- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-NAT命令
本章节下载 (250.47 KB)
目 录
1.1.1 connection-limit default action
1.1.2 connection-limit default amount
1.1.5 display connection-limit policy
1.1.6 display connection-limit statistics
1.1.7 display nat address-group
1.1.10 display nat connection-limit
1.1.22 nat connection-limit-policy
1.1.32 reset userlog nat logbuffer
1.1.33 userlog nat export host
1.1.34 userlog nat export source-ip
1.1.35 userlog nat export version
【命令】
connection-limit default action [ permit | deny ]
undo connection-limit default action
【视图】
系统视图
【参数】
permit:允许对用户连接进行统计和限制。
deny:禁止对用户连接进行统计和限制。
【描述】
connection-limit default action命令用来设置全局连接限制动作,即对于在连接限制策略中未指定的用户所建立的连接,所采用的连接统计与限制的动作。undo connection-limit default命令用来恢复缺省情况。
缺省情况下,不对用户连接进行统计和限制。
【举例】
# 设置对连接进行限制。
<VG> system-view
[VG] connection-limit default action permit
【命令】
connection-limit default amount { upper-limit max-amount | lower-limit min-amount } *
undo connection-limit default amount
【视图】
系统视图
【参数】
upper-limit max-amount:指定连接数上限值,取值范围是1~4294967295。lower-limit min-amount:指定连接数下限值,取值范围是0~4294967295。min-amount的值不能大于或等于max-amount的值。
【描述】
connection-limit default amount命令用来设置连接数限制。undo connection-limit default amount命令用来恢复缺省情况。
缺省情况下,连接数上限值为100,下限值为20。
【举例】
# 设置全局连接数上限值为200,下限值为50。
<VG> system-view
[VG] connection-limit default amount upper-limit 200 lower-limit 50
【命令】
connection-limit enable
undo connection-limit enable
【视图】
系统视图
【参数】
无
【描述】
connection-limit enable命令用来开启连接限制功能。undo connection-limit enable命令用来关闭连接限制功能。
缺省情况下,连接限制功能处于关闭状态。
打开连接限制功能后,用户的连接数将被限制。
【举例】
# 打开连接限制功能。
<VG> system-view
[VG] connection-limit enable
【命令】
connection-limit policy policy-number
undo connection-limit policy { policy-number | all }
【视图】
系统视图
【参数】
policy-number:连接限制策略编号,取值范围为0~19。
all:删除策略时使用,用于删除所有的策略。
【描述】
connection-limit policy命令用来创建或编辑一个连接限制策略,并进入连接限制策略视图。undo connection-limit policy命令用来删除一个或全部连接限制策略。
需要注意的是:
l 一个连接限制策略由一系列的连接限制规则组成,在规则中指明了对指定用户的连接数进行限制。同时,在策略中可以指定连接的限制模式。缺省情况下,策略采用全局的连接限制模式。
l 创建一个连接限制策略需要指定策略的编号,此编号用来唯一标识此策略。策略匹配按照编号从大到小顺序匹配。
l 如果策略未与NAT模块绑定,可以修改策略中已配置的连接限制规则。如果策略已与NAT模块绑定,则不允许修改策略中已配置的连接限制规则。无论连接限制策略是否与NAT模块绑定,均可以修改策略的连接限制模式,也可以在策略中进行添加或删除连接限制规则操作。
【举例】
# 创建策略编号为1的连接限制策略。
<VG> system-view
[VG] connection-limit policy 1
【命令】
display connection-limit policy { policy-number | all }
【视图】
任意视图
【参数】
policy-number:要显示的策略编号,取值范围为0~19。
all:显示所有的策略。
【描述】
display connection-limit policy命令用来显示用户当前配置的连接限制策略。
【举例】
# 显示所有已配置策略。
<VG> display connection-limit policy all
There is 1 policy:
Connection-limit policy 1, refcount 0 , 1 limit
limit mode amount
limit rate 11
limit 1 acl 2001 per-source amount 1111 10
表1-1 display connection-limit policy all命令显示信息描述表
|
字段 |
描述 |
|
Connection-limit policy |
连接限制策略编号 |
|
refcount |
策略被引用的次数 |
|
limit |
策略中包含的规则数目 |
|
limit mode |
对用户连接的限制模式:amount表示限制用户的连接数 |
|
acl |
基本访问控制列表 |
|
per-source |
按ACL中定义的源地址方式统计 |
|
amount |
限制用户连接数的上限值和下限值 |
【命令】
display connection-limit statistics [ source src-address { mask | mask-length } ] [ destination dst-address { mask | mask-length } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【参数】
source src-address:显示指定源地址的连接限制统计信息。
destination dst-address:显示指定目的地址的连接限制统计信息。
mask:网络掩码。
mask-length:网络掩码的长度,取值范围为1~32。
destination-port { eq | gt | lt | neq | range } port-number:按端口显示连接限制统计信息。eq,等于指定的端口号;gt,大于指定的端口号;lt,小于指定的端口号;neq,不等于指定的端口号;range,指定端口号范围。port-number为端口号,取值范围为0~65535。参数为range时,port-number为<start-port,end-port>,start-port和end-port取值范围为0~65535,且start-port不能大于end-port。
vpn-instance vpn-instance-name:指定用户连接所属的MPLS VPN实例。vpn-instance-name为1~19个字符的字符串。如果不设置该值,表示待查询连接统计的用户属于一个普通的私网,不属于某一个MPLS VPN实例。
【描述】
display connection-limit statistics命令用来显示连接限制统计信息。
【举例】
# 显示所有连接限制统计信息。
<VG> display connection-limit statistics
source-ip dest-ip dest-port vpn-instance
192.168.0.210 --- --- ---
--------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
2 200 100 0
source-ip dest-ip dest-port vpn-instance
192.168.0.210 --- --- ---
--------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
2 50 20 0
表1-2 display connection-limit statistics命令显示信息描述表
|
字段 |
描述 |
|
source-ip |
源IP地址 |
|
dest-ip |
目的IP地址 |
|
dest-port |
目的端口号 |
|
vpn-instance |
用户连接所属MPLS VPN实例名 |
|
amount |
限制连接数 |
|
upper-limit |
用户可建连接数上限值 |
|
lower-limit |
用户可建连接数下限值 |
|
limit-flag |
新连接是否还能建立标志,为0时可以再建,为1时不能再建 |
【命令】
display nat address-group
【视图】
任意视图
【参数】
无
【描述】
display nat address-group命令用来显示NAT地址池的信息。
【举例】
# 显示NAT地址池的信息。
<VG> display nat address-group
NAT address-group information:
There are currently 1 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
表1-3 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group Information |
显示NAT地址池信息 |
|
There are currently 1 nat address-group(s) |
存在1条NAT地址池信息 |
|
1 : from 202.110.10.10 to 202.110.10.15 |
1号地址池的IP地址范围从202.110.10.10到202.110.10.15 |
【命令】
display nat aging-time
【视图】
任意视图
【参数】
无
【描述】
display nat aging-time命令用来显示地址转换连接的有效时间。
【举例】
# 显示地址转换连接的有效时间。
<VG> display nat aging-time
NAT aging-time value information:
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 3600 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
表1-4 display nat aging-time命令显示信息描述表
|
字段 |
描述 |
|
NAT aging-time value information |
显示各个协议的NAT转换有效时间 |
|
tcp ---- aging-time value is 86400 (seconds) |
TCP协议地址转换有效时间为86400秒 |
|
udp ---- aging-time value is 300 (seconds) |
UDP协议地址转换有效时间为300秒 |
|
icmp ---- aging-time value is 60 (seconds) |
ICMP协议地址转换有效时间为60秒 |
|
pptp ---- aging-time value is 86400 (seconds) |
PPTP协议地址转换有效时间为86400秒 |
|
dns ---- aging-time value is 60 (seconds) |
DNS协议地址转换有效时间为60秒 |
|
tcp-fin ---- aging-time value is 60 (seconds) |
TCP 协议fin 或 rst连接地址转换有效时间为60秒 |
|
tcp-syn ---- aging-time value is 3600 (seconds) |
TCP 协议syn连接地址转换有效时间为3600秒 |
|
ftp-ctrl ---- aging-time value is 7200 (seconds) |
FTP协议控制链路地址转换有效时间为7200秒 |
|
ftp-data ---- aging-time value is 300 (seconds) |
FTP协议数据链路地址转换有效时间300秒 |
【命令】
display nat all
【视图】
任意视图
【参数】
无
【描述】
display nat all命令用来显示所有的地址转换的配置信息。
【举例】
# 显示所有的关于地址转换的配置信息。
<VG> display nat all
NAT address-group information:
There are currently 1 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
NAT outbound information:
There are currently 2 nat outbound rule(s)
GigabitEthernet0/0: acl (2001) --- NAT address-group(1) [no-pat]
GigabitEthernet0/1: --- static
Server in private network information:
There are currently 1 internal server(s)
Interface: GigabitEthernet0/0, Protocol:6(tcp),
[global] 202.110.10.10: 8080 [local] 10.110.10.10: 80(www)
NAT static information:
There are currently 2 static table(s)
GlobalAddr InsideAddr Vpn-instance
192.168.1.111 2.3.4.5 ----
4.4.4.4 3.3.3.3 ----
NAT aging-time value information:
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 3600 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
NAT log information:
log enable : enable acl 2000
flow-begin : enable
flow-active : 10(minutes)
表1-5 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
显示NAT地址池信息 |
|
There are currently 1 nat address-group(s) |
存在1条NAT地址池信息 |
|
1 : from 202.110.10.10 to 202.110.10.15 |
1号地址池的IP地址范围从202.110.10.10到202.110.10.15 |
|
NAT outbound information: |
显示内部地址和外部地址的转换配置信息 |
|
There are currently 2 nat outbound rule(s) |
存在2条地址转换关联信息 |
|
GigabitEthernet0/0: acl (2001) --- NAT address-group(1) [no-pat] |
在GigabitEthernet0/0配置了1个地址转换关联:ACL规则2001与地址池1关联,进行多对多方式的地址转换;[no-pat]表示不进行端口的转换 |
|
GigabitEthernet0/0: --- static |
在GigabitEthernet0/0配置了静态地址转换 |
|
Server in private network information |
显示内部服务器信息 |
|
There are currently 1 internal server(s) |
存在1条内部服务器信息 |
|
Interface: GigabitEthernet0/0, Protocol:6(tcp), [global] 202.110.10.10: 8080 [local] 10.110.10.10: 80(www) |
在GigabitEthernet0/0配置了1个内部服务器:使用TCP协议;公网地址是202.110.10.10,端口号为8080;内部地址是10.110.10.10,端口号为80 |
|
NAT static information: |
静态地址转换信息 |
|
There are currently 2 static table(s) |
存在2条静态转换表项 |
|
GlobalAddr |
外部IP地址 |
|
InsideAddr |
内部IP地址 |
|
Vpn-instance |
内部IP地址所属的三层VPN名 |
|
tcp ---- aging-time value is 86400 (seconds) |
TCP协议地址转换有效时间为86400秒 |
|
udp ---- aging-time value is 300 (seconds) |
UDP协议地址转换有效时间为300秒 |
|
icmp ---- aging-time value is 60 (seconds) |
ICMP协议地址转换有效时间为60秒 |
|
pptp ---- aging-time value is 86400 (seconds) |
PPTP协议地址转换有效时间为86400秒 |
|
dns ---- aging-time value is 60 (seconds) |
DNS协议地址转换有效时间为60秒 |
|
tcp-fin ---- aging-time value is 60 (seconds) |
TCP 协议fin 或 rst连接地址转换有效时间为60秒 |
|
tcp-syn ---- aging-time value is 3600 (seconds) |
TCP 协议syn连接地址转换有效时间为3600秒 |
|
ftp-ctrl ---- aging-time value is 7200 (seconds) |
FTP协议控制链路地址转换有效时间为7200秒 |
|
ftp-data ---- aging-time value is 300 (seconds) |
FTP协议数据链路地址转换有效时间300秒 |
|
NAT log information |
显示地址转换的日志信息 |
|
log enable : enable acl 2000 |
日志使能信息,对匹配acl 2000的数据流做日志记录 |
|
flow-begin : enable |
新建流使能 |
|
flow-active : 10(minutes) |
活跃流的间隔时间为10分钟 |
【命令】
display nat connection-limit [ source src-address { mask | mask-length } ] [ destination dst-address { mask | mask-length } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【参数】
source src-address:显示指定源地址的连接限制统计信息。
destination dst-address:显示指定目的地址的连接限制统计信息。
mask:网络掩码。
mask-length:网络掩码的长度,取值范围为1~32。
destination-port { eq | gt | lt | neq | range } port-number:按目的端口号显示连接限制统计信息。eq,等于指定的端口号;gt,大于指定的端口号;lt,小于指定的端口号;neq,不等于指定的端口号;range,指定端口号范围。port-number为端口号,取值范围为0~65535。参数为range时,port-number为<start-port,end-port>,start-port和end-port取值范围为0~65535,且start-port不能大于end-port。
vpn-instance vpn-instance-name:指定用户连接所属MPLS VPN实例。vpn-instance-name为1~31个字符的字符串。如果不设置该值,表示待查询连接统计的用户属于一个普通的私网,不属于某一个MPLS VPN实例。
【描述】
display nat connection-limit命令用来显示NAT模块创建的连接限制统计信息。
【举例】
# 显示NAT模块创建的连接限制统计信息。
<VG> display nat connection-limit
source-ip dest-ip dest-port vpn-instance
192.168.0.210 --- --- ---
--------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
2 50 20 0
表1-6 display nat connection-limit命令显示信息描述表
|
字段 |
描述 |
|
source-ip |
连接的源IP地址,为“---”时表示连接中无该信息 |
|
dest-ip |
连接的目的IP地址,为“---”时表示连接中无该信息 |
|
dest-port |
连接的目的端口,为“---”时表示连接中无该信息 |
|
vpn-instance |
连接所属MPLS VPN实例名,为“---”时连接不属于任何MPLS VPN实例 |
|
NAT |
连接是通过NAT建立起来的 |
|
amount |
当前用户实际连接数 |
|
upper-limit |
用户可建连接上限值 |
|
lower-limit |
用户可建连接下限值 |
|
limit-flag |
用户能否再建连接标志,为0时表示用户还可再建连接,为1时表示用户不能再建连接 |
【命令】
display nat log
【视图】
任意视图
【参数】
无
【描述】
display nat log命令用来显示配置的日志信息。
【举例】
# 显示配置的日志信息。
<VG> display nat log
NAT log information:
log enable : enable acl 2000
flow-begin : enable
flow-active : 10(minutes)
表1-7 display nat log命令显示信息描述表
|
字段 |
描述 |
|
NAT log information : |
显示地址转换的日志信息 |
|
log enable : enable acl 2000 |
日志使能信息,对匹配ACL 2000的数据流做日志记录 |
|
flow-begin : enable |
新建流使能 |
|
flow-active : 10(minutes) |
活跃流的间隔时间为10分钟 |
【命令】
display nat outbound
【视图】
任意视图
【参数】
无
【描述】
display nat outbound命令用来显示配置的地址转换的信息。
【举例】
# 显示配置的地址转换的信息。
<VG> display nat outbound
NAT outbound information:
There are currently 2 nat outbound rule(s)
GigabitEthernet0/0: acl (2001) --- NAT address-group(1) [no-pat]
GigabitEthernet0/1: acl (2002) --- interface
表1-8 display nat outbound命令显示信息描述表
|
字段 |
描述 |
|
NAT outbound information: |
显示内部地址和外部地址的转换信息 |
|
There are currently 2 nat outbound rule(s) |
存在2条地址转换关联信息 |
|
GigabitEthernet0/0: acl (2001) --- NAT address-group(1) [no-pat] |
在GigabitEthernet0/0配置了1个地址转换关联:ACL规则2001与地址池1关联,进行多对多方式的地址转换;[no-pat]表示不进行端口的转换 |
|
GigabitEthernet0/1: acl (2002) --- interface |
在GigabitEthernet0/1配置了1个地址转换关联:ACL规则2002直接与接口关联,进行Easy IP方式的地址转换 |
【命令】
display nat server
【视图】
任意视图
【参数】
无
【描述】
display nat server命令用来显示内部服务器的信息。
【举例】
# 显示内部服务器的信息。
<VG> display nat server
Server in private network information:
There are currently 1 internal server(s)
Interface: GigabitEthernet0/0, Protocol:6(tcp),
[global] 202.110.10.10: 8080 [local] 10.110.10.10: 80(www)
表1-9 display nat server命令显示信息描述表
|
字段 |
描述 |
|
Server in private network information |
显示内部服务器信息 |
|
There are currently 1 internal server(s) |
存在1条内部服务器信息 |
|
Interface: GigabitEthernet0/0, Protocol:6(tcp), [global] 202.110.10.10: 8080 [local] 10.110.10.10: 80(www) |
在GigabitEthernet0/0配置了1个内部服务器,使用TCP协议;公网地址是202.110.10.10,端口号为8080,内部地址是10.110.10.10,端口号为80 |
【命令】
display nat session [ vpn-instance vpn-instance-name ] [ source { global global-address | inside inside-address } ] [ destination dst-address ]
【视图】
任意视图
【参数】
vpn-instance vpn-instance-name:显示指定MPLS VPN实例内的NAT转换表项。vpn-instance-name为1~31个字符的字符串。
source global global-address:显示指定外部源地址的NAT转换表项。
source inside inside-address:显示指定内部源地址的NAT转换表项。
destination dst-address:显示指定目的IP地址的NAT转换表项。
【描述】
display nat session命令用来显示当前激活的连接信息。
【举例】
# 显示当前激活的连接信息。
<VG> display nat session
There are currently 1 NAT session:
Protocol GlobalAddr Port InsideAddr Port DestAddr Port
1 2.2.2.10 12288 192.168.0.210 768 2.2.2.2 768
VPN: 0, status: 4011, TTL: 00:01:00, Left: 00:00:53
表1-10 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Protocol |
协议号,1代表是ICMP协议 |
|
GlobalAddr Port |
转换后的外部源地址和源端口 |
|
InsideAddr Port |
转换前的内部源地址和源端口 |
|
DestAddr Port |
目的地址和端口 |
|
VPN |
转换表项所属MPLS VPN实例的索引,取值与系统有关,如果系统支持1024个VPN实例,则取值为0~1023,当取值为0时表示不属于任何MPLS VPN实例 |
|
status |
表项的状态特征 |
|
TTL |
表项的生命周期,单位为小时:分钟:秒钟 |
|
Left |
表项的剩余的存活时间,单位为小时:分钟:秒钟 |
【命令】
display nat statistics
【视图】
任意视图
【参数】
无
【描述】
display nat statistics命令用来显示地址转换的统计信息。
【举例】
# 显示地址转换的统计信息。
<VG> display nat statistics
total PAT session table count: 0
total NO-PAT session table count: 0
total SERVER session table count: 0
total STATIC session table count: 0
total FRAGMENT session table count: 0
total session table count HASH by Internet side IP: 0
active PAT session table count: 0
active NO-PAT session table count: 0
active FRAGMENT session table count: 0
active session table count HASH by Internet side IP: 0
表1-11 display nat statistics命令显示信息描述表
|
字段 |
描述 |
|
total PAT session table count |
PAT 转换表项数 |
|
total NO-PAT session table count |
NO-PAT 转换表项数 |
|
total SERVER session table count |
NAT内部服务器转换表项数 |
|
total STATIC session table count |
NAT静态配置转换表项数 |
|
total FRAGMENT session table count |
NAT分片转换表项数 |
|
total session table count HASH by Internet side IP |
根据对端地址散列的转换表项数 |
|
active PAT session table count |
活动的PAT转换表项数 |
|
active NO-PAT session table count |
活动的NO-PAT转换表项数 |
|
active FRAGMENT session table count |
活动的NAT分片转换表项数 |
|
active session table count HASH by Internet side IP |
活动的根据对端地址散列的转换表项数 |
【命令】
display userlog export
【视图】
任意视图
【参数】
无
【描述】
display userlog export命令用来查看NAT日志的配置和统计信息。
相关配置可参考命令reset userlog nat export。
【举例】
# 查看NAT日志的配置和统计信息。
<VG> display userlog export
NAT:
No ip userlog export is enabled
【命令】
limit limit-id acl acl-number [ per-destination | per-service | per-source ] * amount max-amount min-amount
undo limit limit-id
【视图】
连接限制策略视图
【参数】
limit-id:连接限制策略的子规则编号,取值范围为0~255。
acl-number:访问控制列表号,取值范围为2000~3999。ACL用来匹配某个数据流连接,如果匹配成功,则对用户的连接数进行统计和限制。
per-destination:按目的地址方式统计和限制。
per-service:按服务方式统计和限制。
per-source:按源地址方式统计和限制。
amount:设置连接数限制。
max-amount:连接数上限值,取值范围为1~4294967295。
min-amount:连接数下限值,取值范围为0~4294967295。min-amount必须小于max-amount。
【描述】
limit acl命令用来配置连接限制规则。undo limit命令用来删除指定的连接限制规则。
【举例】
# 配置编号为1的连接限制规则,按目的地址方式统计,限制用户连接数的上、下限值分别为200和100。如果此时内网有192.168.0.1和192.168.0.100两个用户访问公网服务器1.1.1.1,此时按目的地址进行统计,即要求与1.1.1.1服务器建立的连接数不超过200,ACL2001中的规则只是说明需要对从192.168.0.0/24发起的连接进行统计和限制。
<VG> system-view
[VG] acl number 2001
[VG-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[VG-acl-basic-2001] quit
[VG] connection-limit policy 1
[VG-connection-limit-policy-1] limit 1 acl 2001 per-destination amount 200 100
【命令】
limit mode amount
undo limit mode
【视图】
连接限制策略视图
【参数】
无
【描述】
limit mode amount命令用来设置对用户连接数的限制模式。undo limit mode命令用来取消对限制模式的设置,恢复为缺省情况。
缺省情况下,对用户的连接数进行限制。
【举例】
# 设置策略编号为1的对用户连接数的限制模式。
<VG> system-view
[VG] connection-limit policy 1
[VG-connection-limit-policy-1] limit mode amount
【命令】
nat address-group group-number start-address end-address
undo nat address-group group-number
【视图】
系统视图
【参数】
group-number:地址池索引号,取值范围为0~31。
end-address:地址池的结束IP地址。
【描述】
nat address-group命令用来配置NAT转换使用的地址池,undo nat address-group命令用来删除配置的地址池。
地址池是一些连续的IP地址集合,当内部数据包通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。如果start-address和end-address相同,表示只有一个地址。
需要注意的是:
l 已经和某个访问控制列表关联的地址池,在进行地址转换时是不允许删除的。
l 如果设备仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址。
& 说明:
l 地址池长度(地址池中包含的所有地址个数)与设备的型号有关,请以设备的实际情况为准。
l 某些设备上的地址池空间不能和以下地址重叠:普通地址池;启动EASY IP特性的接口IP地址;内部服务器的公网地址。
【举例】
# 配置一个从202.110.10.10 到 202.110.10.15的地址池,地址池索引号为1。
<VG> system-view
[VG] nat address-group 1 202.110.10.10 202.110.10.15
【命令】
nat aging-time { default | { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds }
【视图】
系统视图
【参数】
default:设置地址转换有效时间为系统缺省默认值。
dns:DNS协议地址转换有效时间 ,缺省值为60秒。
ftp-ctrl:FTP协议控制链路地址转换有效时间,缺省值为7200秒。
ftp-data:FTP协议数据链路地址转换有效时间,缺省值为300秒。
icmp:ICMP协议地址转换有效时间,缺省值为60秒。
pptp:PPTP协议地址转换有效时间,缺省值为86400秒。
tcp:TCP协议地址转换有效时间,缺省值为86400秒。
tcp-fin:TCP 协议fin 或 rst连接地址转换有效时间,缺省值为60秒。
tcp-syn:TCP 协议syn连接地址转换有效时间,缺省值为3600秒。
udp:UDP 协议地址转换有效时间,缺省值为300秒。
seconds:地址转换的有效时间,单位为秒,取值范围为10~86400(即24小时)。
【描述】
nat aging-time命令用来设置地址转换的有效时间。
由于地址转换所使用的HASH表不能永久存在,该命令支持用户为TCP、UDP、ICMP等协议分别设置HASH表有效的时间,若在设定的时间内未使用该HASH表,该表将失效。举例来说,某个IP地址为10.110.10.10的用户利用端口2000进行了一次对外TCP连接,地址转换为它分配了相应的地址和端口,但是若在一定时间内该连接一直未使用这个TCP连接,系统将把这个连接删除。
【举例】
# 设定TCP协议的连接有效时间为240秒。
<VG> system-view
【命令】
nat alg { dns | ftp | ils | nbt | pptp }
undo nat alg { dns | ftp | ils | nbt | pptp }
【视图】
系统视图
【参数】
dns:支持DNS协议。
ftp:支持FTP协议。
ils:支持ILS协议。
nbt:支持NBT协议。
pptp:支持PPTP协议。
【描述】
nat alg命令用来使能指定协议类型的地址转换应用网关功能。undo nat alg命令用来关闭指定协议类型的地址转换应用网关功能。
缺省情况下,地址转换应用网关功能处于使能状态。
【举例】
# 使能支持FTP应用的地址转换应用网关功能。
<VG> system-view
[VG] nat alg ftp
【命令】
nat connection-limit-policy policy-number
undo nat connection-limit-policy policy-number
【视图】
系统视图
【参数】
policy-number:指定与NAT模块绑定的连接限制策略编号,取值范围为0~19。
【描述】
nat connection-limit-policy命令用来将某个连接限制策略与NAT模块绑定在一起。undo nat connection-limit-policy命令用来取消绑定。
需要注意的是:
l NAT模块使用绑定的策略,对相关的连接进行限制。一个模块只能绑定一条策略。
l 只有在连接限制策略与NAT模块绑定后,全局的连接限制配置才能生效。
l 如果系统中存在多个NAT板,则配置的连接限制对所有NAT板都有效。
【举例】
# 将策略1与NAT模块绑定。
<VG> system-view
[VG] nat connection-limit-policy 1
# 删除策略1与NAT模块的绑定。
<VG> system-view
[VG] undo nat connection-limit-policy 1
【命令】
nat log enable [ acl acl-number ]
undo nat log enable
【视图】
系统视图
【参数】
acl acl-number:对匹配ACL的数据流使能NAT日志功能。acl-number的取值范围为2000~3999。不输入该参数时,对所有数据流使能NAT日志功能。
【描述】
nat log enable命令用来使能NAT日志功能。undo nat log enable命令用来取消NAT日志功能。
缺省情况下,不使能NAT日志功能。
【举例】
# 使能NAT日志功能。
<VG> system-view
[VG] nat log enable acl 2001
# 删除NAT日志功能。
<VG> system-view
[VG] undo nat log enable
【命令】
nat log flow-active minutes
undo nat log flow-active
【视图】
系统视图
【参数】
minutes:指定发送NAT活跃流日志的时间间隔。minutes的取值范围为10~120,单位为分钟。数据流每经过该时间间隔,发送一次日志。
【描述】
nat log flow-active命令用来使能NAT日志的活跃流记录功能,并设置活跃流日志的时间间隔。undo nat log flow-active命令用来关闭NAT日志的活跃流记录功能。
缺省情况下,NAT日志的活跃流记录功能处于关闭状态。
如果仅仅在创建、删除NAT连接时进行日志记录,由于有些连接可能长时间处于活动状态,设备一直不能对它进行记录日志。通过配置本命令,设备可以对这种长时间没有断开的连接进行定时记录。
【举例】
# 设置发送NAT活跃流日志的时间间隔为10分钟。
<VG> system-view
[VG] nat log flow-active 10
# 删除NAT活跃流日志发送时间间隔。
<VG> system-view
[VG] undo nat log flow-active
【命令】
nat log flow-begin
undo nat log flow-begin
【视图】
系统视图
【参数】
无
【描述】
nat log flow-begin命令用来设置在创建NAT连接时进行NAT日志的记录。undo nat log flow-begin命令用来恢复缺省情况。
缺省情况下,创建NAT连接时不生成记录。
【举例】
# 设置在创建NAT连接时进行NAT日志的记录。
<VG> system-view
[VG] nat log flow-begin
【命令】
nat outbound acl-number [ address-group group-number [ no-pat ] ]
undo nat outbound acl-number [ address-group group-number [ no-pat ] ]
【视图】
接口视图
【参数】
acl-number:访问控制列表的索引值,取值范围为2000~3999(既可以使用基本ACL,也可以使用高级ACL)。
address-group:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即Easy IP特性。
group-number:一个已经定义的地址池的编号,不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
no-pat:表示使用一对一的地址转换,只转换数据包的地址而不转换端口信息。
【描述】
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示符合ACL规则的报文的源IP地址可以使用地址池group-number中的地址进行地址转换。undo nat outbound命令用来取消关联。
需要注意的是:
l 通过配置访问控制列表和地址池的关联,将符合访问控制列表中的报文的源IP地址进行地址转换,可以选用地址池中的某个地址或者直接使用接口的IP地址进行转换。
l 可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况下和外部网络连接,是内部网络的出口。
l 当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址,则应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络,否则就会出现原有NAT表项不能自动删除,也无法使用reset nat session命令删除的情况。
l 执行undo nat outbound命令后,nat outbound命令生成的NAT地址映射表项不会被自动删除,这些表项需等待5~10分钟后自动老化。在此期间,使用该NAT地址映射表项的用户不能访问外部网络,但不使用该映射表项的用户不受影响。用户也可以使用reset nat session命令立即清除所有的NAT地址映射表项,但该命令会导致NAT业务中断,所有用户必须重新发起连接。用户可根据自身网络需求,选择适当的处理方式。
l 当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。
& 说明:
某些设备上的关联配置需遵循以下限制:
l 同一接口下配置的规则中所引用的ACL子规则之间不允许冲突:源IP地址信息、目的IP地址信息以及VPN实例信息完全相同,即认为冲突。对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息、VPN实例信息相同即认为冲突。
l 配置了DHCP Client的接口上不能配置EASY IP。
l 一个地址池只能配置在一个VLAN接口下。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用1.10.10.1 到1.10.10.20之间的地址作为转换后的地址。假设Serial 1/0接口连接外部网络。
<VG> system-view
[VG] acl number 2001
[VG-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[VG-acl-basic-2001] rule deny
[VG-acl-basic-2001] quit
# 配置地址池。
[VG] nat address-group 1 1.10.10.1 1.10.10.20
# 允许地址转换,使用地址池1中的地址进行地址转换,并且在转换的时候同时转换TCP/UDP的端口信息。
[VG] interface serial 1/0
[VG-Serial1/0] nat outbound 2001 address-group 1
# 如果进行地址转换时,不转换TCP/UDP的端口信息,可以使用如下配置。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] nat outbound 2001 address-group 1 no-pat
# 如果直接使用Serial 1/0接口的IP地址,可以使用如下的配置。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] nat outbound 2001
【命令】
nat outbound static
undo nat outbound static
【视图】
接口视图
【参数】
无
【描述】
nat outbound static用来使nat static命令配置的NAT一对一转换在接口上生效。undo nat outbound static用来取消接口上已经配置的NAT一对一转换。
【举例】
# 配置内部私有IP地址到外部全局IP地址的一对一转换,并且在Serial1/0接口上使能该地址转换。
<VG> system-view
[VG] nat static 192.168.1.1 2.2.2.2
[VG] serial 1/0
[VG-Serial1/0] nat outbound static
【命令】
nat server [ vpn-instance vpn-instance-name ] protocol pro-type global { global-address | interface { interface-type interface-number } | current-interface } global-port1 global-port2 inside host-address1 host-address2 host-port
nat server [ vpn-instance vpn-instance-name ] protocol pro-type global { global-address | interface { interface-type interface-number } | current-interface } [ global-port ] inside host-address [ host-port ]
undo nat server [ vpn-instance vpn-instance-name ] protocol pro-type global { global-address | interface { interface-type interface-number } | current-interface } global-port1 global-port2 inside host-address1 host-address2 host-port
undo nat server [ vpn-instance vpn-instance-name ] protocol pro-type global { global-address | interface { interface-type interface-number } | current-interface } [ global-port ] inside host-address [ host-port ]
【视图】
接口视图
【参数】
vpn-instance-name:内部服务器所属MPLS VPN实例,为1~31个字符的字符串。如果不设置该值,表示内部服务器属于一个普通的私网,不属于某一个MPLS VPN实例。
pro-type:表示IP协议承载的协议类型,可以使用协议号,也可用关键字代替。如:icmp(协议号为1)、tcp(协议号为6)、udp(协议号为17)。pro-type的取值范围为1~255。
global-address:提供给外部访问的合法IP地址。
interface:表示使用指定接口的地址作为内部服务器的公网地址,即Easy IP特性。
interface-type interface-number:指定接口类型和接口编号,目前只支持Loopback接口,且LoopBack接口必须存在,否则为非法配置。
current-interface:使用当前接口地址作为内部服务器的公网地址。
global-port1、global-port2:通过两个端口指定一个端口范围,和内部主机的IP地址范围构成一种对应关系。global-port2必须大于global-port1。
host-address1、host-address2:定义一组连续的地址范围,和前面定义的端口范围构成一一对应的关系。host-address2必须大于host-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
host-port:内部服务器提供的服务端口号,取值范围为0~65535。缺省值为0,相当于global-address和host-address之间有一个静态的连接。
l 常用的端口号可以用关键字代替。如:WWW服务端口为80,可以用www代替。FTP服务端口号为21,可以用ftp代替。
l 取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于global-address和host-address之间有一个静态的连接。
l 端口号是否可以缺省与设备的型号有关,请以设备的实际情况为准。
global-port:提供给外部访问的服务的端口号,取值范围为0~65535,缺省值及关键字的使用和host-port规定一致。
host-address:服务器在内部局域网的IP地址。
【描述】
nat server命令用来定义一个内部服务器的映射表,用户可以通过global-address定义的地址和global-port定义的端口来访问地址和端口分别为host-address和host-port的内部服务器。undo nat server命令用来取消映射表。
需要注意的是:
l global-port和host-port只要有一个定义为any,则另一个要么不定义,要么定义为any,否则是非法配置。
l 通过该命令可以配置一些内部网络提供给外部使用的服务器,例如WWW服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。内部服务器可以位于普通的私网内,也可以位于MPLS VPN实例内。
l 在一个接口下最多可以配置256条内部服务器地址转换命令,每条命令可以配置的内部服务器数目为global-port2与global-port1的差值,即配置多少个端口就对应多少个内部服务器。一个接口下最多可以配置4096个内部服务器。系统中最多可以配置1024个内部服务器地址转换命令。
l 配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
l 目前设备支持引用接口地址作为内部服务器的公网地址(Easy IP特性)。如果配置关键字current-interface表示公网地址使用的是当前接口的当前主地址;如果指定具体的接口,只能指定LoopBack接口,公网地址使用的是配置的LoopBack接口的当前主地址,且该LoopBack接口必须是已存在的。
注意:
当pro-type不是udp(协议号为17)或tcp(协议号为6)时,用户只能设置nat server [ vpn-instance vpn-instance-name ] protocol pro-type global global-address inside host-address形式的命令,即只能设置内部IP地址与外部IP地址的一一对应的关系。
【举例】
# 指定局域网内部的WWW服务器的IP地址是10.110.10.10,MPLS VPN vrf10内部的FTP服务器的IP地址是10.110.10.11,希望外部通过http://202.110.10.10:8080可以访问WWW服务器,通过ftp://202.110.10.10可以访问FTP服务器。假设Serial1/0和外部网络连接。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
[VG-Serial1/0] quit
[VG] ip vpn-instance vrf10
[VG-vpn-instance] route-distinguisher 100:001
[VG-vpn-instance] vpn-target 100:1 export-extcommunity
[VG-vpn-instance] vpn-target 100:1 import-extcommunity
[VG-vpn-instance] quit
[VG] interface serial 1/0
[VG-Serial1/0] nat server vpn-instance vrf10 protocol tcp global 202.110.10.10 inside 10.110.10.11
# 指定一个VPN vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] nat server vpn-instance vrf10 protocol icmp global 202.110.10.11 inside 10.110.10.12
# 指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] nat server vpn-instance vrf10 protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet
# 用以下命令可以删除WWW服务器。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] undo nat server protocol tcp global 202.110.10.10 8070 inside 10.110.10.10 www
# 用以下命令可以删除VPN vrf10内部的FTP服务器。
<VG> system-view
[VG] interface serial 1/0
[VG-Serial1/0] undo nat server vpn-instance vrf10 protocol tcp global 202.110.10.11 8070 inside 10.110.10.11 ftp
【命令】
nat static { ip-address1 ip-address2 | net-to-net start-ip end-ip global global-net-address { mask | mask-length } }
undo nat static { ip-address1 ip-address2 | net-to-net start-ip end-ip global global-net-address { mask | mask-length } }
【视图】
系统视图
【参数】
ip-address1:内部IP地址。
ip-address2:外部IP地址。
net-to-net:表示网段映射方式的静态转换。
start-ip:内部IP地址的起始地址。
end-ip:内部IP地址的结束地址。结束地址必须大于等于起始地址。
global:表示外部网段地址。
global-net-address:外部网络地址。
mask:外部地址掩码。
mask-length:外部地址掩码长度,取值范围为1~32。
【描述】
nat static命令用来配置从内部IP地址到外部IP地址的静态转换。undo nat static命令用来删除已经配置的内部地址到外部地址的转换。
内部IP地址到外部IP地址的静态转换有两种配置方式:
l 一对一的地址映射:一个内部IP地址映射为一个外部IP地址;
l 网段对网段的地址映射:一个内部网段中的地址映射到一个外部网段中的地址。
需要注意的是,配置网段地址映射的时候,必须保证内部IP地址的起始和终止地址在外部网络地址掩码长度的条件下没有跨网段。
【举例】
# 配置内部私有IP地址192.168.1.1到外部全局IP地址2.2.2.2的静态地址转换。
<VG> system-view
[VG] nat static 192.168.1.1 2.2.2.2
# 配置内部网段192.168.1.1~192.168.1.100到外部网段172.16.0.0/24的静态地址转换。
<VG> system-view
[VG] nat static net-to-net 192.168.1.1 192.168.1.100 global 172.16.0.0 255.255.255.0
【命令】
【视图】
用户视图
【参数】
无
【描述】
reset nat session命令用来清除内存中地址转换的映射表,释放动态分配的用于存放映射表的内存。
【举例】
# 清除内存中地址转换的映射表。
<VG> reset nat session
【命令】
reset userlog export
【视图】
用户视图
【参数】
无
【描述】
reset userlog export命令用来清除NAT日志的统计信息。
当设备启动NAT日志功能后,系统会定时对NAT日志进行统计。
相关配置可参考命令display userlog export。
【举例】
# 清除NAT日志的统计信息。
<VG> reset userlog export
【命令】
reset userlog nat logbuffer
【视图】
用户视图
【参数】
无
【描述】
reset userlog nat logbuffer命令用来清除NAT日志缓存中的记录。
注意:
清除NAT日志缓存中的记录会造成NAT日志信息的丢失,正常情况下,建议不要进行清除操作。
【举例】
# 清除当前缓存区中的NAT日志。
<VG> reset userlog nat logbuffer
【命令】
userlog nat export host ip-address udp-port
undo userlog nat export host
【视图】
系统视图
【参数】
ip-address:NAT日志服务器的IP地址,取值范围是合法的单播IP地址,且不能是环回地址。
udp-port:NAT日志服务器的UDP端口号,取值范围为0~65535。
【描述】
userlog nat export host命令用来配置接收NAT日志报文的NAT日志服务器的IP地址和UDP端口号。undo userlog nat export host命令用来恢复缺省情况。
缺省情况下,没有配置NAT日志服务器的IP地址和UDP端口号。
需要注意的是:
l 如果以UDP报文输出NAT日志,则必须配置NAT日志服务器,否则NAT日志不能正常输出。
l 为了避免与通用的UDP端口号冲突,建议使用1024以上的UDP端口号。
相关配置可参考命令userlog nat export source-ip。
【举例】
# 将NAT日志信息发送给NAT日志服务器(NAT日志服务器的地址设为169.254.1.1:2000)。
<VG> system-view
[VG] userlog nat export host 169.254.1.1 2000
【命令】
userlog nat export source-ip ip-address
undo userlog nat export source-ip
【视图】
系统视图
【参数】
ip-address:UDP报文的源IP地址。
【描述】
userlog nat export source-ip命令用来配置承载NAT日志的UDP报文的源IP地址。undo userlog nat export source-ip命令用来恢复缺省情况。
缺省情况下,承载NAT日志的UDP报文的源IP地址为发送该报文的接口的IP地址。
相关配置可参考命令userlog nat export host。
【举例】
# 将169.254.1.2配置为承载NAT日志的UDP报文的源IP地址。
<VG> system-view
[VG] userlog nat export source-ip 169.254.1.2
【命令】
userlog nat export version version-number
undo userlog nat export version
【视图】
系统视图
【参数】
version-number:NAT日志报文的版本号,取值范围为1(目前系统仅支持版本1)。
【描述】
userlog nat export version命令用来配置NAT日志报文的版本号。undo userlog nat export version命令用来恢复缺省情况。
缺省情况下,NAT日志报文的版本号为1。
【举例】
# 将NAT日志报文版本号设为版本1。
<VG> system-view
[VG] userlog nat export version 1
【命令】
userlog nat syslog
undo userlog nat syslog
【视图】
系统视图
【参数】
无
【描述】
userlog nat syslog命令用来配置NAT日志输出到信息中心。undo userlog nat syslog命令用来恢复缺省情况。
缺省情况下,NAT日志输出到NAT日志服务器。
需要注意的是,如果将NAT日志输出方式设置为输出到信息中心,系统产生的NAT日志可能会占用较大的内存空间,因此建议该方式用于日志量比较小的情况。
【举例】
# 设置NAT日志的输出到信息中心。
<VG> system-view
[VG] userlog nat syslog
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
