• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

06-安全分册(操作, V1.01)

06-NAT配置

本章节下载  (349.53 KB)

docurl=/cn/Service/Document_Software/Document_Center/Other_Product/IP_Voice/VG_80-80/VG_80-80/Configure/Operation_Manual/VG_80-80_06_OM(_V1.01)/200712/321094_30005_0.htm

06-NAT配置

  录

第1章 NAT配置... 1-1

1.1 NAT简介.. 1-1

1.1.1 NAT概述.. 1-1

1.1.2 NAT实现的功能.. 1-2

1.2 配置NAT. 1-5

1.3 配置地址转换.. 1-6

1.3.1 地址转换介绍.. 1-6

1.3.2 配置地址转换.. 1-7

1.4 配置内部服务器.. 1-8

1.4.1 内部服务器介绍.. 1-8

1.4.2 配置内部服务器.. 1-9

1.5 配置NAT日志.. 1-9

1.5.1 NAT日志介绍.. 1-9

1.5.2 开启NAT日志功能.. 1-10

1.5.3 配置NAT日志的输出.. 1-10

1.6 配置连接限制.. 1-12

1.6.1 连接限制介绍.. 1-12

1.6.2 配置连接限制.. 1-13

1.7 NAT显示和维护.. 1-14

1.8 典型NAT配置举例.. 1-15

1.8.1 NAT日志输出至信息中心配置举例.. 1-17

1.8.2 NAT日志输出至日志服务器配置举例.. 1-19

1.9 NAT常见配置错误举例.. 1-20

 


第1章  NAT配置

1.1  NAT简介

1.1.1  NAT概述

NAT(Network Address Translation,网络地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用IP地址空间的枯竭。

&  说明:

私有IP地址是指内部网络或主机的IP地址,公有IP地址是指在因特网上全球唯一的IP地址。

RFC 1918为私有网络预留出了三个IP地址块,如下:

A类:10.0.0.0~10.255.255.255

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。

 

图1-1描述了一个基本的NAT应用。

图1-1 地址转换的基本过程

l              NAT网关处于私有网络和公有网络的连接处。

l              当内部PC(192.168.1.3)向外部服务器(10.1.1.2)发送一个数据报1时,数据报将通过NAT网关。

l              NAT网关查看报头内容,发现该数据报是发往外网的,那么它将数据报1的源地址字段的私有地址192.168.1.3换成一个可在Internet上选路的公有地址20.1.1.1,并将该数据报发送到外部服务器,同时在NAT网关的网络地址转换表中记录这一映射。

l              外部服务器给内部PC发送的应答报文2(其初始目的地址为20.1.1.1),到达NAT网关后,NAT网关再次查看报头内容,然后查找当前网络地址转换表的记录,用原来的内部PC的私有地址192.168.1.3替换初始的目的地址。

上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外部服务器而言,它认为内部PC的IP地址就是20.1.1.11,并不知道有192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。

地址转换的优点在于,在为内部主机提供了“隐私”保护的前提下,实现了内部网络的主机通过该功能访问外部网络资源。但它也有一些缺点:

l              由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。

l              网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟是哪一台机器是恶意的,因为主机的IP地址被屏蔽了。

l              在链路的带宽低于1.5Gbit/s速率时,地址转换对网络性能影响很小,此时,网络传输的瓶颈在传输线路上;当速率高于1.5Gbit/s时,地址转换将对网络性能产生一些影响。

1.1.2  NAT实现的功能

1. 多对多地址转换及地址转换的控制

图1-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,来替代内部网络数据报文的源地址。在图1-1中是选择NAT网关出接口的IP地址(公有地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部的IP地址,因此,这种情况同时只允许最多有一台内部主机访问外部网络,这称为“一对一地址转换”。当内部网络的多台主机并发的要求访问外部网络时,“一对一地址转换”仅能够实现其中一台主机的访问请求。

NAT也可实现对并发性请求的响应,允许NAT网关拥有多个公有IP地址。当第一个内部主机访问外网时,NAT选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内部主机访问外网时,NAT选择另一个公有地址IP2,以此类推,从而满足了多台内部主机访问外网的请求。这称为“多对多地址转换”。

&  说明:

NAT网关拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内部主机并不会同时访问外网。公有IP地址数目的确定,应根据网络高峰期可能访问外网的内部主机数目的统计值来确定。

 

在实际应用中,我们可能希望某些内部的主机可以访问外部网络,而某些主机不允许访问。即当NAT网关查看数据报报头内容时,如果发现源IP地址属于禁止访问网络的内部主机,它将不进行NAT转换。这就是一个对地址转换进行控制的问题。

设备可以通过定义地址池来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制。

l              利用访问控制列表限制地址转换:可以有效地控制地址转换的使用范围,只有满足访问控制列表条件的数据报文才可以进行地址转换。

l              地址池:用于地址转换的一些连续的公有IP地址的集合。用户应根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,配置恰当的地址池。地址转换的过程中,NAT网关将会从地址池中挑选一个地址做为转换后的源地址。

2. NAPT

NAPT(Network Address Port Translation,网络地址端口转换)是NAT的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为“多对一地址转换”或“地址复用”。

NAPT同时映射IP地址和端口号,来自不同内部地址的数据报的目的地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址。也就是“私有地址+端口”与“公有地址+端口”之间的转换。

图1-2描述了NAPT的基本原理。

图1-2 NAPT地址复用示意图

图1-2所示,四个带有内部地址的数据报到达NAT网关,其中数据报1和2来自同一个内部地址但有不同的源端口号,数据报3和4来自不同的内部地址但具有相同的源端口号。通过NAPT映射,四个数据报的源IP地址都被转换到同一个外部地址,但每个数据报都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当回应报文到达时,NAT进程仍能够根据回应报文的目的地址和端口号来区别该报文应转发到的内部主机。

3. 内部服务器

NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内部主机的机会,如给外部网络提供一台WWW服务的服务器,或是一台FTP服务器。

使用NAT可以灵活地添加内部服务器。例如,可以使用20.1.1.10作为WWW服务器的外部地址;使用20.1.1.11作为FTP服务器的外部地址;甚至还可以使用20.1.1.12:8080这样的地址作为WWW的外部地址。

目前设备的NAT提供了内部服务器功能供外部网络访问。外部网络的用户访问内部服务器时,NAT将请求报文内的目的地址转换成内部服务器的私有地址。当内部服务器回应报文时,NAT要将回应报文的源地址(私有IP地址)转换成公有IP地址。

4. Easy IP

Easy IP是指进行地址转换时,直接使用接口的公有IP地址作为转换后的源地址。它也可以利用访问控制列表控制哪些内部地址可以进行地址转换。

5. NAT支持的特殊协议

NAT不仅实现了一般的地址转换功能,同时提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。可支持的特殊协议包括:ICMP(Internet Control Message Protocol,Internet控制消息协议)、DNS(Domain Name System,域名系统)、ILS(Internet Locator Service,Internet定位服务)、RTSP(Real Time Streaming Protocol,实时流协议)、H.323、NetMeeting 3.01、NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)等。

&  说明:

NAT特殊协议的可支持情况与设备的型号有关,请以设备的实际情况为准。

 

6. 支持NAT多实例

NAT多实例允许分属于不同MPLS VPN的用户通过同一个出口访问外部网络,同时允许分属不同MPLS VPN的 用户使用相同的私网地址。当MPLS VPN用户访问外部网络时,地址转换将内部网络主机的IP地址和端口替换为设备的外部网络地址和端口,同时还记录了用户的MPLS VPN信息(如协议类型和路由标识符RD等)。回应报文到达时,地址转换将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时还获得了是哪一个MPLS VPN用户的访问。无论NAT方式的地址转换还是NAPT方式的地址转换都支持多实例。

同时,地址转换支持内部服务器的多实例,给外部提供访问MPLS VPN内主机的机会。例如,MPLS VPN1内提供WWW服务的主机地址是10.110.1.1,可以使用202.110.10.20作为WWW服务器的外部地址,Internet的用户使用202.110.10.20的地址就可以访问到MPLS VPN1提供的WWW服务。

1.2  配置NAT

表1-1 配置NAT

操作

命令

说明

进入系统视图

system-view

-

定义一个地址池

nat address-group group-number start-address end-address

可选

如路由器仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址

配置地址转换

请参见1.3  配置地址转换

必选

配置内部服务器

请参见1.4  配置内部服务器

可选

配置地址转换有效时间

nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds }

可选

缺省情况下,各协议的地址转换有效时间如下:

DNS协议地址转换有效时间为60秒;

FTP协议控制链路(ftp-ctrl)地址转换有效时间为7200秒;

FTP协议数据链路(ftp-data)地址转换有效时间为300秒;

ICMP地址转换有效时间为60秒;

PPTP协议地址转换有效时间为86400秒;

TCP地址转换有效时间为86400秒;

TCP 协议fin 、rst连接地址转换有效时间为60秒;

TCP协议syn连接地址转换有效时间为3600秒;

UDP地址转换有效时间为300秒;

使能地址转换应用网关功能

nat alg { dns | ftp | ils | nbt | pptp }

可选

缺省情况下,地址转换应用网关功能处于使能状态

本命令中参数pptp的支持情况与设备的型号有关,请以设备的实际情况为准

配置NAT日志

请参见1.5  配置NAT日志

可选

缺省情况下,不使能NAT日志功能

配置连接限制

请参见1.6  配置连接限制

可选

缺省情况下,不使能连接限制功能

 

1.3  配置地址转换

1.3.1  地址转换介绍

将访问控制列表和地址池(或接口地址)关联后,即可实现地址转换。这种关联指定了“具有某些特征的IP报文”才可以使用“地址池中的地址(或接口地址)”。当内部网络有数据包要发往外部网络时,首先根据访问控制列表判定首个数据包是否是允许的数据包,然后根据关联找到与之对应的地址池(或接口地址)进行转换,并建立地址转换表项,后续数据包直接根据地址转换表项进行转换。

访问控制列表的配置请参见“安全分册”中的“ACL配置”。

不同形式的地址转换,配置方法稍有不同。

l              Easy IP

如果地址转换命令不带address-group参数,即仅使用nat outbound acl-number命令,则实现了Easy IP的特性。地址转换时,直接使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。

l              一对一地址转换

配置一对一地址转换时,需要首先在系统视图下配置静态的地址转换,然后在接口下使该转换生效。

l              多对多地址转换

将访问控制列表和地址池关联,且不转换端口信息,即可实现多对多地址转换。

l              NAPT

将访问控制列表和NAT地址池关联,同时转换数据包的IP地址和端口信息。

l              NAT多实例

无论Easy IP、多对多地址转换,还是NAPT,都可以支持NAT多实例的配置。只要在访问控制列表的规则rule中配置vpn-instance vpn-instance-name,指明哪些MPLS VPN用户需要进行地址转换,即可以实现对MPLS VPN的支持。

1.3.2  配置地址转换

1. 配置Easy IP

表1-2 配置Easy IP

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置访问控制列表和接口地址关联,实现Easy IP特性

nat outbound acl-number

必选

 

2. 配置静态地址转换

表1-3 配置静态地址转换

操作

命令

说明

进入系统视图

system-view

-

配置从内部IP地址到外部IP地址的静态转换

nat static  { ip-address1 ip-address2 | net-to-net start-ip end-ip global global-net-address { mask | mask-length } }

必选

进入接口视图

interface interface-type interface-number

-

使已经配置的NAT静态转换在接口上生效

nat outbound static

必选

 

3. 配置多对多地址转换

表1-4 配置多对多地址转换

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置访问控制列表和地址池关联,且不使用端口信息,实现多对多地址转换

nat outbound acl-number address-group group-number no-pat

必选

 

4. 配置NAPT

表1-5 配置NAPT

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置访问控制列表和地址池关联,并且同时使用IP地址和端口信息

nat outbound acl-number address-group group-number

必选

 

1.4  配置内部服务器

1.4.1  内部服务器介绍

通过配置内部服务器,可以将相应的外部地址、端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器。内部服务器与外部网络的映射表是由nat server命令配置的。

配置内部服务器时需要配置的信息包括:外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。

当内部服务器位于MPLS VPN时,还应指定所属的vpn-instance-name。如果不设置该值,表示内部服务器属于一个普通的私网,不属于某一个MPLS VPN。

1.4.2  配置内部服务器

表1-6 配置内部服务器

操作

命令

说明

进入系统视图

system-view

-

进入相应的接口视图

interface interface-type interface-number

-

配置一个内部服务器

nat server [ vpn-instance vpn-instance-name ] protocol pro-type global { global-address | interface { interface-type interface-number } | current-interface } [ global-port ] inside host-address [ host-port ]

二者必选其一

nat server [ vpn-instance vpn-instance-name ] protocol pro-type global { global-address | interface { interface-type interface-number } | current-interface } global-port1 global-port2 inside host-address1 host-address2 host-port

 

  注意:

l      目前设备支持引用接口地址作为内部服务器的公网地址,即Easy IP特性,如果指定具体的接口,只能指定LoopBack接口,且该LoopBack接口必须是已存在的。

l      配置Easy IP类型的内部服务器时,如果指定的接口未配置地址,则对应的内部服务器的配置不生效。

l      Easy IP方式的内部服务器的支持情况与设备的型号有关,请以设备的实际情况为准。

 

1.5  配置NAT日志

1.5.1  NAT日志介绍

NAT日志是NAT网关在进行NAT转换时生成的一种系统信息。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP地址、转换后的源端口以及用户执行的操作等。它只用于记录私网用户访问外部网络的情况,不记录外部用户对私网服务器的访问。

私网用户通过NAT网关访问外部网络时,多个用户共用一个公网地址,从而无法定位访问网络的用户。利用日志功能可以实时跟踪、记录私网用户访问外部网络的情况,增强网络的安全性。

1.5.2  开启NAT日志功能

表1-7 开启NAT日志功能

操作

命令

说明

进入系统视图

system-view

-

使能NAT日志功能

nat log enable [ acl acl-number ]

必选

缺省情况下,不使能NAT日志功能

设置在创建NAT连接时进行NAT日志的记录

nat log flow-begin

必选

缺省情二者必选其一况下,创建NAT连接时不生成记录

使能NAT日志的活跃流记录功能,并设置活跃流日志的时间间隔

nat log flow-active minutes

二者必选其一

缺省情况下,创建NAT连接时不生成记录

缺省情况下,NAT日志的活跃流记录功能处于关闭状态

 

1.5.3  配置NAT日志的输出

NAT日志信息有两种输出方向:

l              输出至信息中心

NAT日志将转化成系统日志输出到本设备的信息中心,再通过设置信息中心的输出方向,最终决定NAT日志的输出方向。一次最多可以输出10条NAT日志到信息中心。

l              输出至日志服务器

系统将NAT日志封装成UDP报文发送给网络中的日志服务器,如图1-3所示。输出的UDP报文可以有多种版本,不同的版本使用的UDP报文格式不同,目前使用版本1。UDP报文中可以包含多条NAT日志记录的原始信息,它由一个报文头和若干条NAT日志记录组成。

图1-3 NAT日志信息输出示意图

1. 配置NAT日志输出至信息中心

表1-8 配置NAT日志输出至信息中心

操作

命令

说明

进入系统视图

system-view

-

设置NAT日志输出至信息中心

userlog nat syslog

必选

缺省情况下,NAT日志输出至NAT日志服务器

 

&  说明:

l      NAT日志输出到信息中心会占用设备的存储空间,所以,建议在日志量较小的情况下,使用该输出方向。

l      NAT日志输出至信息中心时,NAT日志信息的优先级为informational,即作为设备的一般提示信息。

l      有关信息优先级及信息中心的详细介绍请参见“系统分册”中的“信息中心配置”。

 

2. 配置NAT日志输出至日志服务器

以UDP报文方式将NAT日志发送给NAT日志服务器时,可以配置三项参数:

l              NAT日志服务器的IP地址和UDP端口号。如果不配置信息中心输出方向,也不指定日志服务器的地址,NAT日志就会无法正常输出。

l              NAT日志报文的源IP地址。在日志服务器端,通过识别NAT日志的源IP地址,可以迅速定位日志信息的来源,建议使用Loopback接口地址作为日志报文的源IP地址。

l              NAT日志报文版本号。输出的日志报文可以有多种版本,不同的版本使用的报文格式不同,目前设备支持版本1。

表1-9 配置NAT日志服务器

操作

命令

说明

进入系统视图

system-view

-

设置NAT日志服务器的IP地址和UDP端口号

userlog nat export host ip-address udp-port

必选

设置承载NAT日志的UDP报文的源IP地址

userlog nat export source-ip ip-address

可选

缺省情况下,承载NAT日志的UDP报文的源IP地址为发送该报文的接口的IP地址

设置NAT日志报文的版本号

userlog nat export version version-number

可选

缺省情况下,NAT日志报文的版本号为1

 

&  说明:

l      NAT日志服务器的IP地址必须是合法的单播地址。

l      为避免与系统自定义的端口号冲突,建议用户使用1024以上的UDP端口作为日志服务器的UDP端口号。

 

1.6  配置连接限制

1.6.1  连接限制介绍

单一用户如果在短时间内发起大量的连接,就会导致系统资源迅速消耗,挤占其它合法用户的资源。为防止这种情况出现,需要对用户采用连接限制。

配置连接限制策略,将连接限制策略与NAT模块绑定,同时开启连接限制功能开关,将对用户进行连接限制。

目前,对用户进行连接限制只有一种模式:限制用户的连接数。

l              限制用户发起的连接数,并支持多VPN用户。

l              当一个用户的连接数达到上限值时,将不允许该用户新建连接。

l              对于支持连接数下限值限制的设备,当用户连接创建的表项逐渐老化,连接数等于或者低于连接数下限后,用户才可以新建连接。

l              对于不支持连接数下限值限制的设备,连接数达到上限值后,用户在5分钟之内不能建立连接,之后如果连接数低于上限值,则又可以新建连接。

  注意:

l      在连接限制策略中没有配置的选项,以全局下的配置为准。

l      对于在连接限制策略中未指定的用户所建立的连接,将采用全局的配置进行连接统计与限制。

 

1.6.2  配置连接限制

1. 配置连接限制全局参数

表1-10 配置连接限制全局参数

操作

命令

说明

进入系统视图

system-view

-

开启连接限制功能

connection-limit enable

必选

缺省情况下,连接限制功能处于关闭状态

设置全局连接限制动作

connection-limit default action [ permit | deny ]

可选

缺省情况下,不对用户连接进行统计和限制

设置全局连接数限制

connection-limit default amount { upper-limit max-amount | lower-limit min-amount } *

可选

缺省情况下,连接数上限值为100,下限值为20

是否支持参数lower-limit与设备的型号有关,请以设备的实际情况为准

 

2. 配置连接限制策略

表1-11 配置连接限制策略

操作

命令

说明

进入系统视图

system-view

-

创建或编辑一个连接限制策略,并进入连接限制策略视图

connection-limit policy policy-number

必选

配置连接限制规则

limit limit-id acl acl-number [ per-destination | per-service | per-source ] * amount max-amount min-amount

必选

配置对用户连接的限制模式

limit mode amount

可选

缺省情况下,对用户的连接数进行限制

 

3. 配置连接限制策略与NAT模块绑定

表1-12 配置连接限制策略与NAT模块绑定

操作

命令

说明

进入系统视图

system-view

-

将某个连接限制策略与NAT模块绑定在一起

nat connection-limit-policy policy-number

必选

 

  注意:

l      NAT模块使用绑定的策略,对相关的连接进行限制。一个模块只能绑定一条策略。

l      只有在连接限制策略与NAT模块绑定后,全局的连接限制配置才能生效。

 

1.7  NAT显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示地址转换配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除地址转换的统计信息。

表1-13 NAT显示和维护

操作

命令

显示NAT地址池的信息

display nat address-group

显示地址转换连接的有效时间

display nat aging-time

显示所有的地址转换的配置信息

display nat all

显示NAT模块创建的连接限制统计信息

display nat connection-limit [ source src-address { mask | mask-length } ] [ destination dst-address { mask | mask-length } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ]

显示配置的地址转换的信息

display nat outbound

显示内部服务器的信息

display nat server

显示当前激活的连接信息

display nat session [ vpn-instance vpn-instance-name ] [ source { global global-address | inside inside-address } ] [ destination dst-address ]

显示地址转换的统计信息

display nat statistics

显示用户当前配置的连接限制策略

display connection-limit policy { policy-number | all }

显示连接限制统计信息

display connection-limit statistics [ source src-address { mask | mask-length } ] [ destination dst-address { mask | mask-length } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ]

显示日志配置信息

display nat log

查看NAT日志的配置和统计信息

display userlog export

清除NAT日志缓存中的记录

reset userlog nat logbuffer

清除NAT日志的统计信息

reset userlog export

清除内存中地址转换的映射表,释放动态分配的用于存放映射表的内存

reset nat session

 

&  说明:

清除NAT日志缓存区中的记录会造成NAT日志信息的丢失,正常情况下,建议不要进行清除操作。

 

1.8  典型NAT配置举例

1. 组网需求

图1-4所示,一个公司利用设备的NAT功能连接到Internet。该公司能够通过设备的Serial 1/0访问Internet,公司内部对外提供WWW、FTP和SMTP服务,而且提供两台WWW服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.1,内部WWW服务器1的IP地址为10.110.10.2,内部WWW服务器2的IP地址为10.110.10.3,内部SMTP服务器IP地址为10.110.10.4,并且希望可以对外提供统一的服务器的IP地址。通过配置NAT特性,满足如下要求:

l              内部网络中IP地址为10.110.10.0/24的用户可以访问Internet,其它网段的用户则不能访问Internet。

l              外部的PC可以访问内部的服务器。

l              公司具有202.38.160.100/24至 202.38.160.105/24六个合法的IP地址。选用202.38.160.100作为公司对外的IP地址,WWW服务器2对外采用8080端口。

2. 组网图

图1-4 NAT典型配置组网图

3. 配置步骤

# 配置地址池和访问控制列表。

<VG> system-view

[VG] nat address-group 1 202.38.160.100 202.38.160.105

[VG] acl number 2001

[VG-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[VG-acl-basic-2001] rule deny source 10.110.0.0 0.0.255.255

[VG-acl-basic-2001] quit

# 允许10.110.10.0/24网段的IP地址进行NAT转换,其他网段的IP地址不能进行NAT转换。

[VG] interface ethernet 1/0

[VG-Ethernet1/0] nat outbound 2001 address-group 1

# 设置内部FTP服务器。

[VG-Ethernet1/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.1 ftp

# 设置内部WWW服务器1。

[VG-Ethernet1/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.2 www

# 设置内部WWW服务器2。

[VG-Ethernet1/0] nat server protocol tcp global 202.38.160.100 8080 inside 10.110.10.3 www

# 设置内部SMTP服务器。

[VG-Ethernet1/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.4 smtp

1.8.1  NAT日志输出至信息中心配置举例

1. 组网需求

l              私网上的Host通过VG访问公网上的设备Device B;

l              VG开启NAT转换功能,它对私网用户和公网设备之间往来的报文做NAT转换,并将NAT日志转化成系统日志送到信息中心;

l              通过查看信息中心的记录,实现私网用户的监控。

2. 组网图

图1-5 NAT日志输出到信息中心组网图

3. 配置步骤

&  说明:

下面只列出了与NAT日志相关的配置,各设备的IP地址及NAT网关NAT功能的配置略。

 

# 设置VG的NAT日志输出到信息中心。

<VG> system-view

[VG] userlog nat syslog

# 在VG上开启NAT日志功能。

[VG] nat log enable

# 通过查看日志缓冲区监视私网用户的访问记录。

[VG] quit

<VG> dir

Directory of cf:/

 

   0   -rw-  16850028  Aug 07 2009 04:02:42   mainpack.bin

   1   drw-         -  Aug 07 2005 05:13:48   logfile

   2   -rw-      1747  Aug 07 2009 04:05:38   config.cfg

   3   -rw-    524288  Aug 13 2009 01:27:40   basicbtm.bin

   4   -rw-    524288  Aug 13 2009 01:27:40   extendbtm.bin

 

249852 KB total (232072 KB free)

 

File system type of cf: FAT32

 

<VG> cd logfile

<VG> more logfile.log

……略……

%@250005%Jul  7 04:20:04:72 2005 DeviceA USERLOG/7/NAT:

 ICMP; 192.168.1.6:768--->1.1.1.1:12288; 2.2.2.2:768;

 [2005/07/07 04:20:03-0000/00/00 00:00:00];

 Operator 8: Data flow created

%@250006%Jul  7 04:20:10:72 2005 DeviceA USERLOG/7/NAT:

 ICMP; 192.168.1.6:768--->1.1.1.1:12288; 2.2.2.2:768;

 [2005/07/07 04:20:03-2005/07/07 04:20:09];

 Operator 1: Normal over

%@250007%Jul  7 04:20:30:72 2005 DeviceA USERLOG/7/NAT:

 ICMP; 192.168.1.6:768--->1.1.1.1:12288; 2.2.2.2:768;

 [2005/07/07 04:20:29-0000/00/00 00:00:00];

 Operator 8: Data flow created

……略……

日志文件中除了有NAT日志外,还有其他的系统日志。该举例里的NAT日志信息表示的具体含义如表1-14所示:

表1-14 NAT日志显示信息描述表

字段

描述

ICMP

ICMP协议

192.168.1.6:768

转换前报文的源地址和源端口

1.1.1.1:12288

转换后报文的源地址和源端口

2.2.2.2:768

目的地址和目的端口

2005/07/07 04:20:03

2005/07/07 04:20:29

NAT会话创建时间(本例中的时间是设备的系统时间,当采用UDP报文方式输出日志记录时,在UDP报文中填写的是系统时间距格林威治时间1970年1月1日0时整的秒数,日志服务器再根据自己的系统时间设置转换后再输出)

2005/07/07 04:20:09

0000/00/00 00:00:00

NAT会话的结束时间

0000/00/00 00:00:00表示结束时间不确定

Operator

NAT日志创建的原因,包括:

Aged for reset or config-change表示配置改变或者手工删除会话时生成的日志;

Aged for no-pat of NAT表示no-pat会话老化时生成的日志;

Active data flow timeout表示NAT会话的持续时间超过流活跃时间时生成的日志

Data flow created表示NAT会话创建时生成的日志;

Normal over表示会话老化时生成的日志

 

1.8.2  NAT日志输出至日志服务器配置举例

1. 组网需求

l              私网上的PC通过VG访问公网上的设备Device B;

l              VG开启NAT转换功能,它对私网用户和公网设备之间往来的报文做NAT转换,并将NAT日志以UDP报文方式送往NAT日志服务器;

l              NAT日志服务器运行XLog软件,查看收到的NAT日志信息。

2. 组网图

图1-6 NAT日志输出到日志服务器组网图

3. 配置步骤

&  说明:

下面只列出了与NAT日志相关的配置,各设备的IP地址及NAT网关NAT功能的配置略。

 

# 设置VG的NAT日志输出到NAT日志服务器。

<VG> system-view

[VG] userlog nat export host 3.3.3.7 9021

# 设置VG的NAT日志报文的源地址为9.9.9.9。

[VG] userlog nat export source-ip 9.9.9.9

# 在VG上开启NAT日志功能。

[VG] nat log enable

在NAT日志/系统日志服务器上需要运行Xlog软件来查看收到的NAT日志信息。

1.9  NAT常见配置错误举例

故障之一:地址转换不正常。

故障排除:通过打开NAT的调试信息开关,根据设备上的调试信息,初步定位错误,然后使用其它命令作进一步的判断。调试时,注意观察地址转换后的源地址,要保证这个地址是希望转换的地址,否则可能会是地址池配置错误。同时要保证目的网络到地址池中地址段的路由可达。注意防火墙以及地址转换本身的访问控制列表对地址转换造成的影响,同时注意路由的配置。

故障之二:内部服务器工作不正常。

故障排除:如果外部主机不能正常访问内部服务器,请检查是否是内部服务器主机的配置有错或语音网关上对内部服务器的配置有错,如对内部服务器的IP地址指定错误等等。同时也有可能是防火墙禁止了外部主机对内部网络的访问,可以用display acl命令来查看,详细内容请参见“安全分册”中的“防火墙配置”。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们