- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
07-NAT日志设置
本章节下载: 07-NAT日志设置 (220.94 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ NAT会话日志
¡ NAT444日志
· 配置指南
¡ NAT会话日志
¡ NAT444日志
NAT会话日志是为了满足管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。
有如下三种情况可以触发设备生成NAT会话日志:
· 新建NAT会话。
· 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及删除NAT会话时,都可能导致NAT会话被删除。
· 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息将被记录并生成日志。
NAT444日志是为了满足对互联网用户进行溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。
有如下三种情况可以触发设备输出NAT444日志:
· 端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。
· 端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。
· NAT444端口用尽和资源用尽:在NAT地址转换中,如果可为用户分配的NAT资源用尽,后续流量由于没有可用资源无法进行地址转换,相应的报文将被丢弃。NAT444端口用尽和资源用尽的告警日志功能用来在NAT资源用尽时输出告警日志。在NO-PAT动态映射中,NAT资源是指公网IP地址;在EIM模式的PAT动态映射中,NAT资源是指公网IP地址和端口;在NAT444地址转换中,NAT资源是指公网IP、端口块和端口块中的端口。
在配置NAT444日志功能前,必须先配置将NAT定制日志发送到日志主机的功能,否则无法产生NAT444日志。详细配置请参见“安全日志设置联机帮助”。
1. 单击“系统 > 日志设置 > NAT日志设置。
2. 在“NAT日志设置”页面选择“开启NAT日志功能”。
3. 配置NAT会话日志。
表-1 NAT会话配置
|
参数 |
说明 |
|
记录NAT新建会话的日志 |
开启/关闭记录NAT新建会话的日志功能。开启本功能后,新建NAT会话时,输出NAT日志。 |
|
记录NAT删除会话的日志 |
开启/关闭记录NAT删除会话的日志功能。开启本功能后,删除NAT会话时,输出NAT日志。 |
|
记录NAT活跃流日志 |
开启/关闭记录NAT活跃流日志功能。开启本功能后,对于NAT活跃流,每经过指定的时间间隔,设备就会记录一次NAT日志。 日志记录间隔:记录NAT活跃流日志的时间间隔。只有开启记录NAT活跃流功能时,才会出现本字段。 |
|
ACL |
指定生成NAT会话日志的数据流。只有符合ACL permit规则的数据流才有可能触发输出NAT会话日志。如果没有指定ACL,则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。 |
4. 单击<应用>按钮,完成NAT会话日志的配置
1. 单击“系统 > 日志设置 > NAT日志设置。
2. 在“NAT日志设置”页面选择“开启NAT日志功能”。
3. 配置NAT444日志。
表-2 NAT444配置
|
参数 |
说明 |
|
记录NAT444端口块分配的日志 |
开启/关闭端口块分配的NAT444用户日志功能。 |
|
记录NAT444端口块回收的日志 |
开启/关闭端口块回收的NAT444用户日志功能。 |
|
记录NAT444端口用尽和资源用尽的告警日志 |
开启/关闭端口用尽和资源用尽的NAT444告警日志功能。 |
4. 单击<应用>按钮,完成NAT444日志的配置
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
