02-网络管理配置指导

23-NAT44配置指导

本章节下载  (286.50 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Operation_Manual/ACG1000_CG(E6411_R6609)-6W105/02/202009/1334590_30005_0.htm

23-NAT44配置指导


1 NAT44配置

1.1  NAT44简介

1.1.1  NAT44概述

NAT44在原有源NAT的特性上,支持用户溯源功能及动态端口预留方式,并实现了地址映射关系上报日志服务。

说明

·     私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。

·     RFC 1918为私有网络预留出了三个IP地址块,如下:

A类:10.0.0.0~10.255.255.255

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

(上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。)

·     NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络。

 

图1-1描述了一个基本的NAT应用。

图1-1 地址转换的基本过程

 

1.1.2  NAT44实现

在源NAT的参数设计上支持端口块,需要支持根据对应的端口块资源正确的设置NAT的入参就可以,添加该功能后,NAT转换后,端口号从1025开始。主要实现逻辑如下:

·     初始化资源池

·     根据源IP查找对应NAT资源块

·     根据源IP申请一个NAT资源块,如果成功申请需要日志

·     释放对NAT资源块的引用,当引用数为0时释放该资源块回到池里,需要记录日志

·     其它未有异常的情况下必须没有NAT日志

1.1.3  NAT44日志简介

NAT44日志在源NAT的基础上添加了NAT端口范围。是NAT设备在进行NAT转换时生成的一种系统信息。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的IP地址、转换后端口信息、NAT转换类型等。利用NAT日志功能可以实时跟踪、记录内网、外部用户互访网络的情况,增强网络的安全性。

1.2  配置NAT44

1.2.1  配置准备

确定是否直接使用接口的IP地址作为转换后的报文源地址。如果否的话,需要根据实际网络情况,合理规划可用于地址转换的公网IP地址池。

根据实际网络情况,配置NAT44转换的规则的匹配条件:源、目的IP地址对象、服务对象(具体配置见对象管理章节)。

1.2.2  配置NAT44

源地址转换即内网地址向外访问时,发起访问的内网IP地址转换为指定的IP地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网的多部主机可以通过一个或者多个有效的公网IP地址访问外部网络。具体配置如表1-1所示。

表1-1 配置NAT44

操作

命令

说明

进入系统视图

system-view

必选

创建地址对象

address NAME

ip subnet IP-ADDRESS

exit

必选

创建地址池

ipnat pool NAME

ip address A.B.C.D  A.B.C.D

exit

必选

配置源NAT规则

ip nat source IFNAME {SRC_ADDR | any} {DST_ADDR | any} SERVICE {INTERFACE | POOL} [log][ID]

可选

配置NAT44转换规则

配置新的NAT44规则:

ip nat source IFNAME {SRC_ADDR | any} {DST_ADDR | any} SERVICE {interface|POOL} nat44_range<8-30000>  [log]  [ID]

已有源NAT开启NAT44规则:

ip nat source <1-65535> nat44 disable

二选一

NAT44规则移动

ip nat { static | source | destination } move id { before | after } ref-id

可选

 

1.3  NAT显示和维护

在完成上述配置后,在任意视图下执行display命令显示NAT44的配置情况。

表1-2 NAT显示和维护

操作

命令

说明

NAT 配置显示

display running-config nat

-

 

1.4  NAT典型配置举例

1.4.1  配置NAT44

1. 组网需求

设备作为网关,内网用户通过设备访问外网资源。内网地址为192.168.0.0/24网段,公网地址为202.118.3.1。NAT44转换后的地址是202.118.3.1每个端口块分100个,组网如图1-2

图1-2 配置源NAT组网图

 

2. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

#创建一个地址对象。

host>

host>en

host# configure termina

host(config)# address inside-net

host (config-address)#ip subnet 192.168.0.0/24

host (config-address)#exit

# 配置一个地址池。

host(config)#ipnat pool pub-pool

host(ip-nat-pool)#ip address 202.118.3.1 202.118.3.1

host(ip-nat-pool)#exit

host (config)#

# 配置源NAT规则。

host(config)# ip nat source ge0  inside-net any any pub-pool nat44_range 100 log 2

host(config)#exit

3. 验证配置

(1)     通过执行display running-config nat命令来验证配置.

host# display running-config nat

ip nat pool pub-poo

ip address 202.118.3.1 202.118.3.3

!

ip nat source ge0inside-net any any pub-pool 1

!

(2)     网关设备和链路均正常工作时,验证局域网内主机是否可以与外部网络通信

(3)     查看NAT44分配的端口块

host#  sh ip nat44 2

ip nat source ge0  inside-net any any pub-pool nat44_range 100 log 2

        BIND:192.168.0.2 ==>>202.118.3.1  1024-1123 refer(1)

        BIND: 192.168.0.3 ==>>202.118.3.1.1124-1223 refer(1)

        BIND: 192.168.0.4 ==>>202.118.3.1  1224-1323 refer(1)

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们