- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-H3C S12500 NAT典型配置举例
本章节下载: 02-H3C S12500 NAT典型配置举例 (301.33 KB)
H3C S12500 NAT配置举例
|
Copyright © 2013 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文介绍了NAT配置举例。
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。
NAT有以下几种实现方式:
(1) 静态地址转换:外网和内网之间的映射关系由配置确定,适用于内网与外网之间存在固定访问需求的组网环境。
(2) 动态地址转换
· NAPT(Port Address Translation)方式:使用TCP/UDP端口信息实现的多对多地址转换,适用于大量内网用户通过少量NAT地址访问外网;
· NO-PAT(Not Port Address Translation)方式:不使用TCP/UDP端口信息实现的多对多地址转换,通常仅用于配合内部服务器或静态地址转换实现双向NAT应用。
(3) Easy IP:进行地址转换时,直接使用接口的外网IP地址作为转换后的源地址,能够最大程度的节省IP地址资源。
(4) 内部服务器:适用于内网服务器向外网提供服务的组网环境。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解NAT特性。
配置了本地策略路由或接口策略路由后,不支持配置NAT。
如图1所示,要求通过配置一对一静态地址转换实现:私网中的PC1用户192.168.0.2/24可以使用公网地址202.101.0.2/24访问Internet。
图1 一对一静态NAT转换配置组网图
由于S12500不支持配置入方向地址转换,只支持配置出方向地址转换,所以在Switch A的VLAN接口20(而不是VLAN接口10)上配置一对一静态地址转换,以实现PC1用户发出的报文在经过该接口时,对其源IP地址进行地址转换。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 由于S12500上NAT报文都要经过接口板和主控板的CPU处理,对CPU的性能影响较大,因此建议NAT功能仅对用户数量不多、流量较小的小型局域网使用,在对CPU性能有较高要求的环境下尽量不要使用。
· S12500只支持在VLAN接口上配置地址转换,不支持在其他类型接口(例如三层以太网接口、隧道接口、网管口等)上配置地址转换。
# 按照图1配置VLAN接口10的IP地址,具体配置过程略。
# 配置一对一静态地址转换。
[SwitchA] nat static 192.168.0.2 202.101.0.2
# 配置VLAN接口20的IP地址,并将端口GE3/0/2加入VLAN20。
[SwitchA] vlan 20
[SwitchA-vlan20] port GigabitEthernet 3/0/2
[SwitchA-vlan20] quit
[SwitchA] interface Vlan-interface 20
[SwitchA-Vlan-interface20] ip address 202.101.0.1 24
[SwitchA-Vlan-interface20] undo shutdown
[SwitchA-Vlan-interface20] quit
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] undo shutdown
[SwitchA-GigabitEthernet3/0/2] quit
# 使配置的静态地址转换规则在VLAN接口20上生效。
[SwitchA-Vlan-interface20] nat outbound static
[SwitchA-Vlan-interface20] quit
源IP地址为192.168.0.2/24的报文经过NAT之后,源IP地址更换为202.101.0.2/24。
#
vlan 20
#
nat static 192.168.0.2 202.101.0.2
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound static
#
interface GigabitEthernet3/0/2
port link-mode bridge
port access vlan 20
#
如图2所示,要求通过配置网段对网段静态地址转换实现:私网网段192.168.0.0/24内的所有用户可以使用公网网段202.101.0.0/28中的地址访问Internet。
图2 网段对网段静态NAT转换配置组网图
由于S12500不支持配置入方向地址转换,只支持配置出方向地址转换,所以在Switch A的VLAN接口20(而不是VLAN接口10)上配置网段对网段静态地址转换,以实现192.168.0.0/24内的所有用户发出的报文在经过该接口时,对其源IP地址进行地址转换。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 由于S12500上NAT报文都要经过接口板和主控板的CPU处理,对CPU的性能影响较大,因此建议NAT功能仅对用户数量不多、流量较小的小型局域网使用,在对CPU性能有较高要求的环境下尽量不要使用。
· S12500只支持在VLAN接口上配置地址转换,不支持在其他类型接口(例如三层以太网接口、隧道接口、网管口等)上配置地址转换。
# 按照图2配置VLAN接口10的IP地址,具体配置过程略。
# 配置网段对网段静态地址转换。
[SwitchA] nat static net-to-net 192.168.0.2 192.168.0.254 global 202.101.0.0 28
# 配置VLAN接口20的IP地址,并将端口GE3/0/2加入VLAN20。
[SwitchA] vlan 20
[SwitchA-vlan20] port GigabitEthernet 3/0/2
[SwitchA-vlan20] quit
[SwitchA] interface Vlan-interface 20
[SwitchA-Vlan-interface20] ip address 202.101.0.1 24
[SwitchA-Vlan-interface20] undo shutdown
[SwitchA-Vlan-interface20] quit
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] undo shutdown
[SwitchA-GigabitEthernet3/0/2] quit
# 将静态规则应用到出接口上。
[SwitchA-Vlan-interface20] nat outbound static
[SwitchA-Vlan-interface20] quit
源IP为192.168.0.0/24网段内的报文经过NAT之后,源IP地址更换为202.101.0.0/28网段内的地址。
#
vlan 20
#
nat static net-to-net 192.168.0.2 192.168.0.254 global 202.101.0.0 255.255.255.240
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound static
#
interface GigabitEthernet3/0/2
port link-mode bridge
port access vlan 20
#
如图3所示,要求通过配置NAPT动态地址转换实现:私网中192.168.0.0/24网段的用户可以访问Internet,使用的公网地址为202.101.0.2/24至202.101.0.4/24。
图3 NAPT配置组网图
· 根据需求,当私网用户访问Internet时,Switch A需要将私网地址转换为202.101.0.2/24至202.101.0.4/24的公网地址,所以需要在Switch A上配置NAT转换使用的公网地址池。
· 由于组网需求中仅允许私网中192.168.0.0/24网段的用户访问Internet,所以需要配置访问控制列表来进行用户限制。
· 由于S12500不支持配置入方向地址转换,只支持配置出方向地址转换。所以在Switch A的VLAN接口20(而不是VLAN接口10)上配置动态地址转换,以实现符合ACL规则的源IP地址发出的报文在经过该接口时,对其源IP地址进行地址转换。
本举例是S12500-CMW520-R1825P01版本上进行配置和验证的。
· 由于S12500上NAT报文都要经过接口板和主控板的CPU处理,对CPU的性能影响较大,因此建议NAT功能仅对用户数量不多、流量较小的小型局域网使用,在对CPU性能有较高要求的环境下尽量不要使用。
· S12500只支持在VLAN接口上配置地址转换,不支持在其他类型接口(例如三层以太网接口、隧道接口、网管口等)上配置地址转换。
# 配置VLAN接口10的IP地址,并将端口GE3/0/1、GE3/0/2和GE3/0/3加入VLAN10。
[SwitchA] vlan 10
[SwitchA-vlan10] port GigabitEthernet 3/0/1 to GigabitEthernet 3/0/3
[SwitchA-vlan10] quit
[SwitchA] interface Vlan-interface 10
[SwitchA-Vlan-interface10] ip address 192.168.0.1 24
[SwitchA-Vlan-interface10] undo shutdown
[SwitchA-Vlan-interface10] quit
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] undo shutdown
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] undo shutdown
[SwitchA-GigabitEthernet3/0/2] quit
[SwitchA] interface GigabitEthernet 3/0/3
[SwitchA-GigabitEthernet3/0/3] undo shutdown
[SwitchA-GigabitEthernet3/0/3] quit
# 配置NAT地址池。
[SwitchA] nat address-group 0 202.101.0.2 202.101.0.4
# 定义ACL 3001,匹配源IP为192.168.0.0/24的数据流。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule 0 permit ip source 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
# 在出接口上配置动态地址转换。
[SwitchA] vlan 20
[SwitchA-vlan20] port GigabitEthernet 3/0/4
[SwitchA-vlan20] quit
[SwitchA] interface Vlan-interface 20
[SwitchA-Vlan-interface20] nat outbound 3001 address-group 0
[SwitchA-Vlan-interface20] ip address 202.101.0.1 24
[SwitchA-Vlan-interface20] undo shutdown
[SwitchA-Vlan-interface20] quit
[SwitchA] interface GigabitEthernet 3/0/4
[SwitchA-GigabitEthernet3/0/4] undo shutdown
[SwitchA-GigabitEthernet3/0/4] quit
所有从内网192.168.0.0/24网段访问Internet的IP报文中源IP会被替换成地址池中的地址。
#
vlan 10
#
vlan 20
#
acl number 3001
rule 0 permit ip source 192.168.0.0 0.0.0.255
#
nat address-group 0 202.101.0.2 202.101.0.5
#
interface Vlan-interface10
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound 3001 address-group 0
#
interface GigabitEthernet3/0/1
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/2
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/3
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/4
port link-mode bridge
port access vlan 20
#
如图4所示,要求通过配置NO-PAT动态地址转换实现:私网中192.168.0.0/24网段的用户可以访问Internet,使用的公网地址为202.101.0.2/24至202.101.0.4/24。
图4 NOPAT配置组网图
· 根据需求,当私网用户访问Internet时,Switch A需要将私网地址转换为202.101.0.2/24至202.101.0.4/24的公网地址,所以需要在Switch A上配置NAT转换使用的公网地址池。
· 由于组网需求中仅允许私网中192.168.0.0/24网段的用户访问Internet,所以需要配置访问控制列表来进行用户限制。
· 由于S12500不支持配置入方向地址转换,只支持配置出方向地址转换。所以在Switch A的VLAN接口20(而不是VLAN接口10)上配置动态地址转换,以实现符合ACL规则的源IP地址发出的报文在经过该接口时,对其源IP地址进行地址转换。
本举例是S12500-CMW520-R1825P01版本上进行配置和验证的。
· 由于S12500上NAT报文都要经过接口板和主控板的CPU处理,对CPU的性能影响较大,因此建议NAT功能仅对用户数量不多、流量较小的小型局域网使用,在对CPU性能有较高要求的环境下尽量不要使用。
· S12500只支持在VLAN接口上配置地址转换,不支持在其他类型接口(例如三层以太网接口、隧道接口、网管口等)上配置地址转换。
# 配置VLAN接口10的IP地址,并将端口GE3/0/1、GE3/0/2和GE3/0/3加入VLAN10。
[SwitchA] vlan 10
[SwitchA-vlan10] port GigabitEthernet 3/0/1 to GigabitEthernet 3/0/3
[SwitchA-vlan10] quit
[SwitchA] interface Vlan-interface 10
[SwitchA-Vlan-interface10] ip address 192.168.0.1 24
[SwitchA-Vlan-interface10] undo shutdown
[SwitchA-Vlan-interface10] quit
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] undo shutdown
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] undo shutdown
[SwitchA-GigabitEthernet3/0/2] quit
[SwitchA] interface GigabitEthernet 3/0/3
[SwitchA-GigabitEthernet3/0/3] undo shutdown
[SwitchA-GigabitEthernet3/0/3] quit
# 配置NAT地址池。
[SwitchA] nat address-group 0 202.101.0.2 202.101.0.4
# 定义ACL 3001,匹配源IP为192.168.0.0/24的数据流。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule 0 permit ip source 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
# 在出接口上配置动态地址转换。
[SwitchA] vlan 20
[SwitchA-vlan20] port GigabitEthernet 3/0/4
[SwitchA-vlan20] quit
[SwitchA-Vlan-interface20] nat outbound 3001 address-group 0 no-pat
[SwitchA-Vlan-interface20] ip address 202.101.0.1 24
[SwitchA-Vlan-interface20] undo shutdown
[SwitchA-Vlan-interface20] quit
[SwitchA] interface GigabitEthernet 3/0/4
[SwitchA-GigabitEthernet3/0/4] undo shutdown
[SwitchA-GigabitEthernet3/0/4] quit
所有从内网192.168.0.0/24网段访问Internet的IP报文的源IP会被替换成地址池中的地址。
#
vlan 10
#
vlan 20
#
acl number 3001
rule 0 permit ip source 192.168.0.0 0.0.0.255
#
nat address-group 0 202.101.0.2 202.101.0.5
#
interface Vlan-interface10
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound 3001 address-group 0 no-pat
#
interface GigabitEthernet3/0/1
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/2
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/3
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/4
port link-mode bridge
port access vlan 20
#
如图5所示,要求通过配置Easy IP动态地址转换实现:内部网络中192.168.0.0/24网段的用户可以访问Internet,使用的公网地址为Switch A的VLAN接口20的地址202.101.0.1/24。
图5 Easy IP配置组网图
由于S12500不支持配置入方向地址转换,只支持配置出方向地址转换,所以在Switch A的VLAN接口20(而不是VLAN接口10)上配置动态地址转换,以实现192.168.0.0/24网段内的所有用户发出的报文在经过该接口时,对其源IP地址进行地址转换。
本举例是S12500-CMW520-R1825P01版本上进行配置和验证的。
· 由于S12500上NAT报文都要经过接口板和主控板的CPU处理,对CPU的性能影响较大,因此建议NAT功能仅对用户数量不多、流量较小的小型局域网使用,在对CPU性能有较高要求的环境下尽量不要使用。
· S12500只支持在VLAN接口上配置地址转换,不支持在其他类型接口(例如三层以太网接口、隧道接口、网管口等)上配置地址转换。
# 配置VLAN接口10的IP地址,并将端口GE3/0/1、GE3/0/2和GE3/0/3加入VLAN10。
[SwitchA] vlan 10
[SwitchA-vlan10] port GigabitEthernet 3/0/1 to GigabitEthernet 3/0/3
[SwitchA-vlan10] quit
[SwitchA] interface Vlan-interface 10
[SwitchA-Vlan-interface10] ip address 192.168.0.1 24
[SwitchA-Vlan-interface10] undo shutdown
[SwitchA-Vlan-interface10] quit
[SwitchA] interface GigabitEthernet 3/0/1
[SwitchA-GigabitEthernet3/0/1] undo shutdown
[SwitchA-GigabitEthernet3/0/1] quit
[SwitchA] interface GigabitEthernet 3/0/2
[SwitchA-GigabitEthernet3/0/2] undo shutdown
[SwitchA-GigabitEthernet3/0/2] quit
[SwitchA] interface GigabitEthernet 3/0/3
[SwitchA-GigabitEthernet3/0/3] undo shutdown
[SwitchA-GigabitEthernet3/0/3] quit
# 定义ACL 3001,匹配源IP为192.168.0.0/24的数据流。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule 0 permit ip source 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
# 在出接口上配置动态地址转换。
[SwitchA] vlan 20
[SwitchA-vlan20] port GigabitEthernet 3/0/4
[SwitchA-vlan20] quit
[SwitchA-Vlan-interface20] nat outbound 3001
[SwitchA-Vlan-interface20] ip address 202.101.0.1 24
[SwitchA-Vlan-interface20] undo shutdown
[SwitchA-Vlan-interface20] quit
[SwitchA] interface GigabitEthernet 3/0/4
[SwitchA-GigabitEthernet3/0/4] undo shutdown
[SwitchA-GigabitEthernet3/0/4] quit
所有从内网192.168.0.0/24网段访问Internet的IP报文的源IP会被替换成VLAN接口20的IP地址。
#
vlan 10
#
vlan 20
#
acl number 3001
rule 0 permit ip source 192.168.0.0 0.0.0.255
#
interface Vlan-interface10
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound 3001
#
interface GigabitEthernet3/0/1
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/2
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/3
port link-mode bridge
port access vlan 10
#
interface GigabitEthernet3/0/4
port link-mode bridge
port access vlan 20
#
如图6所示,在Switch A上配置Easy IP动态地址转换的方式来实现私网用户192.168.0.2~192.168.0.4访问Internet,使用的公网地址为Switch A的VLAN接口20的地址202.101.0.1/24。
为了保护私网资源(主机或服务器)以及合理分配设备系统资源,要求通过配置连接限制策略来实现:源地址为192.168.0.4的用户按目的地址进行统计,限制用户连接数的上限值为100,下限值为0,即要求与外部服务器建立的连接数不超过100,不少于0。
图6 NAT连接限制配置组网图
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
# 按照图6配置各接口的IP地址,具体配置过程略。
# 配置Easy IP动态地址转换方式,实现私网用户使用公网地址访问Ineternet,具体配置过程请参见8 Easy IP典型配置举例。
# 配置需要被限制用户的ACL。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule permit ip source 192.168.0.4 0
[SwitchA-acl-adv-3001] quit
# 配置连接限制策略。
[SwitchA] connection-limit policy 0
[SwitchA-connection-limit-policy-0] limit 0 acl 3001 per-source amount 100 0
[SwitchA-connection-limit-policy-0] quit
# 在NAT中引用连接限制策略。
[SwitchA] nat connection-limit-policy 0
用户PC3 192.168.0.4与外网的连接数不会超过100个,同时其他用户的连接数不受影响。
#
acl number 3001
rule 0 permit ip source 192.168.0.4 0
#
connection-limit policy 0
limit 0 acl 3001 per-source amount 100 0
#
nat connection-limit-policy 0
#
如图7所示,某公司内部对外提供FTP、HTTP等服务,有一台服务器Server。公司内部网络为网段192.168.0.0/24,服务器地址为192.168.0.2/24。公司拥有公网IP地址202.101.0.2/24。
要求通过配置内部服务器实现:外网的主机可以访问内网的服务器。选用202.101.0.2作为公司对外提供服务的IP地址。
· 为了实现外网的主机可以访问内网的服务器,需要在SwitchA上配置内部服务器,将外网地址和端口映射到内部服务器的私有地址和端口上。
· 由于S12500不支持配置入方向地址转换,只支持配置出方向地址转换。所以在Switch A的VLAN接口20(而不是VLAN接口10)上配置内部服务器。
· 由于FTP和HTTP服务都是基于TCP协议的,所以配置指定支持的协议类型为TCP协议。
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
· 由于S12500上NAT报文都要经过接口板和主控板的CPU处理,对CPU的性能影响较大,因此建议NAT功能仅对用户数量不多、流量较小的小型局域网使用,在对CPU性能有较高要求的环境下尽量不要使用。
· S12500只支持在VLAN接口上配置地址转换,不支持在其他类型接口(例如三层以太网接口、隧道接口、网管口等)上配置地址转换。
# 按照图7配置各接口的IP地址,具体配置过程略。
# PC上已有到Server的外网地址202.101.0.5的默认路由,配置过程略。
# 配置在VLAN接口20上的HTTP Server。
[SwitchA] vlan 20
[Switcha-vlan20] port GigabitEthernet 3/0/4
[SwitchA-vlan20] quit
[SwitchA] interface Vlan-interface 20
[SwitchA-Vlan-interface20] ip address 202.101.0.2 24
[SwitchA-Vlan-interface20] nat server protocol tcp global 202.101.0.2 www inside 192.168.0.2 www
[SwitchA-Vlan-interface20] undo shutdown
[SwitchA-Vlan-interface20] quit
[SwitchA] interface GigabitEthernet 3/0/4
[SwitchA-GigabitEthernet3/0/4] undo shutdown
[SwitchA-GigabitEthernet3/0/4] quit
# 配置在VLAN接口20上的FTP Server。
[SwitchA] interface Vlan-interface 20
[SwitchA-Vlan-interface20] nat server protocol tcp global 202.101.0.2 ftp inside 192.168.0.2 ftp
[SwitchA-Vlan-interface20] quit
配置生效后,从公网进入目的地址为202.103.0.2的TCP报文(端口号为配置的端口号),目的地址被更换成192.168.0.2。在192.168.0.2上配置WWW服务器,在公网上可以通过访问202.103.0.2来访问该服务器。
#
vlan 20
#
interface Vlan-interface20
ip address 202.101.0.2 255.255.255.0
nat server protocol tcp global 202.101.0.2 www inside 192.168.0.2 www
nat server protocol tcp global 202.101.0.2 ftp inside 192.168.0.2 ftp
#
interface GigabitEthernet3/0/4
port link-mode bridge
port access vlan 20
#
如图8所示,在Switch A上配置Easy IP动态地址转换的方式来实现内部网络中的用户PC可以通过Switch A访问外部网络中的设备Server。
为了实时跟踪、记录私网用户访问外部网络的情况,增强网络的安全性,要求通过配置NAT日志功能实现:内网PC192.168.0.2/24访问外网设备Server时,在创建NAT连接时将日志发送给Server。
图8 NAT日志配置组网图
本举例是在S12500-CMW520-R1825P01版本上进行配置和验证的。
# 按照图8配置各接口的IP地址,具体配置过程略。
# 配置Easy IP动态地址转换方式,实现私网用户使用公网地址访问Ineternet,具体配置过程请参见8 Easy IP典型配置举例。
# 配置带ACL的日志使能,只输出符合规则的ACL日志。
[SwitchA] acl number 3001
[SwitchA-acl-adv-3001] rule 0 permit ip source 192.168.0.0 0.0.0.255
[SwitchA-acl-adv-3001] quit
# 使能NAT日志功能。
[SwitchA] nat log enable acl 3001
# 配置NAT日志是创建NAT连接时发送,或者NAT流活跃时发送(二选一)。
· 配置创建NAT连接时发送日志。
[SwitchA] nat log flow-begin
· 配置NAT流活跃10分钟发送日志。
[SwitchA] nat log flow-active 10
# 配置NAT日志信息的输出方式(二选一)
· 日志输出至日志服务器,配置日志服务器主机。
[SwitchA] userlog nat export slot 1 host 202.101.0.5 9020
· 日志输出至信息中心。
[SwitchA] userlog nat syslog
在NAT设备上,当有会话新建立时,日志服务器202.101.0.5会收到日志报文。可以显示会话的五元组信息。
· NAT日志选择创建NAT连接时发送,日志输出至日志服务器
#
userlog nat export slot 1 host 202.101.0.5 9020
#
acl number 3001
rule 5 permit ip source 192.168.0.0 0.0.0.255
#
nat log enable
nat log flow-begin
#
· NAT日志选择NAT流活跃时发送,日志输出至信息中心
#
userlog nat syslog
#
acl number 3001
rule 5 permit ip source 192.168.0.0 0.0.0.255
#
nat log enable
nat log flow-active 10
#
· 《H3C S12500系列路由交换机 三层技术-IP业务配置指导》中的“NAT”
· 《H3C S12500系列路由交换机 三层技术-IP业务命令指导》中的“NAT”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
