- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
05-NAT命令
本章节下载: 05-NAT命令 (268.21 KB)
目 录
1.1.1 connection-limit apply policy
1.1.2 connection-limit log enable
1.1.4 display connection-limit policy
1.1.5 display connection-limit statistics
1.1.6 display connection-limit statistics total
1.1.8 display nat address-group
1.1.13 display nat server-group
1.1.23 nat server (for extended nat server)
1.1.24 nat server (for normal nat server)
· 本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的单板,“SPE单板”指的是单板丝印以“SPE”开头(如SPE-1020-E-II)的单板,“NAT单板”指的是单板丝印以“IM-NAT”开头(如IM-NAT-II)的单板。
· 丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板、SPC单板和NAT单板上具有NAT业务接口,除特殊说明外,本文中涉及进入NAT业务接口的相关配置均可在上述单板上进行配置。
【命令】
connection-limit apply policy policy-number
undo connection-limit apply policy policy-number
【视图】
NAT业务接口视图
【缺省级别】
2:系统级
【参数】
policy-number:指定连接限制策略编号,取值范围为0~255。
【描述】
connection-limit apply policy命令用来配置连接限制策略与NAT模块绑定。undo connection-limit apply policy命令用来取消配置的绑定关系。
需要注意的是:
· 同一个接口下只能绑定一个连接限制策略。若要修改绑定策略,需要先使用undo connection-limit apply policy命令取消原来的绑定关系。
· 绑定的连接限制策略必须已经存在。
· 如果没有命中此连接限制策略,就会命中默认的连接限制策略。
【举例】
# 将连接限制策略0绑定到NAT业务接口上。
<Sysname> system-view
[Sysname] interface nat 3/0/1
[Sysname-NAT3/0/1] connection-limit apply policy 0
【命令】
connection-limit log enable
undo connection-limit log enable
【视图】
NAT业务接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
connection-limit log enable命令用来开启连接限制日志功能。undo connection-limit log enable命令用来关闭连接限制日志功能。
缺省情况下,连接限制日志功能处于关闭状态。
需要注意的是,该功能仅NAT单板支持。
【举例】
# 开启连接限制日志功能。
<Sysname> system-view
[Sysname] interface nat 3/0/1
[Sysname-NAT3/0/1] connection-limit log enable
【命令】
connection-limit policy policy-number
undo connection-limit policy { policy-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-number:连接限制策略编号,取值范围为0~255。
all:表示所有的连接限制策略。
【描述】
connection-limit policy命令用来创建或编辑一个连接限制策略,并进入连接限制策略视图。undo connection-limit policy命令用来删除一个或全部连接限制策略。
需要注意的是:
· 一个连接限制策略由一系列的连接限制规则组成,在规则中指明了对指定用户的连接数进行限制。缺省情况下,策略采用缺省的连接限制参数。
· 创建一个连接限制策略需要指定策略的编号,此编号用来唯一标识此策略。
· 如果策略未与NAT模块绑定,可以修改策略中已配置的连接限制规则。如果连接限制策略已与NAT模块绑定,则不允许修改策略中已配置的连接限制规则,只能对规则进行添加或者删除。
· 如果用户在连接限制策略中配置了多个子规则,那么系统将按照用户源IP地址的掩码长度来确定命中的优先级,掩码长的,优先被命中。
【举例】
# 创建策略编号为1的连接限制策略,并进入连接限制策略视图。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connection-limit-policy-1]
【命令】
display connection-limit policy { policy-number | all } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
policy-number:显示指定编号的连接限制策略。
all:显示所有的策略。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection-limit policy命令用来显示用户当前配置的连接限制策略。
相关配置可参考命令limit source。
【举例】
# 显示所有已配置策略。
<Sysname> display connection-limit policy all
There are 2 policies:
Connection-limit policy 0, refcount 0, 3 limits
limit 0 source 11.0.0.0 32 vpn-instance 1 amount other 10000
limit 8000 source 12.0.0.0 31 vpn-instance 1 bandwidth 123 shared
limit 12000 source 13.0.0.0 31 vpn-instance 1 rate 1
Connection-limit policy 1, refcount 0, 1 limit
limit 9999 source any rate 200 shared
表1-1 display connection-limit policy all命令显示信息描述表
|
字段 |
描述 |
|
Connection-limit policy |
连接限制策略编号 |
|
refcount 0, 3 limits |
策略被引用的次数及策略中包含的规则数目 |
|
limit |
策略下配置的连接限制规则,规则的具体含义请参考连接限制策略视图下的命令limit |
【命令】
display connection-limit statistics [ ip user-ip ] [ vpn-instance vpn-instance-name ] interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
ip user-ip:指定用户IP地址。
vpn-instance vpn-instance-name:指定用户连接所属的MPLS VPN实例。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,则表示待查询连接统计的用户属于公网,而不属于某一个MPLS VPN实例。
interface interface-type interface-number:指定接口类型和接口编号。其中,interface-type表示接口的类型,interface-number表示接口的编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection-limit statistics命令用来显示连接限制统计信息。
需要注意的是:
· 该命令仅能显示NAT单板上的统计信息。
· display connection-limit statistics [ ip user-ip ] 只显示主机限制模式的连接限制统计信息,不支持独享网段模式或者共享网段模式中某个具体用户的连接限制统计信息。
· 共享网段模式下,您可以通过display connection-limit statistics interface 查看当前所有用户的连接限制统计信息。
· 独享网段模式下,您可以通过display connection-limit statistics total interface查看当前所有用户的连接限制统计信息。
· 如果指定参数ip时不指定参数vpn-instance,则表示待查询的用户连接属于公网,而不属于某一个MPLS VPN实例。
· 如果既不指定参数ip,也不指定参数vpn-instance,则表示查询所有VPN域及非VPN域的连接统计信息。
【举例】
# 显示接口NAT3/0/1上用户2.2.2.2的连接限制统计信息。
<Sysname> display connection-limit statistics ip 2.2.2.2 vpn-instance vpn1 interface nat 3/0/1
IP-address VPN-instance Amount Bytes
2.2.2.2 vpn1 100 ---
表1-2 display connection-limit statistic ip命令显示信息描述表
|
字段 |
描述 |
|
IP-address |
源IP地址 |
|
VPN-instance |
用户连接所属MPLS VPN实例名,public表示用户连接属于公网 |
|
Amount |
连接数统计信息 |
|
Bytes |
字节数统计信息,设备不支持此参数 |
【命令】
display connection-limit statistics total interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
interface interface-type interface-number:指定接口类型和接口编号。其中,interface-type表示接口的类型,interface-number表示接口的编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection-limit statistics total命令用来显示总的连接限制统计信息,包括当前建立的用户总数和当前建立的连接总数。
需要注意的是,该命令仅能显示NAT单板上的统计信息。
【举例】
# 显示接口NAT3/0/1上总的连接限制的统计信息。
<Sysname> display connection-limit statistics total interface nat 3/0/1
Total connection-limit statistics information:
Users: 200
Connections: 1000
表1-3 display connection-limit statistic total命令显示信息描述表
|
字段 |
描述 |
|
Total connection-limit statistics information |
总的连接限制统计信息 |
|
Users |
总用户数 |
|
Connections |
总连接数 |
【命令】
display interface nat-interface [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
nat-interface:表示NAT业务接口编号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display interface nat-interface:显示NAT业务接口地址转换的统计信息。
【举例】
# 显示丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板和SPC单板上NAT业务接口的地址转换统计信息。
<Sysname>display interface NAT 4/0/1
NAT4/0/1 current state: UP
Line protocol current state: DOWN
Description: NAT4/0/1 Interface
Internet protocol processing : disabled
NAT input packet of each VCPU:
0 0 0 0
159882 159882 161434 161434
161434 161434 159882 159882
144359 144358 144358 144359
NAT Output packet of each VCPU:
0 0 0 0
159882 159882 161434 161434
161434 161434 159882 159882
144359 144358 144358 144359
NAT input packet count: total 1862698 error 0
NAT Output packet count: total 1862698 error 0
# 显示NAT单板上NAT业务接口的地址转换统计信息。
<Sysname>display interface NAT 4/0/1
NAT4/0/1 current state: UP
Line protocol current state: DOWN
Description: NAT4/0/1 Interface
Internet protocol processing : disabled
Session log : disable
BlackList : enable, log disable
Session Entry : 0
------ Packets Received : 50454521
------ TCP Packets Sent : 0
------ UDP Packets Sent : 2823732
------ ICMP Packets Sent : 0
------ Fragments Sent : 0
------ Unknown Packets Sent : 0
表1-4 display interface命令显示信息描述表
|
字段 |
描述 |
|
NAT4/0/1 current state: UP |
表示NAT业务接口处于UP状态 |
|
Line protocol current state |
链路层协议的状态 |
|
Description |
接口名称描述 |
|
Internet protocol processing |
网络层协议是否使能 |
|
NAT input packet of each VCPU |
每个物理核收到的NAT报文总数 四行数据:表示四个物理核 四列数据:表示每个物理核分为四个VCPU,以及每个VCPU收到的NAT报文总数 第一行表示主核,不进行数据业务报文处理,所以每个VCPU收到的报文数均为0;其余三行表示进行数据业务报文处理的物理核 需要注意的是,对于丝印为SPC-GP48LA、SPC-GP24LA、SPC-GT48LA、SPC-XP4LA、SPC-XP2LA的单板,只有两个物理核:一个主核,一个处理数据业务报文的物理核 |
|
NAT Output packet of each VCPU |
每个物理核发送的NAT报文总数 四行数据:表示四个物理核 四列数据:表示每个物理核分为四个VCPU,以及每个VCPU发送的NAT报文总数 第一行表示主核,不进行数据业务报文处理,所以每个VCPU发送的报文数均为0;其余三行表示进行数据业务报文处理的物理核 需要注意的是,对于丝印为SPC-GP48LA、SPC-GP24LA、SPC-GT48LA、SPC-XP4LA、SPC-XP2LA的单板,只有两个物理核:一个主核,一个处理数据业务报文的物理核 |
|
NAT input packet count |
接收的NAT报文总数 |
|
NAT Output packet count |
发送的NAT报文总数 |
|
Session log : enable |
日志功能已使能 |
|
BlackList : enable, log disable |
黑名单功能开启,黑名单日志没有使能 |
|
Session Entry |
会话记录条数。查看会话表统计信息的命令请参见“会话管理”中的display session statistics命令 |
|
Packets Received |
NAT板收到的报文总数 |
|
TCP Packets Sent |
NAT板发出的TCP报文总数 |
|
UDP Packets Sent |
NAT板发出的UDP报文总数 |
|
ICMP Packets Sent |
NAT板发出的ICMP报文总数 |
|
Fragments Sent |
NAT板发出的分片报文总数 |
|
Unknown Packets Sent |
NAT板发出的未知报文总数 |
【命令】
display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
【缺省级别】
1:监控级
【参数】
group-number:表示地址池索引号,取值范围为0~511。如果不设定该值,则表示显示所有NAT地址池的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat address-group命令用来显示NAT地址池的信息。
相关配置可参考命令nat address-group。
【举例】
<Sysname> display nat address-group
NAT address-group information:
There are currently 3 nat address-group(s)
1 : from 1.0.0.1 to 1.0.0.64
2 : from 1.0.1.1 to 1.0.1.64
3 : from 1.0.2.2 to 1.0.2.2
# 显示索引号为1的NAT地址池信息。
<Sysname> display nat address-group 1
NAT address-group information:
1 : from 202.110.10.10 to 202.110.10.15
表1-5 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
显示NAT地址池信息 |
|
There are currently 3 nat address-group(s) |
存在三条NAT地址池信息 |
|
1 : from 202.110.10.10 to 202.110.10.15 |
1号地址池的IP地址范围为202.110.10.10到202.110.10.15 |
【命令】
display nat all [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat all命令用来显示所有的NAT配置信息。
【举例】
# 显示所有的关于地址转换的配置信息。
<Sysname> display nat all
NAT address-group information:
There are currently 3 nat address-group(s)
1 : from 66.1.1.1 to 66.1.1.10
2 : from 99.1.1.1 to 99.1.1.64
3 : from 88.1.1.1 to 88.1.1.10
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: GigabitEthernet13/1/2
Direction: outbound ACL: 3009 Address-group: 2 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
NAT server in private network information:
There are currently 1 internal server(s)
Interface: GigabitEthernet13/1/2, Protocol: 17(udp)
Global: 59.1.1.59 : 0(any)
Local : 59.1.1.100 : 0(any)
Status: Active
NAT static information:
There are currently 2 NAT static configuration(s)
net-to-net:
Local-IP : 59.0.0.0
Global-IP : 44.0.0.0
Netmask : 255.0.0.0
Unidirectional : N
Local-VPN : ---
Global-VPN : ---
Destination : ---
Destination Mask: ---
Out-interface : ---
Next-hop : ---
Status : Active
Local-IP : 77.0.0.0
Global-IP : 69.0.0.0
Netmask : 255.0.0.0
Unidirectional : N
Local-VPN : ---
Global-VPN : ---
Destination : ---
Destination Mask: ---
Out-interface : ---
Next-hop : ---
Status : Active
表1-6 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
NAT地址池信息 |
|
There are currently 3 nat address-group(s) |
存在3条NAT地址池信息,具体显示信息字段的描述请参见命令display nat address-group |
|
NAT bound information |
内部地址和外部地址的转换配置信息,具体显示信息字段的描述请参见命令display nat bound |
|
There are currently 1 nat bound rule(s) |
存在1条地址转换关联信息 |
|
NAT server in private network information |
内部服务器信息,具体显示信息字段的描述请参见命令display nat server |
|
There are currently 1 internal server(s) |
存在1条内部服务器信息 |
|
NAT static information |
静态地址转换信息,具体显示信息字段的描述请参见命令display nat static |
|
There are currently 2 NAT static configuration(s) |
存在2条静态转换表项 |
【命令】
display nat bound [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat bound命令用来显示地址转换关联的配置信息。
相关配置可参考命令nat inbound和nat outbound。
【举例】
# 显示配置的地址转换的信息。
<Sysname> display nat bound
NAT bound information:
There are currently 3 nat bound rule(s)
Interface:Vlan-interface10
Direction: outbound ACL: 2000 Address-group: 319 NO-PAT: Y
VPN-instance: vpn1
Out-interface: ---
Next-hop: 100.100.100.1
Status: Inactive
Interface:Vlan-interface10
Direction: inbound ACL: 3000 Address-group: 300 NO-PAT: N
VPN-instance: vpn2
Out-interface: Vlan-interface200
Next-hop: 100.100.110.1
Status: Inactive
Interface:Vlan-interface20
Direction: outbound ACL: 2001 Address-group: --- NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Inactive
表1-7 display nat bound命令显示信息描述表
|
字段 |
描述 |
|
NAT bound information: |
显示内部地址和外部地址的转换信息 |
|
There are currently 3 nat bound rule(s) |
存在3条地址转换关联信息 |
|
Interface |
地址转换关联的接口 |
|
Direction |
地址转换方向,inbound表示入方向,outbound表示出方向 |
|
ACL |
地址池关联的ACL规则 |
|
Address-group |
地址池索引,Easy IP方式下该项无内容 |
|
NO-PAT |
是否支持NO-PAT方式 |
|
VPN-instance |
地址池所属的L3VPN的VPN实例名称,未配置则显示“---” |
|
Output-interface |
指定的出接口,未配置则显示“---” |
|
Next-hop |
指定的下一跳地址,未配置则显示“---” |
|
Status |
该配置的当前状态,生效显示“Active”,未生效则显示“Inactive” |
【命令】
display nat dns-map [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat dns-map命令用来显示NAT DNS mapping的配置信息。
相关配置可参考命令nat dns-map。
【举例】
# 显示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
There are currently 2 NAT DNS mapping(s)
Domain-name: www.server.com
Global-IP : 202.113.16.117
Global-port: 80(www)
Protocol : 6(tcp)
Domain-name: ftp.server.com
Global-IP : 202.113.16.100
Global-port: 21(ftp)
Protocol : 6(tcp)
表1-8 display nat dns-map命令显示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping信息 |
|
There are currently 2 DNS mapping(s) |
存在2条DNS mapping信息 |
|
Domain-name |
内部服务器的域名 |
|
Global-IP |
内部服务器对外的公网IP地址 |
|
Global-port |
内部服务器对外的服务端口号 |
|
Protocol |
内部服务器支持的协议类型 |
【命令】
display nat server [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat server命令用来显示内部服务器的信息。
相关配置可参考命令nat server。
【举例】
# 显示内部服务器的信息。
<Sysname> display nat server
NAT server in private network information:
There are currently 2 internal server(s)
Interface: Vlan-interface10, Protocol: 6(tcp)
Global: 100.100.120.120 : 21(ftp)
Local : 192.168.100.100 : 21(ftp)
Status: Inactive
Interface: Vlan-interface11, Protocol: 6(tcp)
Global: 100.100.100.121 : 80(www)
Local : 192.168.100.101 : 80(www)
Status: Inactive
表1-9 display nat server命令显示信息描述表
|
字段 |
描述 |
|
Server in private network information |
显示内部服务器信息 |
|
There are currently 2 internal server(s) |
存在2条内部服务器信息 |
|
Interface |
内部服务器所在接口 |
|
Protocol |
内部服务器的协议类型 |
|
Global |
显示服务器公网地址/端口号(知名端口类型),公共地址所属VPN实例名 |
|
Local |
显示服务器私网地址/端口号(知名端口类型),私网地址所属VPN实例名 |
|
Status |
表示内部服务器是否生效。Active表示生效;Inactive表示不生效。 |
【命令】
display nat server-group [ group-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
group-number:内部服务器组索引号,取值范围为0~1023。如果不设置该值,则显示所有内部服务器组信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat server-group命令用来显示NAT内部服务器组配置信息。
相关配置可参考命令nat server-group。
【举例】
# 显示所有内部服务器组的配置信息。
<Sysname> display nat server-group
NAT server-group information:
There are currently 2 NAT server-group(s)
Server-group Inside-IP Port
1 1.1.1.1 15
1 1.1.1.2 15
1 1.1.1.3 15
2 1.1.2.1 16
表1-10 display nat server-group命令显示信息描述表
|
字段 |
描述 |
|
NAT server-group information |
内部服务器组信息 |
|
There are currently 2 NAT server-group(s) |
当前有两个内部服务器组 |
|
Server-group |
内部服务器组索引号 |
|
Inside-IP |
内部服务器组成员在内部局域网的IP地址 |
|
Port |
内部服务器组成员在内部局域网的服务端口号 |
【命令】
display nat static [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat static命令用来显示系统配置的静态转换配置和接口静态使能配置。
相关配置可参考命令nat static和nat outbound static。
【举例】
# 显示静态配置和接口静态使能配置的信息。
<Sysname> display nat static
NAT static information:
There are currently 2 NAT static configuration(s)
net-to-net:
Local-IP : 59.0.0.0
Global-IP : 44.0.0.0
Netmask : 255.0.0.0
Unidirectional : N
Local-VPN : ---
Global-VPN : ---
Destination : ---
Destination Mask: ---
Out-interface : ---
Next-hop : ---
Status : Active
Local-IP : 77.0.0.0
Global-IP : 69.0.0.0
Netmask : 255.0.0.0
Unidirectional : N
Local-VPN : ---
Global-VPN : ---
Destination : ---
Destination Mask: ---
Out-interface : ---
Next-hop : ---
Status : Active
NAT static enabled information:
Interface Direction
Vlan-interface11 out-static
表1-11 display nat static命令显示信息描述表
|
字段 |
描述 |
|
NAT static information |
静态地址转换的配置信息 |
|
net-to-net |
表示网段到网段静态地址转换映射 |
|
Local-IP |
私网IP地址 |
|
Global-IP |
公网IP地址 |
|
Netmask |
网段映射的网络掩码 |
|
Unidirectional |
表示是否只支持单向转换 |
|
Local-VPN |
私网IP地址所属VPN实例名 |
|
Global-VPN |
公网IP地址所属VPN实例名 |
|
Destination |
目的网络地址 |
|
Destination Mask |
目的网络地址掩码 |
|
Output-interface |
出接口 |
|
Next-hop |
下一跳IP地址 |
|
Status |
表示静态转换配置和接口静态使能配置是否生效,Active表示生效;Inactive表示不生效。 |
|
NAT static enabled information |
静态地址转换在接口的使能信息 |
【命令】
inside ip inside-ip port port-number
undo inside ip inside-ip
【视图】
内部服务器组视图
【缺省级别】
2:系统级
【参数】
inside-ip:内部服务器组成员的IP地址。
port port-number:内部服务器组成员提供服务的端口号,取值范围为1~65535。
【描述】
inside ip命令用来添加一个内部服务器组成员。undo inside ip命令用来在内部服务器组中删除一个内部服务器组成员。
需要注意的是:
· 该功能仅NAT单板支持。
· 同一个服务器组的不同成员的IP地址不能相同。
· 设备可以在一个服务器组下配置8个内部服务器。
【举例】
# 配置一个内部服务器组的内部成员,内部服务器组的索引号为1,成员的IP地址为10.110.10.20,端口号为30。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.110.10.20 port 30
【命令】
limit limit-id source { user-ip mask-length | any } [ vpn-instance vpn-instance-name ] { amount { dns max-amount | http max-amount | other max-amount | tcp max-amount } * | { bandwidth max-bandwidth | rate max- rate } } * [ shared ]
undo limit limit-id [ source { user-ip mask-length | any } [ vpn-instance vpn-instance-name ] { amount { dns max-amount | http max-amount | other max-amount | tcp max-amount } * | { bandwidth max-bandwidth | rate max- rate } } * [ shared ] ]
【视图】
连接限制策略视图
【缺省级别】
2:系统级
【参数】
limit-id:表示连接限制策略子规则编号,取值范围如下:
· 主机限制模式:0~7999;
· 独享网段模式:12000~12999;
· 共享网段模式:8000~11999。
source:指定按照源地址信息来进行连接限制。
user-ip mask-length:指定依据源IP地址来进行限制。其中,user-ip表示用户的源IP地址,mask-length表示IP地址掩码长度,取值范围由子规则模式确定。
· 主机限制模式下mask-length取值为32;
· 共享网段限制模式与独享网段限制模式下mask-length取值为1~31。
any:指定公网或者VPN实例下的所有网络主机进行连接限制。该参数在主机限制模式下不支持。
vpn-instance vpn-instance-name:源IP地址所属MPLS VPN实例。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示连接限制的源地址属于非VPN域,不属于某一个MPLS VPN实例。
amount:指定连接数限制阈值。
dns max-amount:表示对DNS协议的连接数限制。其中,max-amount为限制阈值,取值范围为:1~1000000。
http max-amount:表示对HTTP协议的连接数限制。其中,max-amount为限制阈值,取值范围为1~1000000。
other max-amount:表示对其它协议的连接数限制。其中,max-amount为限制阈值,取值范围为1~1000000。
tcp max-amount:表示对TCP协议的连接数限制。其中,max-amount为限制阈值,取值范围为1~1000000。
bandwidth max-bandwidth:指定流量带宽。其中,max-bandwidth为流量带宽阈值,单位为KBytes/s,取值范围为1~2097151。
rate max-rate:指定连接速率阈值。其中,max-rate为连接速率阈值,单位为个/秒,取值范围为1~262143。
shared:指定共享网段限制模式。该参数仅在共享网段限制模式下支持。
【描述】
· amount { dns max-amount | http max-amount | other max-amount | tcp max-amount } *仅在
丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板和NAT单板上支持。
· bandwidth max-bandwidth、rate max-rate仅在NAT单板上支持。
limit source命令用来配置源IP地址方式的连接限制规则,对指定网段的用户进行连接数、连接速率、流量带宽进行限制。undo limit命令用来删除指定的连接限制规则。
需要注意的是:
· 在
· 同一个连接限制策略下可配置多种模式的连接限制规则。
· 对连接速率和流量带宽的限制不能同时支持。
· 指定连接数限制时,可以同时针对DNS、HTTP、TCP、其他协议中的任何几种协议进行设置。dns、tcp、http为具体协议类型,other为模糊协议类型,如果同时设置了具体协议类型和模糊协议类型,则other表示除具体协议类型外的其他所有协议类型;当未指定具体协议类型时,配置other类型则表示所有协议类型。
· 设置关键字为any时,表示对所有用户分别采用设置的连接限制进行限制,若同时指定源地址所属MPLS VPN实例,则等同于设置该VPN实例中所有用户的连接限制缺省值。
相关配置可参考命令connection-limit policy和display connection-limit policy。
【举例】
# 配置编号为1的连接限制规则,对源地址为1.1.1.1的用户基于TCP协议的连接数进行限制,连接数上限值为200。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connection-limit-policy-1] limit 1 source 1.1.1.1 32 amount tcp 200
【命令】
nat address-group group-number start-address end-address
undo nat address-group group-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
group-number:地址池索引号,取值范围为0~511。
end-address:地址池的结束IP地址。end-address必须大于或等于start-address。地址池中的IP地址数不能超过255个。
【描述】
nat address-group命令用来配置NAT转换使用的地址池。undo nat address-group命令用来删除配置的地址池。
地址池是一些连续的IP地址集合。当对需要到达外部网络的数据报文进行地址转换时,其源地址将被转换为地址池中的某个地址。如果start-address和end-address相同,表示只有一个地址。
需要注意的是:
· 已经和某个访问控制列表关联的地址池,在进行地址转换时是不允许删除的。
· 如果设备仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址。
相关配置可参考命令display nat address-group。
【举例】
# 配置一个从202.110.10.10到202.110.10.15的地址池,地址池索引号为1。
<Sysname> system-view
[Sysname] nat address-group 1 202.110.10.10 202.110.10.15
【命令】
nat binding interface interface-type interface-number
undo nat binding interface interface-type interface-number
【视图】
NAT业务接口视图
【缺省级别】
2:系统级
【参数】
interface interface-type interface-number:指定绑定NAT业务的接口。其中,interface-type表示接口类型,interface-number表示接口编号。
【描述】
nat binding命令用来在NAT业务接口上绑定已经配置NAT功能的接口。undo nat binding命令用来取消绑定。
· 一个业务接口可以绑定多个配置NAT功能的接口。一个配置NAT功能的接口只能与一个业务接口绑定。
· 将接口绑定到NAT业务接口后,该接口不能作为QoS重定向的出接口,因为从该接口出去的报文会进行NAT业务处理,可能会导致QoS重定向功能失效。
【举例】
# 配置ACL 2000,允许源地址属于10.110.10.0/24网段的连接进行地址转换。
<Sysname> system-view
[Sysname] acl number 2000
[Sysname-acl-basic-2000] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2000] rule deny
[Sysname-acl-basic-2000] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 使用地址池1中的地址进行地址转换,在转换的时候使用端口信息。
[Sysname] interface vlan-interface 1000
[Sysname-Vlan-interface1000] nat outbound 2000 address-group 1
[Sysname-Vlan-interface1000] quit
# 配置绑定关系。
[Sysname] interface nat 6/0/1
[Sysname-NAT6/0/1] nat binding interface vlan-interface 1000
【命令】
nat dns-map domain domain-name protocol pro-type ip global-ip port global-port
undo nat dns-map domain domain-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
domain domain-name:指定内部服务器的合法域名。其中,domain-name表示内部服务器的域名,为不超过255个字符的字符串,不区分大小写,由一个或者多个label组成,两个label间由"."分隔,每个label最长为63个字符,必须由字母或数字开头,由字母或数字结尾,中间字符可以是字母、数字或连字符"-"。
protocol pro-type:指定内部服务器支持的协议类型。其中,pro-type表示具体的协议类型,取值为tcp或udp。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。其中,global-ip表示公网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号。其中,global-port表示服务端口号,取值范围为1~65535。
【描述】
nat dns-map命令用来配置一条域名到内部服务器的映射。undo nat dns-map命令用来删除一条域名到内部服务器的映射。
需要注意的是,目前设备最多可支持16条域名到内部服务器的映射。
相关配置可参考命令display nat dns-map。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.server.com,对外的IP地址为202.112.0.1。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port www
【命令】
nat inbound acl-number address-group group-number [ vpn-instance vpn-instance-name ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ no-pat ]
undo nat inbound acl-number [ address-group group-number [ vpn-instance vpn-instance-name ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ no-pat ] ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表号,取值范围为2000~3999。
address-group group-number:表示使用地址池的方式配置地址转换。其中,group-number为一个已经定义的地址池的编号,取值范围为0~511。
vpn-instance vpn-instance-name:公网地址所属MPLS VPN实例。其中,vpn-instance-name表示MPLS VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该参数,表示公网地址属于一个普通的网络,不属于某一个MPLS VPN实例。
interface interface-type interface-number:指定出接口。其中,interface-type表示出接口的类型,interface-number表示出接口编号。
next-hop ip-address:指定下一跳的接口地址。其中,ip-address表示下一跳的接口IP地址。
no-pat:只转换数据包的地址而不使用端口信息。
【描述】
nat inbound命令用来将一个访问控制列表和一个地址池关联起来,从入接口接收到的符合ACL规则的报文会被送去NAT业务板,将源IP地址使用地址池group-number中的地址进行地址转换。undo nat inbound命令用来取消该关联。
需要注意的是:
· 该功能仅NAT单板支持。
· 在一个接口下,一个ACL只能与一个地址池绑定;但一个地址池可以与多个ACL绑定。
· 实际组网应用中需要同时在入接口配置QoS策略将报文重定向到NAT业务板,QoS策略配置不支持带VPN的ACL过滤。QoS策略的具体配置请参见“ACL&QoS命令参考”中的“QoS策略配置命令”。
· 入接口地址关联不支持EASY IP。
相关配置可参考命令display nat bound和nat address-group。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10到202.110.10.12之间的地址作为转换后的地址。假设GigabitEthernet3/1/4接口连接私网网段。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit vpn-instance vrf11 source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2001] rule deny
[Sysname-acl-basic-2001] quit
[Sysname] acl number 2002
[Sysname-acl-basic-2002] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2002] rule deny
[Sysname-acl-basic-2002] quit
[Sysname] ip vpn-instance vrf10
[Sysname-vpn-instance-vrf10] route-distinguisher 100:001
[Sysname-vpn-instance-vrf10] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance-vrf10] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance-vrf10] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 配置QoS策略将报文重定向到接口NAT4/0/1。
[Sysname] traffic classifier 1
[Sysname-classifier-1] if-match acl 2002
[Sysname-classifier-1] quit
[Sysname] traffic behavior 1
[Sysname-behavior-1] redirect interface nat 4/0/1
[Sysname-behavior-1] quit
[Sysname] qos policy 1
[Sysname-qospolicy-1] classifier 1 behavior 1
[Sysname-qospolicy-1] quit
[Sysname] interface GigabitEthernet3/1/4
[Sysname-GigabitEthernet3/1/4] qos apply policy 1 inbound
[Sysname-GigabitEthernet3/1/4] quit
# 配置入接口与NAT业务接口关联。
[Sysname] interface nat 4/0/1
[Sysname-NAT4/0/1] nat binding interface GigabitEthernet 3/1/4
[Sysname-NAT4/0/1] quit
# 允许地址转换,使用地址池1中的地址进行地址转换,在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat inbound 2001 address-group 1 vpn-instance vrf10
# 如果不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
[Sysname-GigabitEthernet3/1/4] nat inbound 2001 address-group 1 vpn-instance vrf10 no-pat
# 如果指定出接口和下一跳,可以使用如下配置。
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat inbound 2001 address-group 1 vpn-instance vrf10 interface GigabitEthernet 3/1/5 next-hop 3.3.3.3 no-pat
【命令】
nat outbound acl-number [ address-group group-number [ vpn-instance vpn-instance-name ] [ next-hop ip-address ] [ no-pat ] ]
nat outbound acl-number [ next-hop ip-address ]
undo nat outbound acl-number [ address-group group-number [ vpn-instance vpn-instance-name ] [ next-hop ip-address] [ no-pat ] ]
undo nat outbound acl-number [ next-hop ip-address ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表号,取值范围为2000~3999。
address-group group-number:指定地址转换使用的地址池。group-number为一个已经定义的地址池的编号,取值范围为0~511。如果未指定本参数,则表示直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
vpn-instance vpn-instance-name:指定地址池中的地址所属的VPN实例的名称,表示可以支持VPN之间通过NAT转换进行互访。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示地址池中的地址不属于任何一个VPN。该参数需要NAT单板支持。
next-hop ip-address:指定进行地址转换的报文下一跳IP地址。ip-address表示下一跳IP地址,只能为A、B、C三类地址。该参数需要NAT单板支持。
no-pat:表示不使用TCP/UDP端口信息实现多对多地址转换。如果未指定本参数,则表示使用TCP/UDP端口信息实现多对一地址转换。
【描述】
nat outbound命令用来配置出接口地址关联。即将一个访问控制列表ACL和一个地址池关联起来,表示符合ACL规则的报文的源IP地址可以使用地址池group-number中的地址进行地址转换。undo nat outbound命令用来取消关联。
需要注意的是:
· 通过配置访问控制列表和地址池的关联,将符合访问控制列表中的报文的源IP地址进行地址转换,可以选用地址池中的某个地址或者直接使用接口的IP地址进行转换。
· 可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况下和外部网络连接,是内部网络的出口。
· 当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址,则应该首先使用reset session命令清除原NAT地址映射表项,然后再访问外部网络,否则就会出现原有NAT表项不能自动删除,也无法使用reset session命令删除的情况。
· 执行undo nat outbound命令后,nat outbound命令生成的NAT地址映射表项不会被自动删除,这些表项需等待5~10分钟后自动老化。在此期间,使用该NAT地址映射表项的用户不能访问外部网络,但不使用该映射表项的用户不受影响。用户也可以使用reset session命令立即清除所有的NAT地址映射表项,但该命令会导致NAT业务中断,所有用户必须重新发起连接。用户可根据自身网络需求,选择适当的处理方式。
· 当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。
· 如果系统支持指定下一跳,当报文查找路由表进行转发时,如果命中指定的下一跳IP地址,则将采用配置地址池中的地址进行转换;如果没有命中,则不能进行地址转换。
· 在一个接口下,一个ACL只能与一个地址池绑定;但一个地址池可以与多个ACL绑定。
· 如果流量的入接口是在SPC单板上,还需要配置QoS策略将报文重定向到指定的NAT业务接口,这样流量才会进行NAT处理。
· 如果流量的入接口或出接口是在SPC单板上,那么该流量只能在丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板或SPC单板上进行NAT业务处理。
设备上的关联配置需遵循限制:同一接口下引用的ACL中所定义的规则之间不允许冲突:源IP地址信息、目的IP地址信息以及VPN实例信息完全相同,即认为冲突。对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息、VPN实例信息相同即认为冲突。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10到202.110.10.12之间的地址作为转换后的地址。假设GigabitEthernet3/1/4接口连接外部网络。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2001] rule deny
[Sysname-acl-basic-2001] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 允许地址转换,使用地址池1中的地址进行地址转换,在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat outbound 2001 address-group 1
# 如果不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat outbound 2001 address-group 1 no-pat
# 如果直接使用GigabitEthernet3/1/4接口的IP地址,可以使用如下的配置。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat outbound 2001
【命令】
nat outbound static
undo nat outbound static
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
nat outbound static命令用来使配置的NAT静态转换在接口上生效。undo nat outbound static命令用来取消接口上已经配置的NAT静态转换。
相关配置可参考命令display nat static。
【举例】
# 配置内部私有IP地址192.168.1.1到外部公有IP地址2.2.2.2的一对一转换,并且在GigabitEthernet3/1/1接口上使能该地址转换。
<Sysname> system-view
[Sysname] interface NAT 2/0/1
[Sysname-NAT2/0/1] nat static 192.168.1.1 2.2.2.2
[Sysname-NAT2/0/1] nat binding interface GigabitEthernet 3/1/1
[Sysname-NAT2/0/1] quit
[Sysname] interface GigabitEthernet 3/1/1
[Sysname-GigabitEthernet3/1/1] nat outbound static
【命令】
nat server protocol pro-type global global-address global-port [ vpn-instance global-name ] inside server-group group-number [ vpn-instance local-name ]
undo nat server protocol pro-type global global-address global-port [ vpn-instance global-name ] inside server-group group-number [ vpn-instance local-name ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
protocol pro-type:指定支持的协议类型。其中,pro-type表示了具体的协议类型,可以支持TCP、UDP和ICMP协议。
global-address:提供给外部访问的合法IP地址。
global-port:提供给外部访问的服务端口号,取值范围为0~65535。
· 常用的端口号可以用关键字代替。如:Web服务端口为80,可以用www代替。FTP服务端口号为21,可以用ftp代替。
· 取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于global-address和local-address之间有一个静态的连接。
vpn-instance global-name:对外公布的公网地址所属的MPLS VPN实例。其中,global-name表示所属VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示对外公布的公网地址属于一个普通的公网地址,不属于某一个MPLS VPN实例。
inside server-group group-number:服务器在内部局域网所属的服务器组。其中,group-number表示内部服务器组索引,取值范围为0~1023。
vpn-instance local-name:内部服务器所属MPLS VPN实例。其中,local-name表示所属VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示内部服务器属于一个普通的私网服务器,不属于某一个MPLS VPN实例。
【描述】
nat server命令用来配置一个负载分担内部服务器。undo nat server命令用来删除负载分担内部服务器的配置。
需要注意的是:
· 该功能仅NAT单板支持。
· 通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。
· 内部服务器可以位于普通的私网内,也可以位于MPLS VPN实例内。该命令可以支持不同VPN之间通过NAT转换进行互访。
· 配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
相关配置可参考命令nat server-group和display nat server。
【举例】
# 指定局域网内部的Web服务器的IP地址是10.110.10.10,希望外部通过http://202.110.10.10:8080可以访问Web服务器。接口GigabitEthernet3/1/4和外部网络连接。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.110.10.10 port 30
[Sysname-nat-server-group-1] quit
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat server protocol tcp global 202.110.10.10 8080 vpn vrf10 inside server-group 1
【命令】
nat server protocol pro-type global global-address global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ]
nat server protocol pro-type global global-address [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ]
undo nat server protocol pro-type global global-address global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ]
undo nat server protocol pro-type global global-address [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
protocol pro-type:指定支持的协议类型。其中,pro-type表示了具体的协议类型,可以支持TCP、UDP和ICMP协议。当指定为ICMP时,配置的内部服务器不带端口参数。
global-address:提供给外部访问的合法IP地址。
global-port1、global-port2:通过两个端口指定一个端口范围,和内部主机的IP地址范围构成一种对应关系。global-port2必须大于global-port1。
local-address1、local-address2:定义一组连续的地址范围,和前面定义的端口范围构成一一对应的关系。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
local-port:内部服务器提供的服务端口号,取值范围为0~65535(FTP数据端口号20除外)。
· 常用的端口号可以用关键字代替。如:Web服务端口为80,可以用www代替。FTP服务端口号为21,可以用ftp代替。
· 取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于global-address和local-address之间有一个静态的连接。
global-port:提供给外部访问的服务端口号,取值范围为0~65535,缺省值及关键字的使用和local-port的规定一致。
local-address:服务器在内部局域网的IP地址。
vpn-instance global-name:对外公布的公网地址所属的MPLS VPN实例。其中,global-name表示所属VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示对外公布的公网地址属于一个普通的公网地址,不属于某一个MPLS VPN实例。该参数仅NAT单板支持。
vpn-instance local-name:内部服务器所属MPLS VPN实例。其中,local-name表示所属VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示内部服务器属于一个普通的私网服务器,不属于某一个MPLS VPN实例。
【描述】
nat server命令用来定义一个内部服务器的映射表,用户可以通过global-address定义的地址和global-port定义的端口来访问地址和端口分别为local-address和local-port的内部服务器。undo nat server命令用来取消映射表。
需要注意的是:
· global-port和local-port只要有一个定义为any,则另一个要么不定义,要么定义为any,否则是非法配置。
· 通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。内部服务器可以位于普通的私网内,也可以位于MPLS VPN实例内。
· 在一个接口下最多可以配置1024条内部服务器地址转换命令,每条命令可以配置的内部服务器数目为global-port2与global-port1的差值,即配置多少个端口就对应多少个内部服务器。一个接口下最多可以配置4096个内部服务器。系统中最多可以配置1024个内部服务器地址转换命令。
· 配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
· 目前设备支持引用接口地址作为内部服务器的公网地址(Easy IP特性)。
· 该命令仅支持在NAT单板上的NAT业务接口视图下配置。
· 由于Easy IP方式的内部服务器使用了当前接口的IP地址作为它的公网地址,因此强烈建议在当前接口上配置了Easy IP方式的内部服务器之后,其它内部服务器不要配置该接口的IP地址作为它的公网地址,反之亦然。
相关配置可参考命令display nat server。
当pro-type不是udp(协议号为17)或tcp(协议号为6)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系。
【举例】
# 指定局域网内部的Web服务器的IP地址是10.110.10.10,MPLS VPN vrf10内部的FTP服务器的IP地址是10.110.10.11,希望外部通过http://202.110.10.10:8080可以访问Web服务器,通过ftp://202.110.10.10可以访问FTP服务器。假设GigabitEthernet3/1/4和外部网络连接。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
[Sysname-GigabitEthernet3/1/4] quit
[Sysname] ip vpn-instance vrf10
[Sysname-vpn-instance-vrf10] route-distinguisher 100:001
[Sysname-vpn-instance-vrf10] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance-vrf10] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance-vrf10] quit
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
# 指定一个VPN vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
# 指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 删除Web服务器。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] undo nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
# 删除VPN vrf10内部的FTP服务器。
<Sysname> system-view
[Sysname] interface GigabitEthernet 3/1/4
[Sysname-GigabitEthernet3/1/4] undo nat server protocol tcp global 202.110.10.11 21 inside 10.110.10.11 ftp vpn-instance vrf10
【命令】
nat server-group group-number
undo nat server-group group-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
group-number:内部服务器组索引号,取值范围为0~1023。
【描述】
nat server-group命令用来配置一个内部服务器组。undo nat server-group命令用来删除指定的内部服务器组。
需要注意的是:
· 该功能仅NAT单板支持。
· 当内部服务器组被接口下nat server配置引用后,将不能被删除。
相关配置可参考命令nat server。
【举例】
# 配置一个内部服务器组,内部服务器组的索引号为1。
<Sysname> system-view
[Sysname] nat server-group 1
【命令】
nat static local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ] [ destination ip-address { mask-length | mask } ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ unidirectional ]
undo nat static local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ] [ destination ip-address { mask-length | mask } ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ unidirectional ]
【视图】
NAT业务接口视图
【缺省级别】
2:系统级
【参数】
local-ip:内网IP地址。
vpn-instance local-name:内网IP地址所属的VPN名。其中,local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
global-ip:外网IP地址。
vpn-instance global-name:外网IP地址所属的VPN名。其中,global-name表示MPLS L3VPN的VPN名称,为1~31个字符的字符串,区分大小写。该参数需要NAT单板支持。
destination ip-address:指定目的地址。其中,ip-address表示具体的目的地址。
mask-length:指定目的地址的网络掩码长度。
mask:指定目的地址的网络掩码。
interface interface-type interface-number:指定出接口。其中,interface-type表示出接口的类型,interface-number表示出接口的编号。
next-hop ip-address:指定下一跳的接口地址。其中,ip-address表示下一跳的具体的接口地址。
unidirectional:指定单向地址转换,表示只能从私网首先发起连接访问外网。
【描述】
nat static命令用于配置一对一静态地址转换映射。undo nat static命令用来取消一对一静态地址转换映射。
需要注意的是:
· 如果不指定vpn-instance local-name,则表示内网地址属于一个普通的私网。
· 如果不指定vpn-instance global-name,则表示公网地址属于一个普通的公网。
· 如果不指定unidirectional,则表示支持双向地址转换。与传统的地址转换仅允许私网向外部网络发起访问不同的是,双向地址转换允许私网和公网间的互访。在这种情况下,对于从私网到公网的报文,对其源地址匹配该规则的私网地址进行转换,而对于从公网到私网的报文,对其目的地址匹配该规则的公网地址进行转换。
· 若支持指定目的地址,对于私网到公网的报文,匹配目的地址才能采用该配置进行源地址转换;对于公网到私网的报文,匹配源地址才能采用该配置进行目的地址转换,否则不能进行地址转换。
· 若支持指定出接口,则只有符合指定出接口的报文才能采用配置的静态地址映射进行转换。
· 若指定出接口支持下一跳,当报文查找路由表进行转发时,如果命中指定的下一跳IP地址,则将采用配置的静态地址映射进行转换;如果没有命中,则不能进行地址转换。
相关配置可参考命令display nat static。
【举例】
# NAT业务接口视图下,配置单向一对一静态转换映射关系:内网地址为192.168.1.1,所属的VPN为vpn10,外网地址为10.0.0.1,所属的VPN为vpn20。
<Sysname> system-view
[Sysname] interface nat 3/0/1
[Sysname-NAT3/0/1] nat static 192.168.1.1 vpn-instance vpn10 10.0.0.1 vpn-instance vpn20 unidirectional
【命令】
nat static net-to-net local-network [ vpn-instance local-name ] global-network [ vpn-instance global-name ] { mask-length | mask } [ destination ip-address { mask-length | mask } ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ unidirectional ]
undo nat static net-to-net local-network [ vpn-instance local-name ] global-network [ vpn-instance global-name ] { mask-length | mask } [ destination ip-address { mask-length | mask } ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ unidirectional ]
【视图】
NAT业务接口视图
【缺省级别】
2:系统级
【参数】
local-network:内网网段地址。
vpn-instance local-name:内部网络所属的MPLS VPN实例。其中,local-name表示VPN实例名,为1~31个字符的字符串,区分大小写。
global-network:外网网段地址。
vpn-instance global-name:外部网络所属MPLS VPN实例。其中,global-name表示VPN实例名,为1~31个字符的字符串,区分大小写。该参数需要NAT单板支持。
mask-length:网络掩码长度。
mask:网络掩码。
destination ip-address:指定目的地址。其中,ip-address表示具体的目的地址。
interface interface-type interface-number:指定出接口。其中,interface-type表示接口的类型,interface-number表示接口的编号。
next-hop ip-address:指定下一跳的接口地址。其中,ip-address表示下一跳的IP接口地址。
unidirectional:指定单向地址转换,即对于从私网到公网的报文,对其源地址匹配该规则的私网地址进行转换。
【描述】
nat static net-to-net命令用于配置网段到网段的静态地址转换映射。undo nat static net-to-net命令用来取消网段到网段的静态地址转换映射。
需要注意的是:
· 如果不指定vpn-instance local-name,则表示内网地址属于一个普通的私网。
· 如果不指定vpn-instance global-name,则表示公网地址属于一个普通的公网。
· 如果不指定unidirectional,则表示支持双向地址转换。即,对于从私网到公网的报文,对其源地址匹配该规则的私网地址进行转换,而对于从公网到私网的报文,对其目的地址匹配该规则的公网地址进行转换。
· 若支持指定目的地址,对于私网到公网的报文,匹配目的地址才能采用该配置进行源地址转换;对于公网到私网的报文,匹配源地址才能采用该配置进行目的地址转换,否则不能进行地址转换。
· 若指定出接口支持下一跳,当报文查找路由表进行转发时,如果命中指定的下一跳IP地址,则将采用配置的静态地址映射进行转换;如果没有命中,则不能进行地址转换。
· 必须保证内部IP地址的起始和终止地址在外部网络地址掩码长度的条件下没有跨网段。
相关配置可参考命令display nat static。
【举例】
# 配置单向网段到网段的静态转换映射:私网网段192.168.1.0/24,所属的VPN为vpn10,公网网段10.1.1.0,所属的VPN为vpn20。
<Sysname> system-view
[Sysname] interface nat 3/0/1
[Sysname-NAT3/0/1] nat static net-to-net 192.168.1.0 vpn-instance vpn10 10.1.1.0 vpn-instance vpn20 24 unidirectional
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
