国家 / 地区

06-三层技术-IP业务命令参考

07-NAT命令

本章节下载  (248.91 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Command/Command_Manual/H3C_MSR_CR-Release_2104(V1.10)/06/201011/698441_30005_0.htm

07-NAT命令


1 NAT配置命令

1.1  NAT配置命令

1.1.1  display nat address-group

【命令】

display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

group-number:表示地址池索引号,取值范围为1~31。如果不设定该值,则表示显示所有NAT地址池的信息。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat address-group命令用来显示NAT地址池的信息。

相关配置可参考命令nat address-group

【举例】

# 显示NAT地址池的信息。

<Sysname> display nat address-group

NAT address-group information:

  There are currently 2 nat address-group(s)

  1     : from 202.110.10.10     to 202.110.10.15

  2     : from 202.110.10.20     to 202.110.10.25

# 显示索引号为1的NAT地址池信息。

<Sysname> display nat address-group 1

NAT address-group information:

  1     : from 202.110.10.10     to 202.110.10.15

表1-1 display nat address-group命令显示信息描述表

字段

描述

NAT address-group information

显示NAT地址池信息

There are currently 2 nat address-group(s)

存在两条NAT地址池信息

1 : from   202.110.10.10   to   202.110.10.15

1号地址池的IP地址范围为202.110.10.10到202.110.10.15

 

1.1.2  display nat aging-time

【命令】

display nat aging-time [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat aging-time命令用来显示地址转换的有效时间。

相关配置可参考命令nat aging-time

【举例】

# 显示地址转换有效时间。

<Sysname> display nat aging-time

 

NAT aging-time value information:

      tcp ---- aging-time value is     300 (seconds)

       udp ---- aging-time value is    240 (seconds)

      icmp ---- aging-time value is     10 (seconds)

      pptp ---- aging-time value is    300 (seconds)

       dns ---- aging-time value is     10 (seconds)

   tcp-fin ---- aging-time value is     10 (seconds)

   tcp-syn ---- aging-time value is     10 (seconds)

  ftp-ctrl ---- aging-time value is    300 (seconds)

  ftp-data ---- aging-time value is    300 (seconds)

表1-2 display nat aging-time命令显示信息描述表

字段

描述

NAT aging-time value information

显示各个协议的NAT转换有效时间

tcp ---- aging-time value is  300 (seconds)

TCP协议地址转换有效时间为300秒

udp ---- aging-time value is    240 (seconds)

UDP协议地址转换有效时间为240秒

icmp ---- aging-time value is     10 (seconds)

ICMP协议地址转换有效时间为10秒

pptp ---- aging-time value is  300 (seconds)

PPTP协议地址转换有效时间为300秒

dns ---- aging-time value is     10 (seconds)

DNS协议地址转换有效时间为10秒

tcp-fin ---- aging-time value is     10 (seconds)

TCP 协议fin 或 rst连接地址转换有效时间为10秒

tcp-syn ---- aging-time value is  10 (seconds)

TCP 协议syn连接地址转换有效时间为10秒

ftp-ctrl ---- aging-time value is   300 (seconds)

FTP协议控制链路地址转换有效时间为300秒

ftp-data ---- aging-time value is    300 (seconds)

FTP协议数据链路地址转换有效时间300秒

 

1.1.3  display nat all

【命令】

display nat all [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat all命令用来显示所有的NAT配置信息。

【举例】

不同型号设备支持的显示信息不同,请以设备的实际情况为准。

 

# 显示所有的关于地址转换的配置信息。

<Sysname> display nat all

NAT address-group information:

  There are currently 1 nat address-group(s)

  1     : from 202.110.10.10     to 202.110.10.15

 

NAT bound information:

  There are currently 1 nat bound rule(s)

  Interface: Ethernet1/1

    Direction: outbound  ACL: 2009  Address-group: 1    NO-PAT: N

 

NAT server in private network information:

  There are currently 1 internal server(s)

  Interface: Ethernet1/2, Protocol: 6(tcp)

    Global:         5.5.5.5 : 80(www)

    Local :       192.1.1.1 : 80(www)

 

NAT static information:

  There are currently 1 NAT static configuration(s)

  single static:

    Local-IP        : 1.1.1.1

    Global-IP       : 2.2.2.2

    Local-VPN       : ---

 

NAT static enabled information:

  Interface                                      Direction

  Ethernet1/4                                    out-static

 

 

NAT aging-time value information:

       tcp ---- aging-time value is  86400 (seconds)

       udp ---- aging-time value is    300 (seconds)

      icmp ---- aging-time value is     60 (seconds)

      pptp ---- aging-time value is  86400 (seconds)

       dns ---- aging-time value is     60 (seconds)

   tcp-fin ---- aging-time value is     60 (seconds)

   tcp-syn ---- aging-time value is     60 (seconds)

  ftp-ctrl ---- aging-time value is   7200 (seconds)

  ftp-data ---- aging-time value is    300 (seconds)

NAT log information:

  log enable  :  enable

  flow-begin  :  enable

  flow-active :  40(minutes)

# 显示所有的关于地址转换的配置信息。

<Sysname> display nat all

NAT address-group information:

  There are currently 2 nat address-group(s)

  1     : from 202.110.10.10     to 202.110.10.15

  2     : from 202.110.10.20     to 202.110.10.25

 

NAT bound information:

  There are currently 1 nat bound rule(s)

  Interface: GigabitEthernet1/1

    Direction: outbound  ACL: 2036  Address-group: ---  NO-PAT: N

    VPN-instance: ---

    Out-interface: ---

    Next-hop: ---

 

NAT server-group information:

  There are currently 2 NAT server-group(s)

  Server-group  Inside-IP        Port

  1             192.168.0.26     20

  2             192.168.0.26     69

 

NAT server in private network information:

  There are currently 1 internal server(s)

  Interface: NAT5/1, Protocol: 6(tcp)

    Global:        50.1.1.1 : 23(telnet)

    Local :   192.168.10.15 : 23(telnet)

 

NAT static information:

  There are currently 2 NAT static configuration(s)

  net-to-net:

    Local-IP        : 1.1.1.0

    Global-IP       : 2.2.2.0

    Netmask         : 255.255.255.0

    Unidirectional  : N

    Local-VPN       : vpn1

    Global-VPN      : vpn2

    Destination     : 5.5.5.0

    Destination Mask: 255.255.255.0

    Out-interface   : Vlan-interface200

    Next-hop        : 321.321.321.321

 

  single static:

    Local-IP        : 4.4.4.4

    Global-IP       : 5.5.5.5

    Unidirectional  : N

    Local-VPN       : ---

    Global-VPN      : ---

    Destination     : ---

    Destination Mask: ---

    Out-interface   : ---

    Next-hop        : ---

 

NAT static enabled information:

  Interface                                      Direction

  GigabitEthernet1/2                             out-static

表1-3 display nat all命令显示信息描述表

字段

描述

NAT address-group information

NAT地址池信息

There are currently 1 nat address-group(s)

存在1条NAT地址池信息,具体显示信息字段的描述请参见命令display nat address-group

NAT bound information

内部地址和外部地址的转换配置信息,具体显示信息字段的描述请参见命令display nat bound

There are currently 1 nat bound rule(s)

存在1条地址转换关联信息

NAT server-group information

内部服务器组信息,具体显示信息字段的描述请参见命令display nat server-group

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

There are currently 2 NAT server-group(s)

存在2个内部服务器组

NAT server in private network information

内部服务器信息,具体显示信息字段的描述请参见命令display nat server

There are currently 1 internal server(s)

存在1条内部服务器信息

NAT static information

静态地址转换信息,具体显示信息字段的描述请参见命令display nat static

There are currently 2 NAT static configuration(s)

存在2条静态转换表项

NAT static enabled information

接口静态地址转换的使能的信息,具体显示信息字段的描述请参见命令display nat static

NAT aging-time value information

地址转换连接的有效时间信息,具体显示信息字段的描述请参见命令display nat aging-time

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

NAT log information

日志配置信息,具体显示信息字段的描述请参见命令display nat log

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

 

1.1.4  display nat bound

【命令】

display nat bound [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat bound命令用来显示地址转换关联的配置信息。

相关配置可参考命令nat inboundnat outbound

【举例】

# 显示配置的地址转换的信息。

<Sysname> display nat bound

NAT bound information:

  There are currently 3 nat bound rule(s)

  Interface:Vlan-interface10

    Direction: outbound  ACL: 2000  Address-group: 319  NO-PAT: Y

    VPN-instance: vpn1

    Out-interface: ---

    Next-hop: 100.100.100.1

    Status:Active

 

  Interface:Vlan-interface10

    Direction: inbound   ACL: 3000  Address-group: 300  NO-PAT: N

    VPN-instance: vpn2

    Out-interface: Vlan-interface200

    Next-hop: 100.100.110.1

    Status:Inactive

 

  Interface:Vlan-interface20

    Direction: outbound  ACL: 2001  Address-group: ---  NO-PAT: N

    VPN-instance: ---

    Out-interface: ---

    Next-hop: ---

    Status:Inactive

 

表1-4 display nat bound命令显示信息描述表

字段

描述

NAT bound information:

显示内部地址和外部地址的转换信息

There are currently 3 nat bound rule(s)

存在3条地址转换关联信息

Interface

地址转换关联的接口

Direction

地址转换方向,inbound表示入方向,outbound表示出方向

inbound方向地址关联的的支持情况与产品的型号有关,因此显示信息请以设备的实际情况为准

ACL

地址池关联的ACL规则

Address-group

地址池索引,EASY IP方式下该项无内容

NO-PAT

是否支持NOPAT方式

VPN-instance

地址池所属私网VPN索引,未配置则显示“---”

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Output-interface

指定的出接口,未配置则显示“---”

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Next-hop

指定的下一跳地址,未配置则显示“---”

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Status

该配置的当前状态,生效显示“Active”,未生效则显示“Inactive”

该信息支持情况与产品型号有关,请以设备的实际情况为准

 

1.1.5  display nat dns-map

【命令】

display nat dns-map [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat dns-map命令用来显示NAT DNS mapping的配置信息。

相关配置可参考命令nat dns-map

【举例】

# 显示NAT DNS mapping的配置信息。

<Sysname> display nat dns-map

NAT DNS mapping information:

  There are currently 2 NAT DNS mapping(s)

  Domain-name: www.server.com

  Global-IP  : 202.113.16.117

  Global-port: 80(www)

  Protocol   : 6(tcp)

 

  Domain-name: ftp.server.com

  Global-IP  : 202.113.16.100

  Global-port: 21(ftp)

  Protocol   : 6(tcp)

表1-5 display nat dns-map命令显示信息描述表

字段

描述

NAT DNS mapping information

NAT DNS mapping信息

There are currently 2 DNS mapping(s)

存在2条DNS mapping信息

Domain-name

内部服务器的域名

Global-IP

内部服务器对外的公网IP地址

Global-port

内部服务器对外的服务端口号

Protocol

内部服务器支持的协议类型

 

1.1.6  display nat log

【命令】

display nat log [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat log命令用来显示NAT日志的配置信息。

相关配置可参考命令nat log enablenat log flow-activenat log flow-begin

【举例】

# 显示配置的日志信息。

<Sysname> display nat log

NAT log information:

  log enable  :  enable acl 2000

  flow-begin  :  enable

  flow-active :  10(minutes)

表1-6 display nat log命令显示信息描述表

字段

描述

NAT log information :

显示地址转换的日志信息

log enable  :  enable  acl  2000

日志使能信息,对匹配ACL 2000的数据流做日志记录

flow-begin  :  enable

新建流的使能情况

flow-active :  10(minutes)

活跃流的间隔时间为10分钟

 

1.1.7  display nat server

【命令】

display nat server [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat server命令用来显示内部服务器的信息。

相关配置可参考命令nat server

【举例】

# 显示内部服务器的信息。

<Sysname> display nat server

NAT server in private network information:

  There are currently 2 internal server(s)

  Interface: Vlan-interface10, Protocol: 6(tcp)

    Global: 100.100.120.120 : 21(ftp)

    Local : 192.168.100.100 : 21(ftp)

    Status:Inactive

 

  Interface: Vlan-interface11, Protocol: 6(tcp)

    Global: 100.100.100.121 : 80(www)

    Local : 192.168.100.101 : 80(www)            vpn2

    Status:Active

# 显示内部服务器的信息。

<Sysname> display nat server

NAT server in private network information:

  There are currently 2 internal server(s)

  Interface: Ethernet1/0, Protocol: 6(tcp)

    Global:        10.1.1.3 : 80(www)

    Local :         9.9.9.9 : 80(www)

 

  Interface: Ethernet1/2, Protocol: 6(tcp)

    Global:        10.1.1.1 : 21(ftp)

    Local : (server-group 1)                     vpn2

                    2.2.2.2 : 21(ftp) (Connections: 0)

                    2.2.2.5 : 21(ftp) (Connections: 1)

                    2.2.2.6 : 21(ftp) (Connections: 0)

 

表1-7 display nat server命令显示信息描述表

字段

描述

Server in private network information

显示内部服务器信息

There are currently 2 internal server(s)

存在2条内部服务器信息

Interface

内部服务器所在接口

Protocol

内部服务器的协议类型

Global

显示服务器公网地址/端口号(知名端口类型),公网地址所属VPN实例名

Local

显示服务器私网信息

l      对于普通内部服务器,显示服务器私网地址/端口号(知名端口类型),私网地址所属VPN实例名

l      对于负载分担内部服务器,显示内部服务器组名,私网地址所属VPN实例名,内部服务器成员信息,以及内部服务器组成员的当前连接数

Status

该配置的当前状态,生效显示“Active”,未生效则显示“Inactive”

该信息支持情况与产品型号有关,请以设备的实际情况为准

 

1.1.8  display nat session

【命令】

display nat session [ vpn-instance vpn-instance-name ] [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

vpn-instance vpn-instance-name:显示指定MPLS VPN实例的NAT转换表项。

其中,vpn-instance-name为1~31个字符的字符串,区分大小写。

source global global-address:显示指定外部源地址的NAT转换表项。

source inside inside-address:显示指定内部源地址的NAT转换表项。

destination dst-address:显示指定目的IP地址的NAT转换表项。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat session命令用来显示当前的NAT转换表项信息。

【举例】

# 显示当前的NAT转换表项信息。

<Sysname> display nat session

There are currently 1 NAT session:

 

Protocol      GlobalAddr  Port      InsideAddr  Port        DestAddr  Port

     TCP   162.105.26.51 12288      200.0.0.28   512  162.105.26.246   512

     status:11      TTL:00:00:10   Left:00:00:02   VPN:vpn1

 

表1-8 display nat session命令显示信息描述表

字段

描述

Protocol

协议类型

GlobalAddr  Port

转换后的外部源地址和源端口

InsideAddr  Port

转换前的内部源地址和源端口

DestAddr  Port

目的地址和端口

VPN

转换表项所属MPLS VPN实例的名称

status

表项的状态特征

TTL

表项的生命周期,单位为小时:分钟:秒钟

Left

表项的剩余的存活时间,单位为小时:分钟:秒钟

 

1.1.9  display nat static

【命令】

display nat static [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat static命令用来显示系统配置的静态转换配置和接口静态使能配置。

相关配置可参考命令nat staticnat outbound static

【举例】

# 显示静态配置和接口静态使能配置的信息。

<Sysname> display nat static

NAT static information:

  There are currently 2 NAT static configuration(s)

  net-to-net:

    Local-IP        : 1.1.1.0

    Global-IP       : 2.2.2.0

    Netmask         : 255.255.255.0

    Unidirectional  : N

    Local-VPN       : vpn1

    Global-VPN      : vpn2

    Destination     : 5.5.5.0

    Destination Mask: 255.255.255.0

    Out-interface   : Vlan-interface200

    Next-hop        : 321.321.321.321

    Status:Active

 

  single static:

    Local-IP        : 4.4.4.4

    Global-IP       : 5.5.5.5

    Unidirectional  : N

    Local-VPN       : ---

    Global-VPN      : ---

    Destination     : ---

    Destination Mask: ---

    Out-interface   : ---

    Next-hop        : ---

    Status:Inactive

 

NAT static enabled information:

Interface                         Direction

Vlan-interface11                  out-static

表1-9 display nat static命令显示信息描述表

字段

描述

NAT static information

静态地址转换的配置信息

net-to-net

表示网段到网段静态地址转换映射

该类型地址转换信息的支持情况与产品的型号有关

single static

表示一对一静态地址转换映射

Local-IP

私网IP地址

Global-IP

公网IP地址

Netmask

网段映射的网络掩码

Unidirectional

表示是否只支持单向转换

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Local-VPN

私网IP地址所属VPN实例名

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Global-VPN

公网IP地址所属VPN实例名

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Destination

目的网络地址

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Destination Mask

目的网络地址掩码

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Output-interface

出接口

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Next-hop

下一跳IP地址

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

Unidirectional

表示是否只支持单向转换

该信息的支持情况与产品的型号有关,请以设备的实际情况为准

NAT static enabled information

静态地址转换在接口的使能信息

Interface

静态地址转换配置的接口

Direction

静态地址转换配置的方向

Status

该配置的当前状态,生效显示“Active”,未生效则显示“Inactive”

该信息支持情况与产品型号有关,请以设备的实际情况为准

 

1.1.10  display nat statistics

【命令】

display nat statistics [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display nat statistics命令用来显示地址转换的统计信息。

【举例】

# 显示地址转换的统计信息。

<Sysname> display nat statistics

  total PAT session table count: 1

  total NO-PAT session table count: 0

  total SERVER session table count: 0

  total STATIC session table count: 0

  total FRAGMENT session table count: 0

 

  active PAT session table count: 1

  active NO-PAT session table count: 0

  active FRAGMENT session table count: 0

表1-10 display nat statistics命令显示信息描述表

字段

描述

total PAT session table count

PAT转换表项数

total NO-PAT session table count

NO-PAT转换表项数

total SERVER session table count

内部服务器转换表项数

total STATIC session table count

静态地址转换表项数

total FRAGMENT session table count

NAT分片转换表项数

active PAT session table count

活动状态的PAT转换表项数

active NO-PAT session table count

活动状态的NO-PAT转换表项数

active FRAGMENT session table count

活动状态的NAT分片转换表项数

 

1.1.11  display userlog export

【命令】

display userlog export [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display userlog export命令用来查看输出到日志服务器的日志的配置和统计信息。

需要注意的是,该命令可用于查看输出到日志服务器的所有类型的日志信息,本文中该命令仅用于查看NAT日志的信息。

相关配置可参考命令reset userlog nat export

【举例】

#查看NAT日志的配置和统计信息。

<Sysname> display userlog export

nat:

   No userlog export is enabled

表1-11 display userlog export显示信息描述表

字段

描述

nat

表示显示的是NAT日志信息

flow

表示显示的是Flow日志

No userlog export is enabled

不能输出日志,出现该提示信息原因有:

l      日志功能未启用,

l      启用了日志功能,但配置为输出到信息中心;

l      启用了日志功能,但没有配置日志服务器的IP地址及UDP端口号

Export Version 1 logs to log server

将版本号为1的日志报文发送给日志服务器

Source address of exported logs

日志报文的源IP地址(如果没有配置源IP地址则不显示该字段)

Address of log server

日志服务器的地址,包括IP地址和端口

Total Logs/UDP packets exported

发送的日志总数和包含日志的UDP报文总数(此处的UDP报文是指承载了日志的UDP报文,一个UDP报文可以承载多条日志)

VPN-instance

日志服务器所在的VPN实例名

Logs in buffer

缓存中的Flow或NAT日志总数

 

1.1.12  nat address-group

【命令】

nat address-group group-number start-address end-address

undo nat address-group group-number

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

group-number:地址池索引号,取值范围为1~31。

start-address:地址池的开始IP地址。

end-address:地址池的结束IP地址。end-address必须大于或等于start-address。地址池中的IP地址数不能超过255个。

【描述】

nat address-group命令用来配置NAT转换使用的地址池。undo nat address-group命令用来删除配置的地址池。

地址池是一些连续的IP地址集合。当对需要到达外部网络的数据报文进行地址转换时,其源地址将被转换为地址池中的某个地址。如果start-addressend-address相同,表示只有一个地址。

需要注意的是:

l              已经和某个访问控制列表关联的地址池,在进行地址转换时是不允许删除的。

l              如果设备仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址。

相关配置可参考命令display nat address-group

不同的地址池之间地址不允许重叠。

 

【举例】

# 配置一个从202.110.10.10到202.110.10.15的地址池,地址池索引号为1。

<Sysname> system-view

[Sysname] nat address-group 1 202.110.10.10 202.110.10.15

1.1.13  nat aging-time

【命令】

nat aging-time { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } seconds

undo nat aging-time { dns | ftp-ctrl | ftp-data | icmp | pptp | tcp | tcp-fin | tcp-syn | udp } [ seconds ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

dns:设置DNS协议地址转换有效时间。

ftp-ctrl:设置FTP协议控制链路地址转换有效时间。

ftp-data:设置FTP协议数据链路地址转换有效时间。

icmp:设置ICMP协议地址转换有效时间。

pptp:设置PPTP协议地址转换有效时间。

tcp:设置TCP协议地址转换有效时间。

tcp-fin:设置TCP协议fin或rst连接地址转换有效时间。

tcp-syn:设置TCP协议syn连接地址转换有效时间。

udp:设置UDP协议地址转换有效时间。

seconds:地址转换的有效时间,取值范围为10~86400,单位为秒。

【描述】

nat aging-time命令用来设置地址转换的有效时间。undo nat aging-time用来将指定协议类型的地址转换有效时间恢复为缺省情况。

缺省情况下,各协议的地址转换有效时间如下:

l              DNS协议地址转换有效时间为60秒;

l              FTP协议控制链路(ftp-ctrl)地址转换有效时间为7200秒;

l              FTP协议数据链路(ftp-data)地址转换有效时间为300秒;

l              ICMP地址转换有效时间为60秒;

l              PPTP协议地址转换有效时间为86400秒;

l              TCP地址转换有效时间为86400秒;

l              TCP协议fin、rst连接地址转换有效时间为60秒;

l              TCP协议syn连接地址转换有效时间为60秒;

l              UDP地址转换有效时间为300秒。

由于地址转换所使用的HASH表不能永久存在,该命令支持用户为TCP、UDP、ICMP等协议分别设置HASH表的有效时间,若在设定的时间内未使用该HASH表,该表将失效。举例来说,某个IP地址为10.110.10.10的用户利用端口2000进行了一次对外TCP连接,地址转换为它分配了相应的地址和端口,但是若在一定时间内这个TCP连接一直未被使用,系统将删除此连接。

相关配置可参考命令display nat aging-time

【举例】

# 设定TCP协议的地址转换有效时间为240秒。

<Sysname> system-view

[Sysname] nat aging-time tcp 240

1.1.14  nat alg

【命令】

nat alg { all | dns | ftp | h323 | ils | nbt | pptp | sip }

undo nat alg { all | dns | ftp | h323 | ils | nbt | pptp | sip }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:所有支持的特殊协议。

dns:支持DNS协议。

ftp:支持FTP协议。

h323:支持H.323协议。

ils:支持ILS协议。

nbt:支持NBT协议。

pptp:支持PPTP协议。

sip:支持SIP协议。

【描述】

nat alg命令用来使能指定协议类型的地址转换应用网关功能。undo nat alg命令用来禁用地址转换应用网关功能。

缺省情况下,地址转换应用网关功能处于使能状态。

【举例】

# 使能支持FTP应用的地址转换应用网关功能。

<Sysname> system-view

[Sysname] nat alg ftp

1.1.15  nat dns-map

【命令】

nat dns-map domain domain-name protocol pro-type ip global-ip port global-port

undo nat dns-map domain domain-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

domain domain-name:指定内部服务器的合法域名。其中,domain-name表示内部服务器的域名,为不超过255个字符的字符串,不区分大小写,由一个或者多个label组成,两个label间由"."分隔,每个label最长为63个字符,必须由字母或数字开头,由字母或数字结尾,中间字符可以是字母、数字或连字符"-"。

protocol pro-type:指定内部服务器支持的协议类型。其中,pro-type表示具体的协议类型,取值为tcpudp

ip global-ip:指定内部服务器提供给外部网络访问的IP地址。其中,global-ip表示公网IP地址。

port global-port:指定内部服务器提供给外部网络访问的服务端口号。其中,global-port表示服务端口号,取值范围为1~65535。

【描述】

nat dns-map命令用来配置一条域名到内部服务器的映射。undo nat dns-map命令用来删除一条域名到内部服务器的映射。

相关配置可参考命令display nat dns-map

MSR系列路由器各款型对于本节所描述的命令的支持情况有所不同,详细差异信息如下:

命令

参数

MSR 900

MSR 20-1X

MSR 20

MSR 30

MSR 50

nat dns-map

设备最多可支持配置的映射条目

32

32

32

MSR3010:32

MSR3011:32

MSR3011E-F:32

MSR3016:64

MSR30:64

MSR5040:  128 MSR5060:  128

MSR50(MPU-G2):  128

MSR5006:  64

 

【举例】

# 某公司内部对外提供Web服务,内部服务器的域名为www.server.com,对外的IP地址为202.112.0.1。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。

<Sysname> system-view

[Sysname] nat dns-map domain  www.server.com protocol tcp ip 202.112.0.1 port www

1.1.16  nat link-down reset-session enable

【命令】

nat link-down reset-session enable

undo nat link-down reset-session enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

nat link-down reset-session enable命令用来使能接口链路downNAT表项老化功能。undo nat link-down reset-session enable命令用来恢复缺省情况。

缺省情况下,接口链路downNAT表项老化功能处于关闭状态。

【举例】

# 使能接口链路down时NAT表项老化功能。

<Sysname> system-view

[Sysname] nat link-down reset-session enable

1.1.17  nat log enable

【命令】

nat log enable [ acl acl-number ]

undo nat log enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

acl acl-number:对匹配ACL的数据流使能NAT日志功能。acl-number的取值范围为2000~3999。不输入该参数时,对所有数据流使能NAT日志功能。

【描述】

nat log enable命令用来使能NAT日志功能。undo nat log enable命令用来取消NAT日志功能。

缺省情况下,NAT日志功能处于关闭状态。

【举例】

# 使能NAT日志功能。

<Sysname> system-view

[Sysname] nat log enable acl 2001

1.1.18  nat log flow-active

【命令】

nat log flow-active minutes

undo nat log flow-active

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

minutes:指定发送NAT活跃流日志的时间间隔。minutes的取值范围为10~120,单位为分钟。数据流每经过该时间间隔,发送一次日志。

【描述】

nat log flow-active命令用来使能NAT日志的活跃流记录功能,并设置活跃流日志的时间间隔。undo nat log flow-active命令用来关闭NAT日志的活跃流记录功能。

缺省情况下,NAT日志的活跃流记录功能处于关闭状态。

如果仅仅在创建、删除NAT连接时进行日志记录,由于有些连接可能长时间处于活动状态,设备一直不能对它进行记录日志。通过配置本命令,设备可以对这种长时间没有断开的连接进行定时记录。

【举例】

# 设置发送NAT活跃流日志的时间间隔为10分钟。

<Sysname> system-view

[Sysname] nat log flow-active 10

1.1.19  nat log flow-begin

【命令】

nat log flow-begin

undo nat log flow-begin

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

nat log flow-begin命令用来设置在创建NAT连接时进行NAT日志的记录。undo nat log flow-begin命令用来恢复缺省情况。

缺省情况下,创建NAT连接时不生成记录。

【举例】

# 设置在创建流时进行NAT日志的记录。

<Sysname> system-view

[Sysname] nat log flow-begin

1.1.20  nat mapping-behavior

【命令】

nat mapping-behavior endpoint-independent [ acl acl-number ]

undo nat mapping-behavior endpoint-independent [ acl acl-number ]

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

endpoint-independent:表示不关心对端地址和端口的NAT地址转换模式。

acl acl-number:用于控制需要遵守指定地址转换模式的报文范围的访问控制列表。其中,acl-number为访问控制列表号,取值范围为2000~3999。

【描述】

nat mapping-behavior命令用来配置动态地址转换PAT方式下的地址转换模式。undo nat mapping-behavior命令用来恢复缺省情况。

缺省情况下,动态地址转换PAT方式下的地址转换模式为Address and Port-Dependent Mapping(关心对端地址和端口转换模式)。

l              Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAPT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好得支持位于不同NAT网关之后的主机间进行互访。

l              Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAPT映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但是不便于位于不同NAT网关之后的主机间进行互访。

需要注意的是,若配置了访问控制列表,则表示只有符合ACL规则的报文才采用Endpoint-Independent Mapping模式进行地址转换,若不配置访问控制列表,则表示所有的报文都采用Endpoint-Independent Mapping模式进行地址转换。

【举例】

# 对所有报文都以Endpoint-Independent Mapping模式进行地址转换。

<Sysname> system-view

[Sysname] nat mapping-behavior endpoint-independent

# 仅对FTP和HTTP报文才以Endpoint-Independent Mapping模式进行地址转换,其它报文默认采用Address and Port-Dependent Mapping模式进行地址转换。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule permit tcp destination-port eq 80

[Sysname-acl-adv-3000] rule permit tcp destination-port eq 21

[Sysname-acl-adv-3000] quit

[Sysname] nat mapping-behavior endpoint-independent acl 3000

1.1.21  nat outbound

【命令】

nat outbound [ acl-number ] [ address-group group-number [ no-pat ] ] [ track vrrp virtual-router-id ]

undo nat outbound [ acl-number ] [ address-group group-number [ no-pat ] ] [ track vrrp virtual-router-id ]

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

acl-number:访问控制列表号,取值范围为2000~3999。

address-group group-number:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即Easy IP特性。其中,group-number为一个已经定义的地址池的编号,取值范围为0~31。

no-pat:表示不使用TCP/UDP端口信息实现多对多地址转换。若不配置该参数,则表示使用TCP/UDP端口信息实现多对一地址转换。

track vrrp virtual-router-id:指定出接口地址转换与VRRP备份组进行关联。其中,virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果不设置该参数,表示没有进行VRRP备份组关联。

【描述】

nat outbound命令用来配置出接口地址关联。若配置了访问控制列表,则表示将一个访问控制列表ACL和一个地址池关联起来,即符合ACL规则的报文的源IP地址可以使用地址池中的地址进行地址转换;若不配置访问控制列表,则表示只要出接口报文的源IP地址不是出接口的地址,就可以使用地址池中的地址进行地址转换。undo nat outbound命令用来取消关联。

如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP特性。

需要注意的是:

l              可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况下和外部网络连接,是内部网络的出口。

l              当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址,则应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络,否则就会出现原有NAT表项不能自动删除,也无法使用reset nat session命令删除的情况。该注意事项的存在情况与具体产品型号有关。

l              执行undo nat outbound命令后,nat outbound命令生成的NAT地址映射表项不会被自动删除,这些表项需等待5~10分钟后自动老化。在此期间,使用该NAT地址映射表项的用户不能访问外部网络,但不使用该映射表项的用户不受影响。用户也可以使用reset nat session命令立即清除所有的NAT地址映射表项,但该命令会导致NAT业务中断,所有用户必须重新发起连接。用户可根据自身网络需求,选择适当的处理方式。该注意事项的存在情况与具体产品型号有关。

l              当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。

l              支持指定下一跳,当报文查找路由表进行转发时,如果命中指定的下一跳IP地址,则将采用配置地址池中的地址进行转换;如果没有命中,则不能进行地址转换。

l              在一个接口下,一个ACL只能与一个地址池绑定;但一个地址池可以与多个ACL绑定。

某些设备上的关联配置需遵循限制:同一接口下引用的ACL中所定义的规则之间不允许冲突:源IP地址信息、目的IP地址信息以及VPN实例信息完全相同,即认为冲突。对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息、VPN实例信息相同即认为冲突。

 

【举例】

# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10到202.110.10.12之间的地址作为转换后的地址。假设Serial1/0接口连接外部网络。

<Sysname> system-view

[Sysname] acl number 2001

[Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Sysname-acl-basic-2001] rule deny

[Sysname-acl-basic-2001] quit

# 配置地址池。

[Sysname] nat address-group 1 202.110.10.10 202.110.10.12

# 允许地址转换,使用地址池1中的地址进行地址转换,在转换的时候使用TCP/UDP的端口信息。

[Sysname] interface serial 1/0

[Sysname-Serial1/0] nat outbound 2001 address-group 1

# 如果不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。

<Sysname> system-view

[Sysname] interface serial 1/0

[Sysname-Serial1/0] nat outbound 2001 address-group 1 no-pat

# 如果直接使用Serial1/0接口的IP地址,可以使用如下的配置。

<Sysname> system-view

[Sysname] interface serial 1/0

[Sysname-Serial1/0] nat outbound 2001

1.1.22  nat outbound static

【命令】

nat outbound static [ track vrrp virtual-router-id ]

undo nat outbound static [ track vrrp virtual-router-id ]

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

track vrrp virtual-router-id:指定NAT静态转换与VRRP备份组进行关联。其中,virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果不设置该参数,表示没有进行VRRP备份组关联。

【描述】

nat outbound static命令用来使配置的NAT静态转换在接口上生效。undo nat outbound static命令用来取消接口上已经配置的NAT静态转换。

相关配置可参考命令display nat static

【举例】

# 配置内部私有IP地址192.168.1.1到外部公有IP地址2.2.2.2的一对一转换,并且在Serial2/0接口上使能该地址转换。

<Sysname> system-view

[Sysname] nat static 192.168.1.1 2.2.2.2

[Sysname] interface serial 2/0

[Sysname-Serial2/0] nat outbound static

1.1.23  nat server (for normal nat server)

【命令】

nat server index protocol pro-type global { global-address | interface interface-type interface-number | current-interface } inside local-address  [ vpn-instance local-name ] [ track vrrp virtual-router-id ]

undo nat server index protocol pro-type global { global-address | interface interface-type interface-number | current-interface }  inside local-address  [ vpn-instance local-name ] [ track vrrp virtual-router-id ]

【视图】

接口视图

【缺省级别】

2:系统级

【参数】

index:指定内部服务器的索引号。

protocol pro-type:指定支持的协议类型。其中,pro-type表示了具体的协议类型,取值范围为1~256,可以支持TCP、UDP和ICMP协议。当指定为ICMP时,配置的内部服务器不带端口参数。

global-address:提供给外部访问的合法IP地址。

interface:表示使用指定接口的地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。

interface-type interface-number:指定接口类型和接口编号,目前只支持Loopback接口,且Loopback接口必须存在,否则为非法配置。

current-interface:使用当前接口地址作为内部服务器的外网地址。

local-address:服务器在内部局域网的IP地址。

vpn-instance local-name:内部服务器所属的VPN。local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内部服务器不属于任何一个VPN。

track vrrp virtual-router-id:指定内部服务器与VRRP备份组进行关联。virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果未指定本参数,则表示没有进行VRRP备份组关联。

【描述】

nat server命令用来定义一个内部服务器的映射表,用户可以通过global-address定义的地址和global-port定义的端口来访问地址和端口分别为local-addresslocal-port的内部服务器。undo nat server命令用来取消映射表。

需要注意的是:

l              通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。内部服务器可以位于普通的内网内,也可以位于MPLS VPN实例内。

l              配置该命令的接口一般情况下和ISP连接,是内部网络的出口。

l              目前设备支持引用接口地址作为内部服务器的外网地址(Easy IP方式)。如果配置关键字current-interface表示外网地址使用的是当前接口的当前主地址;如果指定具体的接口,只能指定Loopback接口,外网地址使用的是配置的Loopback接口的当前主地址,且该Loopback接口必须是已存在的。

l              由于Easy IP方式的内部服务器使用了当前接口的IP地址作为它的外网地址,因此强烈建议在当前接口上配置了Easy IP方式的内部服务器之后,其它内部服务器不要配置该接口的IP地址作为它的外网地址,反之亦然。

l              请在双机热备组网环境下保证同一个接口下的内部服务器的外网地址所关联的VRRP组相同,否则系统默认该外网地址与组号最大的VRRP组进行关联。

相关配置可参考命令display nat server

pro-type不是udp(协议号为17)或tcp(协议号为6)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号的映射。

 

【举例】

# 指定一个VPN vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。

<Sysname> system-view

[Sysname] interface serial 1/0

[Sysname-Serial1/0] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10

# 指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。

<Sysname> system-view

[Sysname] interface serial 1/0

[Sysname-Serial1/0] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10

1.1.24  nat static

【命令】

nat static local-ip [ vpn-instance local-name ] global-ip

undo nat static local-ip [ vpn-instance local-name ] global-ip

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

local-ip:内部IP地址。

vpn-instance local-name:内部IP地址所属的VPN名。其中,local-name表示VPN名称,为1~31个字符的字符串,区分大小写。

【描述】

nat static命令用于配置一对一静态地址转换映射。undo nat static命令用来取消一对一静态地址转换映射。

需要注意的是:

l              如果不指定vpn-instance local-name,则表示内网地址属于一个普通的私网。

l              若支持指定目的地址,对于私网到公网的报文,匹配目的地址才能采用该配置进行源地址转换;对于公网到私网的报文,匹配源地址才能采用该配置进行目的地址转换,否则不能进行地址转换。

相关配置可参考命令display nat static

【举例】

# 系统视图下,配置内部私有IP地址192.168.1.1到外部公有IP地址2.2.2.2的静态地址转换。

<Sysname> system-view

[Sysname] nat static 192.168.1.1 2.2.2.2

1.1.25  nat static net-to-net

【命令】

nat static net-to-net local-start-address local-end-address global global-network { netmask-length | netmask }

undo nat static net-to-net local-start-address local-end-address global global-network { netmask-length | netmask }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

local-start-address local-end-address:私网网络地址范围,所包含的地址数目不能超过255

local-network:私网网络地址。

global-network:公网网络地址。

mask-length:网络掩码长度。

mask:网络掩码。

【描述】

nat static net-to-net命令用于配置网段到网段的静态地址转换映射。undo nat static net-to-net命令用来取消网段到网段的静态地址转换映射。

需要注意的是:

l              若支持指定目的地址,对于私网到公网的报文,匹配目的地址才能采用该配置进行源地址转换;对于公网到私网的报文,匹配源地址才能采用该配置进行目的地址转换,否则不能进行地址转换。

l              必须保证内部IP地址的起始和终止地址在外部网络地址掩码长度的条件下没有跨网段。

相关配置可参考命令display nat static

【举例】

# 配置私网网段192.168.1.0/24到外部公有网段2.2.2.0/24的双向静态地址转换。

<Sysname> system-view

[Sysname] nat static net-to-net 192.168.1.0 2.2.2.0 24

1.1.26  reset nat session

【命令】

reset nat session

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset nat session命令用来清除内存中地址转换的映射表,释放动态分配的用于存放映射表的内存。

【举例】

# 清除内存中地址转换的映射表。

<Sysname> reset nat session

1.1.27  reset userlog nat export

【命令】

reset userlog nat export

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset userlog nat export命令用来清除NAT日志的统计信息。

当设备启动NAT日志功能后,系统会定时对NAT日志进行统计。

相关配置可参考命令display userlog export

【举例】

#清除NAT日志的统计信息。

<Sysname> reset userlog nat export

1.1.28  reset userlog nat logbuffer

【命令】

reset userlog nat logbuffer

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

【描述】

reset userlog nat logbuffer命令用来清除NAT日志缓存中的记录。

清除NAT日志缓存中的记录会造成NAT日志信息的丢失,正常情况下,建议不要进行清除操作。

 

【举例】

#清除当前缓存区中的NAT日志。

<Sysname> reset userlog nat logbuffer

1.1.29  userlog nat export host

【命令】

userlog nat export host { ipv4-address | ipv6 ipv6-address } udp-port

undo userlog nat export host { ipv4-address | ipv6 ipv6-address } udp-port

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ipv4-address:NAT日志服务器的IPv4地址,取值范围是合法的单播IP地址,且不能是环回地址。

ipv6 ipv6-address:NAT日志服务器的IPv6地址,取值范围是合法的单播IPv6地址。

udp-port:NAT日志服务器的UDP端口号,取值范围为0~65535。

【描述】

userlog nat export host命令用来配置接收NAT日志报文的NAT日志服务器的IP地址和UDP端口号。undo userlog nat export host命令用来恢复缺省情况。

缺省情况下,没有配置NAT日志服务器的IP地址和UDP端口号。

需要注意的是:

l              如果以UDP报文输出NAT日志,则必须配置NAT日志服务器,否则NAT日志不能正常输出。

l              为了避免与通用的UDP端口号冲突,建议使用1024以上的UDP端口号。

相关配置可参考命令userlog nat export source-ip

【举例】

#将NAT日志信息发送给NAT日志服务器(NAT日志服务器的地址为169.254.1.1、端口号为2000)。

<Sysname> system-view

[Sysname] userlog nat export host 169.254.1.1 2000

1.1.30  userlog nat export source-ip

【命令】

userlog nat export source-ip ip-address

undo userlog nat export source-ip

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:UDP报文的源IP地址。

【描述】

userlog nat export source-ip命令用来配置承载NAT日志的UDP报文的源IP地址。undo userlog nat export source-ip命令用来恢复缺省情况。

缺省情况下,承载NAT日志的UDP报文的源IP地址为发送该报文的接口的IP地址。

相关配置可参考命令userlog nat export host

【举例】

# 将169.254.1.2配置为承载NAT日志的UDP报文的源IP地址。

<Sysname> system-view

[Sysname] userlog nat export source-ip 169.254.1.2

1.1.31  userlog nat export version

【命令】

userlog nat export version version-number

undo userlog nat export version

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

version-numberNAT日志报文的版本号,取值范围为1(目前系统仅支持版本1)。

【描述】

userlog nat export version命令用来配置NAT日志报文的版本号。undo userlog nat export version命令用来恢复缺省情况。

缺省情况下,NAT日志报文的版本号为1。

【举例】

# 将NAT日志报文版本号设为版本1。

<Sysname> system-view

[Sysname] userlog nat export version 1

1.1.32  userlog nat syslog

【命令】

userlog nat syslog

undo userlog nat syslog

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

userlog nat syslog命令用来配置NAT日志输出到信息中心。undo userlog nat syslog命令用来恢复缺省情况。

缺省情况下,NAT日志输出到NAT日志服务器。

需要注意的是,如果将NAT日志输出方式设置为输出到信息中心,系统产生的NAT日志可能会占用较大的内存空间,因此建议该方式用于日志量比较小的情况。

【举例】

# 设置NAT日志的输出到信息中心。

<Sysname> system-view

[Sysname] userlog nat syslog


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部