目  錄

1 NAT66

1.1 NAT66配置命令

1.1.1 display nat66 all

1.1.2 display nat66 session

1.1.3 display nat66 statistics

1.1.4 nat66 prefix destination

1.1.5 nat66 prefix source

1.1.6 reset nat66 session

 

1 NAT66

1.1  NAT66配置命令

1.1.1  display nat66 all

display nat66 all命令用來顯示所有的NAT66配置信息。

【命令】

display nat66 all

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【舉例】

# 顯示所有的NAT66配置信息。

<Sysname> display nat66 all

NAT66 source information:

  Totally 1 source rules.

  Interface(outbound): GigabitEthernet1/0/1

    Original prefix/prefix-length: 11::/64

    Translated prefix/prefix-length: 22::/64 PAT

 

NAT66 destination information:

  Totally 1 destination rules.

  Interface(inbound): GigabitEthernet1/0/2

    Original prefix/prefix-length: FD01:203:405::/48 Protocol TCP 6000

    Translated prefix/prefix-length: 1::/48 4000

表1-1 display nat66 all命令顯示信息描述表

字段	描述
NAT66 source information	NAT66源地址轉換的配置信息
NAT66 destination information	NAT66目的地址轉換的配置信息
Totally n source rules	當前存在n條NAT66源地址轉換規則
Totally n destination rules	當前存在n條NAT66目的地址轉換規則
Interface(outbound)	配置了NAT66源地址轉換的接口
Interface(inbound)	配置了NAT66目的地址轉換的接口
Original prefix/prefix-length: xxx Protocol yyy zzz	轉換前的前綴信息： ·     xxx：表示轉換前的前綴和前綴長度 ·     Protocol：表示傳輸層協議類型，yyy的取值包括IPv6-ICMP、UDP和TCP。如果未指定協議類型，則不顯示Protocol字段 ·     zzz：表示內網服務器向外提供服務時對外公布的外網端口號。如果未指定端口號，則不顯示端口信息
Translated prefix/prefix-length: xxx yyy PAT	轉換後的前綴信息： ·     xxx：表示轉換後的前綴和前綴長度 ·     yyy：表示內部服務器在內網中的端口號。如果未指定端口號，則不顯示端口號信息 ·     PAT：表示使用PAT方式進行轉換。如果不使用PAT方式進行轉換，則不顯示PAT字段

 

【相關命令】

·     nat66 prefix destination

·     nat66 prefix source

1.1.2  display nat66 session

display nat66 session命令用來顯示NAT66會話，即經過NAT66地址轉換處理的會話。

【命令】

display nat66 session [ slot slot-number ] [ verbose ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

slot slot-number：顯示指定成員設備上的NAT66會話，slot-number表示設備在IRF中的成員編號。若不指定該參數，則顯示所有成員設備上的NAT66會話。

verbose：顯示NAT66會話的詳細信息。如果不配置則顯示會話的概要信息。

【使用指導】

如果不指定任何參數，則顯示所有的NAT66會話的概要信息。

【舉例】

# 顯示指定slot上NAT66會話的概要信息。

<Sysname> display nat66 session slot 1

Slot 1:

Initiator:

  Source      IP/port: FD01:203:405::1/4048

  Destination IP/port: 2001:DB8:1::100/21

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/2

 

Total sessions found: 1

# 顯示指定slot上NAT66會話的詳細信息。

<Sysname> display nat session slot 1 verbose

Slot 1:

Initiator:

  Source      IP/port: FD01:203:405::1/4048

  Destination IP/port: 2001:DB8:1::100/21

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/2

  Source security zone: Trust

Responder:

  Source      IP/port: 2001:DB8:1::100/21

  Destination IP/port: 1:0:0:309::1/4048

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

  Source security zone: Trust

State: TCP_ESTABLISHED

Application: FTP

Rule ID: -/-/-

Rule name:

Start time: 2018-12-10 09:19:28  TTL: 3585s

Initiator->Responder:            0 packets          0 bytes

Responder->Initiator:            0 packets          0 bytes

 

Total sessions found: 1

表1-2 display nat66 session命令顯示信息描述表

字段	描述
Initiator	發起方的會話信息
Responder	響應方的會話信息
Source IP/port	源IPv6地址/端口號
Destination IP/port	目的IPv6地址/端口號
VPN instance/VLAN ID/Inline ID	（暫不支持）會話所屬的MPLS L3VPN/二層轉發時會話所屬的VLAN ID/二層轉發時會話所屬的INLINE。如果未指定則顯示“-/-/-”
Protocol	傳輸層協議類型，取值包括：DCCP、ICMPv6、Raw IP、SCTP、TCP、UDP、UDP-Lite 括號中的數字表示協議號
Inbound interface	報文的入接口
Source security zone	源安全域，即入接口所屬的安全域。若接口不屬於任何安全域，則顯示為“-”
State	會話狀態
Application	應用層協議類型，取值包括：FTP、DNS等，OTHER表示未知協議類型，其對應的端口為非知名端口
Rule ID	安全策略規則的ID
Rule name	安全策略規則的名稱
Start time	會話創建時間
TTL	會話剩餘存活時間，單位為秒
Initiator->Responder	發起方到響應方的報文數、報文字節數
Responder->Initiator	響應方到發起方的報文數、報文字節數
Total sessions found	當前查找到的會話的總數

 

【相關命令】

·     reset nat66 session

1.1.3  display nat66 statistics

display nat66 statistics命令用來顯示NAT66統計信息。

【命令】

display nat66 statistics [ summary ] [ slot slot-number  ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

context-admin

context-operator

【參數】

summary：顯示NAT66統計信息的摘要信息。不指定該參數時，顯示NAT66統計信息的詳細信息。

slot slot-number：顯示指定成員設備上的NAT66統計信息，slot-number表示設備在IRF中的成員編號。若不指定該參數，則顯示所有成員設備上的NAT66統計信息。

【舉例】

# 顯示所有NAT66統計信息的詳細信息。

<Sysname> display nat66 statistics

Slot 1:

  Total session entries: 0

  Total outbound NO-PAT entries: 0

表1-3 display nat66 statistics命令顯示信息描述表

字段	描述
Total session entries	NAT66會話表項個數
Total outbound NO-PAT entries	出方向的NAT66 NO-PAT表項個數

 

# 顯示所有NAT66統計信息的概要信息。

<Sysname> display nat66 statistics summary

Slot Sessions

1    100

表1-4 display nat66 statistics summary命令顯示信息描述表

字段	描述
Sessions	NAT66會話表項個數

 

1.1.4  nat66 prefix destination

nat66 prefix destination命令用來配置IPv6目的地址轉換的前綴映射關係。

undo nat66 prefix destination命令用來刪除IPv6目的地址轉換前綴映射關係的配置。

【命令】

nat66 prefix destination [ protocol pro-type ] original-ipv6-prefix prefix-length [ global-port ] translated-ipv6-prefix prefix-length [ local-port ]

undo nat66 prefix destination [ protocol pro-type ] original-ipv6-prefix prefix-length [ global-port ] translated-ipv6-prefix prefix-length [ local-port ]

【缺省情況】

不存在IPv6目的地址轉換的配置。

【視圖】

接口視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

protocol pro-type：指定協議類型。如果不指定該參數，則表示對所有協議類型的報文都生效。pro-type取值包括以下形式：

·     數字：取值範圍為1～255（不支持50和51，分別對應ESP協議和AH協議）。

·     協議名稱：取值包括ipv6-icmp、tcp和udp。

original-ipv6-prefix：表示轉換前的目的IPv6地址的前綴，即內部服務器向外提供服務時對外公布的外網IPv6地址前綴。

global-port：表示內網服務器向外提供服務時對外公布的外網端口號，取值範圍為1～65535。如果未指定本參數，則表示不關心報文的目的端口號。本參數僅在指定的協議類型是TCP、UDP時可配。

translated-ipv6-prefix：表示轉換後的目的IPv6地址前綴，即內部服務器在內網中的IPv6地址前綴。

prefix-length：表示地址的前綴長度，取值範圍為1～128。

local-port：表示內部服務器在內網中的端口號，取值範圍為1～65535。如果未指定本參數，則本參數的取值和global-port的取值相同。如果未指定本參數和global-port參數，則表示不轉換端口號。本參數僅在指定的協議類型是TCP、UDP時可配。

【使用指導】

本命令用於內網中的服務器對外部網絡提供服務的場景中時，例如給外部網絡提供Web服務，或是FTP服務。通過在NAT66設備外網側接口上配置內部服務器地址和外網地址的映射關係，外部網絡用戶能夠通過指定的外網地址來訪問內網服務器。

本命令用在NAT66設備的外網側接口上，配置時需注意以下幾點：

·     需要保證轉換前後的目的IPv6地址前綴長度一致。

·     在同一個接口下，一個內網地址前綴和一個外網地址前綴必須是一對一的唯一映射關係。

·     不同接口下，同一個外網地址前綴不能映射為不同的內網地址前綴。

·     內部服務器向外提供服務時對外公布的外網IPv6地址前綴不能與NAT66設備的外網地址前綴以及訪問內部服務器的外網主機地址前綴相同。

·     不能通過重複執行本命令來修改目的IPv6地址前綴的轉換關係。如需修改，請先通過undo nat66 prefix destination命令刪除已經存在的轉換關係，再執行nat66 prefix destination命令。

不支持對攜帶AH、ESP擴展頭的IPsec加密報文進行NAT66目的地址轉換。

【舉例】

# 在接口GigabitEthernet1/0/1上配置IPv6目的地址轉換的前綴映射關係，將IPv6地址前綴2001::/64轉換為2101::/64。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] nat66 prefix destination 2001:: 64 2101:: 64

# 在接口GigabitEthernet1/0/1上配置IPv6目的地址轉換的前綴映射關係，內部服務器向外提供FTP服務時對外公布的外網IPv6地址前綴為2001::/64，端口號為64；PAT轉換後內部服務器在內網中的IPv6地址前綴為2101::/64，端口號為200。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] nat66 prefix destination protocol tcp 2001:: 64 64 2101:: 64 200

【相關命令】

·     display nat66 all

1.1.5  nat66 prefix source

nat66 prefix source命令用來配置IPv6源地址轉換的前綴映射關係。

undo nat66 prefix source命令用來刪除IPv6源地址轉換前綴映射關係的配置。

【命令】

nat66 prefix source original-ipv6-prefix prefix-length translated-ipv6-prefix prefix-length [ pat ]

undo nat66 prefix source original-ipv6-prefix prefix-length translated-ipv6-prefix prefix-length [ pat ]

【缺省情況】

不存在IPv6源地址轉換前綴映射關係的配置。

【視圖】      

接口視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

original-ipv6-prefix：表示轉換前的源IPv6地址前綴。

translated-ipv6-prefix：表示轉換後的源IPv6地址前綴。

prefix-length：表示IPv6地址前綴長度，取值範圍為1～128。

pat：表示使用PAT方式進行轉換，即轉換時同時進行端口轉換。如果未指定本參數，則表示轉換時不進行端口轉換。

【使用指導】

NAT66源地址轉換功能主要應用在如下場景中：

·     單個內部網絡和外部網絡。使NAT66設備連接單個內部網絡和外部網絡，內部網絡中的主機使用僅支持在本地範圍內路由的IPv6地址前綴。當內部網絡中的主機訪問外部網絡時，報文中的源IPv6地址前綴將被NAT66設備轉換為全球單播IPv6地址前綴。

·     冗餘和負載分擔。一個IPv6網絡去往另外一個IPv6網絡的邊緣位置存在多個NAT66設備，通過NAT66設備去往另一個IPv6網絡的路徑形成了等價路由，流量可以在這些NAT66設備上進行負載分擔。這種情況下，可以在這些NAT66設備上配置相同的源地址轉換規則，使得任意一台NAT66設備都可以處理不同站點間的IPv6流量。

·     多宿主。在多宿主的網絡環境中，NAT66設備連接一個內部網絡，同時連接到不同的外部網絡。可以在NAT66設備的各個外網側接口上配置地址轉換，將同一個內網地址轉換成不同的外網地址，實現同一個內部地址到多個外部地址的映射。

本命令用在NAT66設備的外網側接口上，配置時需注意以下幾點：

·     如果不進行端口轉換，需要保證轉換前後的源IPv6地址前綴長度一致。

·     在同一個接口下，一個內網地址前綴和一個外網地址前綴必須是一對一的唯一映射關係。

·     不同接口下，不同的內網地址前綴不能映射到同一個外網地址前綴。

·     轉換後的源IPv6地址前綴不能與NAT66設備的外網地址前綴以及目的外網地址前綴相同。

·     不能通過重複執行本命令來修改源IPv6地址的轉換關係。如需修改，請先通過undo nat66 prefix source命令刪除已經存在的轉換關係，再執行nat66 prefix source命令。

不支持對攜帶AH、ESP擴展頭的IPsec加密報文進行NAT66源地址轉換。

【舉例】

# 在接口GigabitEthernet1/0/1上配置IPv6源地址轉換，將IPv6地址前綴FD9C:58ED:7D73:2::/64轉換為2101::/64。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] nat66 prefix source fd9C:58ed:7d73:2:: 64 2101:: 64

# 在接口GigabitEthernet1/0/1上配置IPv6源地址轉換，轉換時同時進行地址和端口轉換，將IPv6地址前綴FD9C:58ED:7D73:2::/64轉換為2101::/64。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] nat66 prefix source fd9C:58ed:7d73:2:: 64 2101:: 64 pat

【相關命令】

·     display nat66 all

1.1.6  reset nat66 session

reset nat66 session命令用來刪除NAT66會話。

【命令】

reset nat66 session [ slot slot-number ]

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

context-admin

【參數】

slot slot-number：刪除指定成員設備上的NAT會話，slot-number表示設備在IRF中的成員編號。如果不指定該參數，則表示刪除所有成員設備上的NAT會話。

【舉例】

# 刪除指定slot上的NAT66會話。

<Sysname> reset nat66 session slot 1

【相關命令】

·     display nat66 session