取值範圍為0~65535。
group-name:地址組的名稱,為1~63個字符的字符串,不區分大小寫。
vpn-instance vpn-instance-name:指定地址組中的地址所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示地址組中的地址不屬於任何一個VPN。
no-pat:表示使用NO-PAT方式進行轉換,即轉換時不使用報文的端口信息;如果未指定本參數,則表示使用PAT方式進行轉換,即轉換時使用報文的端口信息。PAT方式僅支持TCP、UDP和ICMP查詢報文,由於ICMP報文沒有端口的概念,我們將ICMP ID作為ICMP報文的源端口。
reversible:表示允許反向地址轉換。即,在內網用戶主動向外網發起連接並成功觸發建立地址轉換表項的情況下,允許外網向該內網用戶發起的連接使用已建立的地址轉換表項進行目的地址轉換。
port-preserved:PAT方式分配端口時盡量不轉換端口。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
description text:配置出方向動態地址轉換的描述信息,text為1~63個字符的字符串,不區分大小寫。
【使用指導】
一般情況下,出方向動態地址轉換配置在和外部網絡連接的接口上。動態地址轉換有兩種轉換方式:
· PAT方式:對於從內網到外網的報文,如果符合ACL permit規則,則使用地址組中的地址或該接口的地址(Easy IP方式)進行源地址轉換,同時轉換源端口(IP1/port1轉換為IP2/port2);如果同時配置了PAT方式下的地址轉換模式為EIM(Endpoint-Independent Mapping),則外網可以通過IP2/port2主動訪問內網,NAT設備根據EIM表項轉換目的地址和端口(IP2/port2轉換為IP1/port1)。
· NO-PAT方式:對於從內網到外網的報文,如果符合ACL permit規則,則使用地址組中的地址進行源地址轉換,不轉換源端口(IP1轉換為IP2);如果同時配置了reversible,則允許外網通過IP2主動訪問內網,對於此類報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並將目的地址轉換為IP1,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能進行轉換(將目的地址IP2轉換為IP1),否則不予轉換。NAT444端口塊動態映射不支持該方式。
一個接口下可同時配置多條出方向地址轉換。
指定出方向和入方向動態地址轉換引用的地址組時,需要注意:
· 一個地址組被nat outbound配置引用後,不能再被nat inbound引用。
· 一個地址組被PAT方式的nat outbound配置引用後,不能再被NO-PAT方式的nat outbound配置引用,反之亦然。
· 如果PAT方式的nat outbound所引用的地址組中配置了端口塊參數,則將對匹配的報文進行NAT444端口塊動態映射。port-preserved參數對NAT444端口塊動態映射無效。
指定出方向動態地址轉換引用的ACL時,需要注意:
· 在一個接口下,一個ACL隻能被一個nat outbound引用。
· 配置多條出方向動態地址轉換時,隻有一個nat outbound可以不引用ACL。
· 不指定ACL編號或名稱的情況下,不對轉換對象進行限製。
· 對於同一接口下的出方向動態地址轉換配置,指定了ACL的配置的優先級高於未指定ACL的配置的優先級;對於指定了ACL的出方向動態地址轉換配置,其生效優先級由ACL編號的大小決定,編號越大,優先級越高。
在VPN組網中,配置出方向動態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
對於引用了ACL的出方向動態地址轉換,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 配置ACL 2001,允許對10.110.10.0/24網段的主機報文進行地址轉換。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-ipv4-basic-2001] rule deny
[Sysname-acl-ipv4-basic-2001] quit
# 配置地址組1,並添加地址組成員:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] nat address-group 1
[Sysname-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-address-group-1] quit
# 在接口GigabitEthernet1/0/1上配置出方向動態地址轉換,允許對匹配ACL 2001的報文使用地址組1中的地址進行地址轉換,且在轉換的時候使用TCP/UDP的端口信息。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001 address-group 1
[Sysname-GigabitEthernet1/0/1] quit
# 如果在接口GigabitEthernet1/0/1上不使用TCP/UDP的端口信息進行地址轉換,可以使用如下配置。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001 address-group 1 no-pat
[Sysname-GigabitEthernet1/0/1] quit
# 如果直接使用接口GigabitEthernet1/0/1接口的IP地址進行地址轉換,可以使用如下的配置。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet 1/0/1] nat outbound 2001
[Sysname-GigabitEthernet 1/0/1] quit
# 內網10.110.10.0/24網段的主機使用地址組1中的地址作為轉換後的地址訪問外部網絡。如果要在內網用戶向外網主動發起訪問之後,允許外網用戶主動向10.110.10.0/24網段的主機發起訪問,並利用已建立的地址轉換表項進行反向地址轉換,可以使用如下配置。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001 address-group 1 no-pat reversible
【相關命令】
· display nat eim
· display nat outbound
· nat mapping-behavior
nat outbound ds-lite-b4命令用來配置DS-Lite B4端口塊映射。
undo nat outbound ds-lite-b4命令用來刪除指定的DS-Lite B4端口塊映射。
【命令】
nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id
undo nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name }
【缺省情況】
不存在DS-Lite B4端口塊映射。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-acl-number:用於匹配B4設備IPv6地址的IPv6 ACL編號,取值範圍為2000~2999。
name ipv6-acl-name:用於匹配B4設備IPv6地址的IPv6 ACL名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
address-group group-id:指定地址轉換使用的地址組。group-id為地址組的編號,取值範圍為0~65535。目前僅支持端口塊動態映射方式的地址組,因此指定的NAT地址組中必須配置端口塊參數,否則配置不生效。
【使用指導】
在使用DS-Lite隧道技術實現通過IPv6網絡連接IPv4網絡的組網環境下,DS-Lite B4端口塊映射配置在NAT444網關設備連接外部網絡的接口上,通常用於在NAT444網關設備已知B4設備或DS-Lite主機的IPv6地址的情況下為DS-Lite用戶提供NAT地址轉換。
【舉例】
# 配置IPv6 ACL 2100,允許對2000::/64網段的主機報文進行地址轉換。
<Sysname> system-view
[Sysname] acl ipv6 basic 2100
[Sysname-acl-ipv6-basic-2100] rule permit source 2000::/64
[Sysname-acl-ipv6-basic-2100] quit
# 配置地址組1,並添加地址組成員:202.110.10.10~202.110.10.12。
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] address 202.110.10.10 202.110.10.12
# 配置地址組1的端口塊參數,端口塊大小為256。
[Sysname-nat-address-group-1] port-block block-size 256
[Sysname-nat-address-group-1] quit
# 在接口GigabitEthernet1/0/1上配置DS-Lite B4端口塊映射,允許對匹配IPv6 ACL 2100的報文使用地址組1中的地址進行地址轉換。
[Sysname] interface ethernet 1/1
[Sysname-GigabitEthernet1/0/1] nat outbound ds-lite-b4 2100 address-group 1
【相關命令】
· display nat outbound
nat outbound port-block-group命令用來配置NAT444端口塊靜態映射。
undo nat outbound port-block-group命令用來刪除指定的NAT444端口塊靜態映射配置。
【命令】
nat outbound port-block-group group-id [ rule rule-name ]
undo nat outbound port-block-group group-id
【缺省情況】
不存在NAT444端口塊靜態映射配置。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-id:端口塊組的編號,取值範圍為0~65535。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定該參數,則表示該規則無名稱。
【使用指導】
該配置在接口下引用指定的端口塊組,根據端口塊組內的配置數據,按照固定的算法為每個私網IP地址分配一個靜態端口塊並創建靜態端口塊表項。當某私網IP地址向公網發起連接時,通過該私網IP地址查找靜態端口塊表項,使用表項中記錄的公網IP地址進行地址轉換,並從對應的端口塊中動態分配一個端口進行TCP/UDP端口轉換。
一個接口下可以配置多條基於不同端口塊組的NAT444端口塊靜態映射。
IRF組網環境下,還需要通過命令ip fast-forwarding load-sharing配置負載分擔,否則會導致端口分配衝突。
【舉例】
# 在接口GigabitEthernet1/0/1的出方向上配置基於端口組1的NAT444端口塊靜態映射。同時指定該NAT444端口塊靜態映射規則的名稱為abc。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound port-block-group 1 rule abc
【相關命令】
· display nat all
· display nat outbound port-block-group
· display nat port-block
· nat port-block-group
nat outbound rule move命令用來調整出方向動態NAT規則的匹配優先級。
【命令】
nat outbound rule move nat-rule-name1 { after | before } nat-rule-name2
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
nat-rule-name1:要移動的NAT規則的名稱。
after:將nat-rule-name1移動到nat-rule-name2後麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值+1。
before:將nat-rule-name1移動到nat-rule-name2前麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值-1。
nat-rule-name2:要移動的NAT規則的名稱。
【使用指導】
本命令僅對指定了NAT規則名稱的出方向動態NAT生效。
對於被移動到前麵的NAT規則,設備將會優先進行匹配。
【舉例】
# 將出方向動態NAT規則abc移動到出方向動態NAT規則def的前麵。
<Sysname> nat outbound rule move abc before def
【相關命令】
· nat outbound
nat port-block global-share enable命令用來開啟端口塊全局共享功能。
undo nat port-block global-share enable命令用來關閉端口塊全局共享功能。
【命令】
nat port-block global-share enable
undo nat port-block global-share enable
【缺省情況】
端口塊全局共享功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
在已配置NAT444端口塊動態映射的情況下,當同一個源IP地址的報文從不同出接口進行NAT地址轉換時,可能會分配到不同的端口塊。如果需要使同一個源IP地址分配到相同的端口塊,請開啟端口塊全局共享功能。
【舉例】
# 開啟端口塊全局共享功能。
<Sysname> system-view
[Sysname] nat port-block global-share enable
【相關命令】
· port-block
nat port-block synchronization enable命令用來開啟NAT444業務熱備份功能。
undo nat port-block synchronization enable命令用來關閉NAT444業務熱備份功能。
【命令】
nat port-block synchronization enable
undo nat port-block synchronization enable
【缺省情況】
NAT444業務熱備份功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
在業務熱備份環境中,通過開啟NAT444業務熱備份功能,可以實現主備切換後動態NAT444端口塊表項一致。
【舉例】
# 開啟NAT444業務熱備份功能。
<Sysname> system-view
[Sysname] nat port-block synchronization enable
nat port-block-group命令用來創建NAT端口塊組,並進入NAT端口塊組視圖。如果指定的NAT端口塊組已經存在,則直接進入NAT端口塊組視圖。
undo nat port-block-group命令用來刪除指定的NAT端口塊組。
【命令】
nat port-block-group group-id
undo nat port-block-group group-id
【缺省情況】
不存在NAT端口塊組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-id:NAT端口塊組的編號,取值範圍為0~65535。
【使用指導】
創建的NAT端口塊組用於配置NAT444端口塊靜態映射。一個端口塊組中包含如下內容:
· 一個或多個私網地址成員,通過local-ip-address命令配置。
· 一個或多個公網地址成員,通過global-ip-pool命令配置。
· 公網地址的端口範圍,通過port-range命令配置。
· 端口塊大小,通過block-size命令配置。
在進行NAT444端口塊靜態映射時,係統根據相應端口塊組的配置計算出私網IP地址到公網IP地址、端口塊的靜態映射關係,並創建靜態端口塊表項。
【舉例】
# 創建一個NAT端口塊組,編號為1。
<Sysname>system-view
[Sysname]nat port-block-group 1
[Sysname-port-block-group-1]
【相關命令】
· block-size
· display nat all
· display nat port-block-group
· global-ip-pool
· local-ip-address
· nat outbound port-block-group
· port-range
nat port-load-balance enable命令用來開啟NAT端口負載分擔功能。
undo nat port-load-balance enable命令用來關閉NAT端口負載分擔功能。
【命令】
nat port-load-balance enable slot slot-number
undo nat port-load-balance enable slot slot-number
【缺省情況】
NAT端口負載分擔功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
slot slot-number:指定使用數值較小的一半端口的成員設備,slot-number表示設備在IRF中的成員編號。
【使用指導】
在雙機熱備的負載分擔場景下,開啟NAT端口負載分擔功能後,兩台設備各獲得一半端口塊資源,使相同私網IP地址在不同的成員設備上獨占一定的端口資源,避免端口分配衝突。
在雙機熱備的主備備份場景下或者設備工作於獨立運行模式下時,不需要配置此命令。
【舉例】
# 開啟NAT端口負載分擔功能,並指定1號成員設備使用數值較小的一半端口。
<Sysname> system
[Sysname] nat port-load-balance enable slot 1
【相關命令】
· nat port-block synchronization enable
nat redirect reply-route enable命令用來開啟反向報文的重定向功能。
undo nat redirect reply-route enable命令用來關閉反向報文的重定向功能。
【命令】
nat redirect reply-route enable
undo nat redirect reply-route enable
【缺省情況】
反向報文的重定向功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
通過在設備的出接口開啟反向報文的重定向功能,使出接口收到反向報文後查詢NAT會話表項,根據NAT會話表項記錄的信息將反向報文的目的IP地址進行NAT地址轉換,從而使反向報文通過接收正向報文的隧道發送出去。
【舉例】
# 開啟接口GigabitEthernet1/0/2上的反向報文的重定向功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] nat redirect reply-route enable
nat server命令用來配置NAT內部服務器,即定義內部服務器的外網地址和端口與內網地址和端口的映射表項。
undo nat server命令用來刪除指定的內部服務器配置。
【命令】
(1) 普通內部服務器
· 外網地址單一,未使用外網端口或外網端口單一
nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ] [ rule rule-name ] [ disable ] [ description text ]
undo nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外網地址單一,外網端口連續
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ]
· 外網地址連續,未使用外網端口或外網端口單一
nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ]
undo nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外網地址連續,外網端口單一
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside local-address local-port1 local-port2 [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ]
undo nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ]
(2) 負載均衡內部服務器
nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ]
undo nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ]
(3) 基於ACL的內部服務器
nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ]
undo nat server global { ipv4-acl-number | name ipv4-acl-name }
【缺省情況】
不存在內部服務器。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
protocol pro-type:指定協議類型。隻有當協議類型是TCP、UDP協議時,配置的內部服務器才能帶端口參數。如果不指定協議類型,則表示對所有協議類型的報文都生效。pro-type可輸入以下形式:
· 數字:取值範圍為1~255。
· 協議名稱:取值包括icmp、tcp和udp。
global-address:內部服務器向外提供服務時對外公布的外網IP地址。
global-address1、global-address2:外網IP地址範圍,所包含的地址數目不能超過10000。global-address1表示起始地址,global-address2表示結束地址。global-address2必須大於global-address1。
global:指定ACL的編號或名稱。隻有與指定的ACL permit規則匹配的報文才可以進行目的地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為2000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
current-interface:使用當前接口的地址作為內部服務器的外網地址,即實現Easy IP方式的內部服務器。
interface interface-type interface-number:表示使用指定接口的地址作為內部服務器的外網地址,即實現Easy IP方式的內部服務器。interface-type interface-number表示接口類型和接口編號。目前隻支持Loopback接口。
global-port1、global-port2:外網端口範圍,和內部主機的IP地址範圍構成一一對應的關係。global-port1表示起始端口,global-port2表示結束端口。global-port2必須大於global-port1,且端口範圍中的端口數目不能大於10000。外網端口可輸入以下形式:
· 數字:取值範圍為1~65535。起始端口和結束端口均支持此形式。
· 協議名稱:為1~15個字符的字符串,例如http、telnet等。僅起始端口支持該形式。
local-address1、local-address2:定義一組連續的內網IP地址範圍,和外網端口範圍構成一一對應的關係。local-address1表示起始地址,local-address2表示結束地址。local-address2必須大於local-address1。該地址範圍的數量必須和global-port1、global-port2定義的端口數量相同。
local-port:內部服務器的內網端口號,可輸入以下形式:
· 數字:取值範圍為1~65535(FTP數據端口號20除外)。
· 協議名稱:為1~15個字符的字符串,例如http、telnet等。
global-port:外網端口號,缺省值以及取值範圍的要求和local-port的規定一致。
local-address:服務器的內網IP地址。
vpn-instance global-vpn-instance-name:對外公布的外網地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示對外公布的外網地址不屬於任何一個VPN。
vpn-instance local-vpn-instance-name:內部服務器所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內部服務器不屬於任何一個VPN。
server-group group-id:服務器在內網所屬的服務器組。若指定了該參數,則表示要配置一個負載分擔內部服務器。group-id表示內部服務器組的編號,取值範圍為0~65535。
acl:指定ACL的編號或名稱。若指定了該參數,則表示與指定的ACL permit規則匹配的報文才可以使用內部服務器的映射表進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為2000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示支持私網側內部服務器主動訪問外網。內部服務器主動訪問外網時,將私網地址轉換為內部服務器向外提供服務的外網IP地址。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
description text:配置NAT內部服務器的描述信息,text為1~63個字符的字符串,不區分大小寫。
【使用指導】
通過該配置可以利用NAT設備將一些內部網絡的服務器提供給外部網絡使用,例如內部的Web服務器、FTP服務器、Telnet服務器、POP3服務器、DNS服務器等。這些內部服務器可以位於普通的內網內,也可以位於VPN實例內。
NAT內部服務器通常配置在NAT設備的外網側接口上。外網用戶可以通過global-address定義的外網地址和global-port定義的外網端口來訪問內網地址和內網端口分別為local-address和local-port的內部服務器。當pro-type不是TCP(協議號為6)或UDP(協議號為17)時,用戶隻能設置內部IP地址與外部IP地址的一一對應的關係,無法設置端口號之間的映射。
NAT內部服務器支持以下幾種內網和外網的地址、端口映射關係。
表1-20 NAT內部服務器的地址與端口映射關係
|
外網 |
內網 |
|
一個外網地址 |
一個內網地址 |
|
一個外網地址、一個端口號 |
一個內網地址、一個內網端口號 |
|
一個外網地址,N個連續的外網端口號 |
一個內網地址,一個內網端口 |
|
N個連續的內網地址,一個內網端口號 |
|
|
一個內網地址,N個連續的內網端口號 |
|
|
N個連續的外網地址 |
一個內網地址 |
|
N個連續的內網地址 |
|
|
N個連續的外網地址連續,一個外網端口號 |
一個內網地址,一個內網端口號 |
|
N個連續的內網地址,一個內網端口號 |
|
|
一個內網地址,N個連續的內網端口號 |
|
|
一個外網地址,一個外網端口號 |
一個內部服務器組 |
|
一個外網地址,N個連續的外網端口號 |
|
|
N個連續的外網地址,一個外網端口號 |
|
|
外網地址(通過ACL進行匹配) |
一個內網地址 |
|
一個內網地址、一個內網端口號 |
一個接口下允許配置的nat server命令個數與設備的型號有關。對於同一個接口下配置的NAT服務器,其協議類型、外網地址和外網端口號的組合必須是唯一的,否則認為是配置衝突。本規則同樣適用於Easy IP方式的NAT服務器。每個nat server命令下可以配置的NAT內部服務器數目為global-port2與global-port1的差值,即配置多少個外網端口就對應多少個NAT內部服務器。
設備支持引用接口地址作為NAT內部服務器的外網地址(Easy IP方式)。如果配置關鍵字current-interface,表示外網地址使用的是當前接口的當前主地址;如果指定具體的接口,則隻能指定Loopback接口,外網地址使用的是配置的Loopback接口的當前主地址。
由於Easy IP方式的NAT內部服務器使用了當前接口或其它接口的IP地址作為它的外網地址,因此強烈建議在配置了Easy IP方式的NAT內部服務器之後,其它NAT內部服務器不要再配置該接口的IP地址作為它的外網地址,反之亦然。
對於Easy IP方式的NAT服務器,如果其引用的接口的IP地址發生改變,導致跟現有的其它非Easy IP方式的NAT服務器衝突,則Easy IP方式的NAT服務器配置失效;如果接口地址又修改為不衝突的IP,或者之前與之衝突的NAT服務器被刪除,則Easy IP方式的NAT配置重新生效。
在VPN組網中,配置NAT內部服務器時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
在配置負載均衡內部服務器時,若配置一個外網地址,N個連續的外網端口號對應一個內部服務器組,或N個連續的外網地址,一個外網端口號對應一個內部服務器組,則內部服務器組的成員個數不能小於N,即同一用戶不能通過不同的外網地址或外網端口號訪問相同內網服務器的同一服務。
對於基於ACL的內部服務器,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 在接口GigabitEthernet1/0/1上配置NAT內部服務器,指定局域網內部的Web服務器的IP地址是10.110.10.10,希望外部通過http://202.110.10.10:8080可以訪問Web服務器。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 http
[Sysname-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet1/0/1上配置NAT內部服務器,指定VPN vrf10內部的FTP服務器的IP地址是10.110.10.11,希望外部通過ftp://202.110.10.10可以訪問FTP服務器。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
[Sysname-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet1/0/1上配置NAT內部服務器,指定一個VPN vrf10內部的主機10.110.10.12,希望外部網絡的主機可以利用ping 202.110.10.11命令ping通它。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
[Sysname-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet1/0/1上配置NAT內部服務器,指定一個外部地址202.110.10.10,從端口1001~1100分別映射VPN vrf10內主機10.110.10.1~10.110.10.100的telnet服務。202.110.10.10:1001訪問10.110.10.1,202.110.10:1002訪問10.110.10.2,依此類推。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 正確的服務器地址為10.0.0.172,用戶配置的錯誤地址為192.168.0.0/24網段的地址,在接口GigabitEthernet1/0/1上配置基於ACL的內部服務器對這部分用戶的配置錯誤進行糾正。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 5 permit ip destination 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server global 3000 inside 10.0.0.172
【相關命令】
· display nat all
· display nat server
· nat server-group
nat server rule move命令用來調整基於ACL內部服務器NAT規則的匹配優先級。
【命令】
nat server rule move nat-rule-name1 { after | before } nat-rule-name2
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
nat-rule-name1:要移動的NAT規則的名稱。
after:將nat-rule-name1移動到nat-rule-name2後麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值+1。
before:將nat-rule-name1移動到nat-rule-name2前麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值-1。
nat-rule-name2:要移動的NAT規則的名稱。
【使用指導】
本命令僅對指定了NAT規則名稱的基於ACL內部服務器NAT生效。
對於被移動到前麵的NAT規則,設備將會優先進行匹配。
【舉例】
# 將基於ACL內部服務器NAT規則abc移動到基於ACL內部服務器NAT規則def的前麵。
<Sysname> nat server rule move abc before def
【相關命令】
· nat server
nat server-group命令用來創建內部服務器組,並進入內部服務器組視圖。如果指定的內部服務器組已經存在,則直接進入內部服務器組視圖。
undo nat server-group命令用來刪除指定的內部服務器組。
【命令】
nat server-group group-id
undo nat server-group group-id
【缺省情況】
不存在內部服務器組。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
group-id:服務器組編號,取值範圍為0~65535。
【使用指導】
一個內部服務器組中可以包括多個內部服務器組成員(通過inside ip命令配置)。
【舉例】
# 配置一個內部服務器組,編號為1。
<Sysname> system-view
[Sysname] nat server-group 1
【相關命令】
· display nat all
· display nat server-group
· inside ip
· nat server
nat session create-rate enable命令用來開啟NAT會話新建速率的統計功能。
undo nat session create-rate enable命令用來關閉NAT會話新建速率的統計功能。
【命令】
nat session create-rate enable
undo nat session create-rate enable
【缺省情況】
NAT會話新建速率的統計功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
開啟NAT會話新建速率的統計功能後,設備會對NAT會話的新建速率進行統計,統計信息可以通過display nat statistics命令查看。
【舉例】
# 開啟NAT會話新建速率的統計功能。
<Sysname> system-view
[Sysname] nat session create-rate enable
【相關命令】
· display nat statistics
nat static enable命令用來開啟接口上的NAT靜態地址轉換功能。
undo nat static enable命令用來關閉接口上的NAT靜態地址轉換功能。
【命令】
nat static enable
undo nat static enable
【缺省情況】
NAT靜態地址轉換功能處於關閉狀態。
【視圖】
接口視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
接口下開啟NAT靜態地址轉換功能後,所有已配置的靜態地址轉換映射都會在該接口上生效。
【舉例】
# 配置內網IP地址192.168.1.1到外網IP地址2.2.2.2的出方向一對一靜態地址轉換,並且在接口GigabitEthernet1/0/1上開啟靜態地址轉換功能。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat static enable
【相關命令】
· display nat all
· display nat static
· nat static
· nat static net-to-net
nat static inbound命令用來配置入方向一對一靜態地址轉換映射。
undo nat static inbound命令用來刪除指定的入方向一對一靜態地址轉換映射。
【命令】
nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ]
undo nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
【缺省情況】
不存在地址轉換映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
global-ip:外網IP地址。
vpn-instance global-vpn-instance-name:外網IP地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
local-ip:內網IP地址。
vpn-instance local-vpn-instance-name:內網IP地址所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
acl:指定ACL的編號或名稱,本參數用於控製指定訪問範圍的報文可以使用NAT規則進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為3000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示從內網主動訪問外網的報文必須通過ACL反向匹配,才能使用該配置進行目的地址轉換。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\\”、“/”、“:”、“*”、“?”、“\”、“<”、“>”、“|”、“””和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
【使用指導】
對於從外網到內網的報文,將其源地址global-ip轉換為local-ip;對於從內網到外網的報文,將其目的地址local-ip轉換為global-ip。
指定引用的ACL時,需要注意:
· 如果沒有指定ACL,則所有從外網到內網的報文都可以使用該配置進行源地址轉換;所有從內網到外網的報文都可以使用該配置進行目的地址轉換。
· 如果僅指定了ACL,沒有指定ACL反向匹配(即沒有配置reversible),對於從外網到內網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從內網主動訪問外網的報文,不能使用該配置進行目的地址轉換。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),對於外網到內網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從內網主動訪問外網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該配置進行轉換,否則不予轉換。
如果接口下既配置了NAT動態地址轉換,又配置了NAT靜態地址轉換,則優先使用靜態地址轉換。
設備可支持配置多條入方向靜態地址轉換映射(包括nat static inbound和nat static inbound net-to-net)。
在VPN組網中,配置入方向靜態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
對於引用了ACL的入方向一對一靜態地址轉換映射,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 配置外網IP地址2.2.2.2到內網IP地址192.168.1.1的入方向靜態地址轉換。
<Sysname> system-view
[Sysname] nat static inbound 2.2.2.2 192.168.1.1
【相關命令】
· display nat all
· display nat static
· nat static enable
nat static inbound net-to-net命令用來配置入方向網段到網段的靜態地址轉換映射。
undo nat static inbound net-to-net命令用來刪除指定的入方向網段到網段的靜態地址轉換映射。
【命令】
nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ]
undo nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
【缺省情況】
不存在地址轉換映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
global-start-address global-end-address:外網地址範圍,所包含的地址數目不能超過255。global-start-address表示起始地址,global-end-address表示結束地址。global-end-address必須大於或等於global-start-address,如果二者相同,則表示隻有一個地址。
vpn-instance global-vpn-instance-name:外網IP地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
local-network:內網網段地址。
mask-length:內網網絡地址的掩碼長度,取值範圍為8~31。
mask:內網網絡地址掩碼。
vpn-instance local-vpn-instance-name:內網IP地址所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
acl:指定ACL的編號或名稱,本參數用於控製指定訪問範圍的報文可以使用NAT規則進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為3000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示從內網主動訪問外網的報文必須通過ACL反向匹配,才能使用該配置進行目的地址轉換。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
【使用指導】
外網網段通過起始地址和結束地址來指定,內網網段通過內網地址和掩碼來指定。
對於從外網到內網的報文,使用其源地址匹配外網地址,將源地址轉換為內網地址;對於從內網到外網的報文,使用其目的地址匹配內網地址,將目的地址轉換為外網地址。
外網結束地址不能大於外網起始地址和內網掩碼所決定的網段中的最大IP地址。比如:內網地址配置為2.2.2.0,掩碼為255.255.255.0,外網起始地址為1.1.1.100,則外網結束地址不應該大於1.1.1.0/24網段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL時,需要注意:
· 如果沒有指定ACL,則所有從外網到內網的報文都可以使用該配置進行源地址轉換;所有從內網到外網的報文都可以使用該配置進行目的地址轉換。
· 如果僅指定了ACL,沒有指定ACL反向匹配(即沒有配置reversible),對於從外網到內網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從內網到外網的報文,不能使用該配置進行目的地址轉換。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),對於外網到內網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從內網到外網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該配置進行轉換,否則不予轉換。
如果接口下既配置了NAT動態地址轉換,又配置了NAT靜態地址轉換,則優先使用靜態地址轉換。
設備支持配置多條入方向靜態地址轉換映射(包括nat static inbound和nat static inbound net-to-net)。
在VPN組網中,配置入方向靜態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
對於引用了ACL的入方向網段到網段的靜態地址轉換映射,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 配置外網網段202.100.1.0/24到內網網段192.168.1.0/24的入方向靜態地址轉換。
<Sysname> system-view
[Sysname] nat static inbound net-to-net 202.100.1.1 202.100.1.255 local 192.168.1.0 24
【相關命令】
· display nat all
· display nat static
· nat static enable
nat static inbound object-group命令用來配置基於對象組的入方向靜態地址轉換映射。
undo nat static inbound object-group命令用來刪除指定的基於對象組的入方向靜態地址轉換映射。
【命令】
nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ]
undo nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ]
【缺省情況】
不存在地址轉換映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group global-object-group-name:外網IPv4地址對象組。global-object-group-name表示IPv4地址對象組的名稱,為1~31個字符的字符串,不區分大小寫。
vpn-instance global-vpn-instance-name:外網IP地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
object-group local-object-group-name:內網IPv4地址對象組。local-object-group-name表示IPv4地址對象組的名稱,為1~31個字符的字符串,不區分大小寫。
vpn-instance local-vpn-instance-name:內網IP地址所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
acl:指定ACL的編號或名稱,本參數用於控製指定訪問範圍的報文可以使用NAT規則進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為3000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示從內網主動訪問外網的報文必須通過ACL反向匹配,才能使用該配置進行目的地址轉換。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
【使用指導】
外網地址通過外網IPv4地址對象組來指定,內網地址通過內網IPv4地址對象組來指定。
對於從外網到內網的報文,使用其源地址匹配外網地址,將源地址轉換為內網地址;對於從內網到外網的報文,使用其目的地址匹配內網地址,將目的地址轉換為外網地址。
指定引用的object-group時,需要注意:
· 內網IPv4地址對象組和外網IPv4地址對象組內隻能存在一個IPv4地址對象。
· 內網IPv4地址對象組內地址數應不小於外網IPv4地址對象組。
· 內網IPv4地址對象組的地址對象不能是地址範圍。
指定引用的ACL時,需要注意:
· 如果沒有指定ACL,則所有從外網到內網的報文都可以使用該配置進行源地址轉換;所有從內網到外網的報文都可以使用該配置進行目的地址轉換。
· 如果僅指定了ACL,沒有指定ACL反向匹配(即沒有配置reversible),對於從外網到內網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從內網主動訪問外網的報文,不能使用該配置進行目的地址轉換。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),對於外網到內網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從內網主動訪問外網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該配置進行轉換,否則不予轉換。
如果接口下既配置了NAT動態地址轉換,又配置了NAT靜態地址轉換,則優先使用靜態地址轉換。
設備可支持配置多條入方向靜態地址轉換映射(包括nat static inbound、nat static inbound net-to-net和nat static inbound object-group)。
在VPN組網中,配置入方向靜態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
基於地址對象組的入方向靜態地址轉換引用的IPv4地址對象組中,隻能存在一個主機對象(host)或者一個子網對象(subnet),否則引用不生效。
【舉例】
# 配置外網IP地址2.2.2.2到內網IP地址192.168.1.1基於對象組的入方向靜態地址轉換。
<Sysname> system-view
[Sysname] object-group ip address global
[Sysname-obj-grp-ip-global] network host address 2.2.2.2
[Sysname-obj-grp-ip-global] quit
[Sysname] object-group ip address local
[Sysname-obj-grp-ip-local] network host address 192.168.1.1
[Sysname-obj-grp-ip-local] quit
[Sysname] nat static inbound object-group global object-group local
【相關命令】
· display nat all
· display nat static
· nat static enable
nat static inbound rule move命令用來調整入方向一對一靜態NAT規則的匹配優先級。
【命令】
nat static inbound rule move nat-rule-name1 { after | before } nat-rule-name2
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
nat-rule-name1:要移動的NAT規則的名稱。
after:將nat-rule-name1移動到nat-rule-name2後麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值+1。
before:將nat-rule-name1移動到nat-rule-name2前麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值-1。
nat-rule-name2:要移動的NAT規則的名稱。
【使用指導】
本命令僅對指定了NAT規則名稱的入方向一對一靜態NAT生效。
對於被移動到前麵的NAT規則,設備將會優先進行匹配。
【舉例】
# 將入方向一對一靜態NAT規則abc移動到入方向一對一靜態NAT規則def的前麵。
<Sysname> nat static inbound rule move abc before def
【相關命令】
· nat static inbound
nat static outbound命令用來配置出方向一對一靜態地址轉換映射。
undo nat static outbound命令用來刪除出方向一對一靜態地址轉換映射。
【命令】
nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ]
undo nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
【缺省情況】
不存在任何地址轉換映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local-ip:內網IP地址。
vpn-instance local-vpn-instance-name:內網IP地址所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
global-ip:外網IP地址。
vpn-instance global-vpn-instance-name:外網IP地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
acl:指定ACL的編號或名稱,本參數用於控製指定訪問範圍的報文可以使用NAT規則進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為3000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示從外網主動訪問內網的報文必須通過ACL反向匹配,才能使用該配置進行目的地址轉換。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
【使用指導】
對於從內網到外網的報文,將其源地址local-ip轉換為global-ip;對於從外網到內網的報文,將其目的地址global-ip轉換為local-ip。
指定引用的ACL時,需要注意:
· 如果沒有指定ACL,則所有從內網到外網的報文都可以使用該配置進行源地址轉換;所有從外網到內網的報文都可以使用該配置進行目的地址轉換。
· 如果僅指定了ACL,沒有指定ACL反向匹配(即沒有配置reversible),對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,不能使用該配置進行目的地址轉換。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該配置進行轉換,否則不予轉換。
如果接口下既配置了NAT動態地址轉換,又配置了NAT靜態地址轉換,則優先使用靜態地址轉換。
設備可支持配置多條出方向靜態地址轉換映射(包括nat static outbound和nat static outbound net-to-net)。
在VPN組網中,配置出方向靜態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
對於引用了ACL的出方向一對一靜態地址轉換映射,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 配置內網IP地址192.168.1.1到外網IP地址2.2.2.2的出方向靜態地址轉換映射。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
# 配置出方向靜態地址轉換映射,允許內網用戶192.168.1.1訪問外網網段3.3.3.0/24時,使用外網IP地址2.2.2.2。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound 192.168.1.1 2.2.2.2 acl 3001
【相關命令】
· display nat all
· display nat static
· nat static enable
nat static outbound net-to-net命令用來配置出方向網段到網段的靜態地址轉換映射。
undo nat static outbound net-to-net命令用來刪除出方向網段到網段的靜態地址轉換映射。
【命令】
nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ]
undo nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name }
【缺省情況】
不存在任何地址轉換映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
local-start-address local-end-address:內網地址範圍,所包含的地址數目不能超過255。local-start-address 表示起始地址,local-end-address表示結束地址。local-end-address必須大於或等於local-start-address,如果二者相同,則表示隻有一個地址。
vpn-instance local-vpn-instance-name:內網IP地址所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
global-network:外網網段地址。
mask-length:外網網絡地址的掩碼長度,取值範圍為8~31。
mask:外網網絡地址掩碼。
vpn-instance global-vpn-instance-name:外網IP地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
acl:指定ACL的編號或名稱,本參數用於控製指定訪問範圍的報文可以使用NAT規則進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為3000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示從外網主動訪問內網的報文必須通過ACL反向匹配,才能使用該配置進行目的地址轉換。
rule rule-name:NAT規則的名稱,取值範圍為1~63個字符的字符串,不區分大小寫,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定該參數,則表示該規則無名稱。
priority priority:NAT規則的匹配優先級,取值範圍為0~2147483647,數值越小,優先級越高。如果不指定該參數,那麼相應的NAT規則在同類NAT規則中,其匹配優先級最低。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
【使用指導】
內網網段通過起始地址和結束地址來指定,外網網段通過外網地址和掩碼來指定。
對於從內網到外網的報文,使用其源地址匹配內網地址,將源地址轉換為外網地址;對於從外網到內網的報文,使用其目的地址匹配外網地址,將目的地址轉換為內網地址。
內網結束地址不能大於內網起始地址和外網掩碼所決定的網段中的最大IP地址。比如:外網地址配置為2.2.2.0,掩碼為255.255.255.0,內網起始地址為1.1.1.100,則內網結束地址不應該大於1.1.1.0/24網段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL時,需要注意:
· 如果沒有指定ACL,則所有從內網到外網的報文都可以使用該配置進行源地址轉換;所有從外網到內網的報文都可以使用該配置進行目的地址轉換。
· 如果僅指定了ACL,沒有指定ACL反向匹配(即沒有配置reversible),對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,不能使用該配置進行目的地址轉換。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該配置進行轉換,否則不予轉換。
如果接口下既配置了NAT動態地址轉換,又配置了NAT靜態地址轉換,則優先使用靜態地址轉換。
設備可支持配置多條出方向靜態地址轉換映射(包括nat static outbound和nat static outbound net-to-net)。
在VPN組網中,配置出方向靜態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
對於引用了ACL的出方向網段到網段的靜態地址轉換映射,當NAT規則的匹配優先級相同時,設備將按照ACL名稱或ACL編號進行匹配,且ACL名稱的優先級高於ACL編號的優先級,具體規則如下:
· 對於ACL名稱,設備將根據名稱的字符序對NAT規則進行排序,在字符序中的位置越靠前,相應的NAT規則的匹配優先級越高。
· 對於ACL編號,編號越大,優先級越高,設備將優先進行匹配。
【舉例】
# 配置內網網段192.168.1.0/24到外網網段2.2.2.0/24的出方向靜態地址轉換映射。
<Sysname> system-view
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
# 配置出方向網段到網段的靜態地址轉換映射,允許內網192.168.1.0/24網段的用戶訪問外網網段3.3.3.0/24時,使用外網網段2.2.2.0/24中的地址。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24 acl 3001
【相關命令】
· display nat all
· display nat static
· nat static enable
nat static outbound object-group命令用來配置基於對象組的出方向靜態地址轉換映射。
undo nat static outbound object-group命令用來刪除指定基於對象組的出方向靜態地址轉換映射。
【命令】
nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ]
undo nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ]
【缺省情況】
不存在地址轉換映射。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
object-group local-object-group-name:內網IPv4地址對象組。local-object-group-name表示IPv4地址對象組的名稱,為1~31個字符的字符串,不區分大小寫。
vpn-instance local-vpn-instance-name:內網IP地址所屬的VPN。local-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示內網IP地址不屬於任何一個VPN。
object-group global-object-group-name:外網IPv4地址對象組。global-object-group-name表示IPv4地址對象組的名稱,為1~31個字符的字符串,不區分大小寫。
vpn-instance global-vpn-instance-name:外網IP地址所屬的VPN。global-vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示外網IP地址不屬於任何一個VPN。
acl:指定ACL的編號或名稱,本參數用於控製指定訪問範圍的報文可以使用NAT規則進行地址轉換。
ipv4-acl-number:ACL的編號,取值範圍為3000~3999。
name ipv4-acl-name:ACL的名稱,為1~63個字符的字符串,不區分大小寫,必須以英文字母a~z或A~Z開頭。為避免混淆,ACL的名稱不允許使用英文單詞all。
reversible:表示從外網主動訪問內網的報文必須通過ACL反向匹配,才能使用該配置進行目的地址轉換。
disable:表示禁用該地址轉換映射。如果不指定該參數,則地址轉換映射處於啟用狀態。
【使用指導】
內網地址通過內網IPv4地址對象組來指定,外網地址通過外網IPv4地址對象組來指定。
對於從內網到外網的報文,使用其源地址匹配內網地址,將源地址轉換為外網地址;對於從外網到內網的報文,使用其目的地址匹配外網地址,將目的地址轉換為內網地址。
指定引用的object-group時,需要注意:
· 內網IPv4地址對象組和外網IPv4地址對象組內隻能存在一個IPv4地址對象。
· 內網IPv4地址對象組內地址數應不大於外網IPv4地址對象組。
· 外網IPv4地址對象組的地址對象不能是地址範圍。
指定引用的ACL時,需要注意:
· 如果沒有指定ACL,則所有從內網到外網的報文都可以使用該配置進行源地址轉換;所有從外網到內網的報文都可以使用該配置進行目的地址轉換。
· 如果僅指定了ACL,沒有指定ACL反向匹配(即沒有配置reversible),對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,不能使用該配置進行目的地址轉換。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),對於從內網到外網的報文,隻有報文符合ACL permit規則,才能使用該配置進行源地址轉換;對於從外網主動訪問內網的報文,需要進行ACL反向匹配(提取報文的源地址/端口和目的地址/端口,並根據配置轉換目的地址,然後將源地址/端口和目的地址/端口互換去匹配ACL),隻有反向匹配ACL的報文才能使用該配置進行轉換,否則不予轉換。
如果接口下既配置了NAT動態地址轉換,又配置了NAT靜態地址轉換,則優先使用靜態地址轉換。
設備可支持配置多條出方向靜態地址轉換映射(包括nat static outbound、nat static outbound net-to-net和nat static outbound object-group)。
在VPN組網中,配置出方向靜態地址轉換時需要指定vpn-instance參數,且VPN實例的名稱必須與該接口關聯的VPN實例一致。
基於地址對象組的出方向靜態地址轉換引用的IPv4地址對象組中,隻能存在一個主機對象(host)或者一個子網對象(subnet),否則引用不生效。
【舉例】
# 配置基於對象組的出方向靜態地址轉換映射,允許內網用戶192.168.1.1訪問外網網段3.3.3.0/24時,使用外網IP地址2.2.2.2。
<Sysname> system-view
[Sysname] object-group ip address global
[Sysname-obj-grp-ip-global] network host address 2.2.2.2
[Sysname-obj-grp-ip-global] quit
[Sysname] object-group ip address local
[Sysname-obj-grp-ip-local] network host address 192.168.1.1
[Sysname-obj-grp-ip-local] quit
[Sysname] nat static outbound object-group local object-group global
【相關命令】
· display nat all
· display nat static
nat static outbound rule move命令用來調整出方向一對一靜態NAT規則的匹配優先級。
【命令】
nat static outbound rule move nat-rule-name1 { after | before } nat-rule-name2
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
nat-rule-name1:要移動的NAT規則的名稱。
after:將nat-rule-name1移動到nat-rule-name2後麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值+1。
before:將nat-rule-name1移動到nat-rule-name2前麵,nat-rule-name2的匹配優先級的值不變,nat-rule-name1的匹配優先級的值=nat-rule-name2的匹配優先級的值-1。
nat-rule-name2:要移動的NAT規則的名稱。
【使用指導】
本命令僅對指定了NAT規則名稱的出方向一對一靜態NAT生效。
對於被移動到前麵的NAT規則,設備將會優先進行匹配。
【舉例】
# 將出方向一對一靜態NAT規則abc移動到出方向一對一NAT規則def的前麵。
<Sysname> nat static outbound rule move abc before def
【相關命令】
· nat static outbound
nat timestamp delete命令用來開啟對TCP SYN和SYN ACK報文中時間戳的刪除功能。
undo nat timestamp delete命令用來恢複缺省情況。
【命令】
nat timestamp delete [ vpn-instance vpn-instance-name ]
undo nat timestamp delete [ vpn-instance vpn-instance-name ]
【缺省情況】
不對TCP SYN和SYN ACK報文中的時間戳進行刪除處理。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vpn-instance vpn-instance-name:表示TCP SYN和SYN ACK報文所屬的VPN。vpn-instance-name表示VPN實例名稱,為1~31個字符的字符串,區分大小寫。若未指定本參數,則表示TCP SYN和SYN ACK報文屬於公網。
【使用指導】
開啟本功能後,未指定VPN參數時,係統會把動態地址轉換後的公網上TCP SYN和SYN ACK報文中的時間戳刪除;指定VPN參數時,係統會把動態地址轉換後的指定VPN中TCP SYN和SYN ACK報文中的時間戳刪除。
在PAT方式的動態地址轉換(即接口上配置了nat inbound或nat outbound命令)組網環境中,若服務器上同時開啟了tcp_timestams和tcp_tw_recycle功能,則Client與Server之間可能會出現無法建立TCP連接的現象。
為了解決以上問題,可在服務器上關閉tcp_tw_recycle功能或在設備上開啟對TCP SYN和SYN ACK報文中時間戳的刪除功能。
多次執行本命令,可為不同VPN中的報文開啟此功能。
【舉例】
# 開啟對公網上TCP SYN和SYN ACK報文中時間戳的刪除功能。
<Sysname> system-view
[Sysname] nat timestamp delete
# 開啟對名稱為aa的VPN中TCP SYN和SYN ACK報文中時間戳的刪除功能。
<Sysname> system-view
[Sysname] nat timestamp delete vpn-instance aa
【相關命令】
· nat outbound
· nat inbound
port-block命令用來配置NAT地址組的端口塊參數。
undo port-block命令用來恢複缺省情況。
【命令】
port-block block-size block-size [ extended-block-number extended-block-number ]
undo port-block
【缺省情況】
未配置NAT地址組的端口塊參數。
【視圖】
NAT地址組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
block-size block-size:端口塊大小,即一個端口塊中所包含的端口數,取值範圍為1~65535。同一NAT地址組內,該參數的值不能超過port-range參數的值。
extended-block-number extended-block-number:增量端口塊數,取值範圍為1~5。當分配端口塊中的端口資源耗盡(所有端口都被使用)時,如果對應的私網IP地址向公網發起新的連接,則無法從分配端口塊中獲取端口。此時,如果分配端口塊的公網IP地址所屬的NAT地址組中配置了增量端口塊數,則可以為對應的私網IP地址進行增量端口塊分配。一個私網IP地址最多可同時占有1+extended-block-number個端口塊。
【使用指導】
端口塊動態映射方式下,配置出方向地址轉換所引用的NAT地址組中必須配置端口塊參數。當某私網IP地址首次向公網發起連接時,從所匹配的NAT地址組中獲取一個公網IP地址,從獲取的公網IP地址中分配一個動態端口塊並創建動態端口塊表項(該私網IP地址後續向公網發起連接時,通過私網IP地址查找動態端口塊表項),使用公網IP地址進行IP地址轉換,並從端口塊中動態分配一個端口進行TCP/UDP端口轉換。
【舉例】
# 配置NAT地址組2的端口塊參數,端口塊大小為256,增量端口塊數為1。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] port-block block-size 256 extended-block-number 1
【相關命令】
· nat address-group
port-range命令用來配置公網IP地址的端口範圍。
undo port-range命令用來恢複缺省情況。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情況】
公網IP地址的端口範圍為1~65535。
【視圖】
NAT地址組視圖/NAT端口塊組視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
start-port-number end-port-number:公網IP地址端口的起始端口號和結束端口號。end-port-number必須大於或等於start-port-number。
【使用指導】
在NAT地址組(或NAT端口塊組)視圖下配置端口範圍後,該NAT地址組(或NAT端口塊組)內的所有公網IP地址可用於地址轉換的端口都必須位於所指定的端口範圍之內。
在NAT端口塊組內配置端口範圍時,端口範圍不能小於端口塊大小。在NAT地址組內配置端口範圍時,如果地址組配置了端口塊參數,則端口範圍也不能小於端口塊大小。
【舉例】
# 配置NAT地址組1的公網IP地址端口範圍為1024~65535。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-range 1024 65535
# 配置NAT端口塊組1的公網IP地址端口範圍為30001~65535。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] port-range 30001 65535
【相關命令】
· nat address-group
· nat port-block-group
reset nat session命令用來刪除NAT會話表項。
【命令】
reset nat session [ slot slot-number ]
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
slot slot-number:刪除指定成員設備上的NAT會話表項,slot-number表示設備在IRF中的成員編號。如果不指定該參數,則表示刪除所有成員設備上的NAT會話表項。
【使用指導】
NAT會話表項被刪除之後,與其相關的NAT EIM表和NO-PAT表也會同時刪除。
【舉例】
# 刪除2號成員設備的NAT會話表項。
<Sysname> reset nat session slot 2
【相關命令】
· display nat session
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
