start-address end-address：地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address，如果start-address和end-address相同，则表示只有一个地址。start-address和end-address之间的IP地址数量不能超过65536个。

【使用指导】

一个NAT地址组是多个地址成员的集合。当需要对到达外部网络的数据报文进行地址转换时，报文的源地址将被转换为地址成员中的某个地址。

添加或删除地址成员时，需要注意：

· 多次执行本命令添加的地址成员不能互相重叠。

· 通过address命令向NAT地址组中添加地址成员后，不允许将该NAT地址组与全局NAT地址池绑定。反之，如果将NAT地址组与全局NAT地址池绑定，不允许通过address命令向该NAT地址组中添加地址成员。

· 绑定多个备份组的业务实例组被NAT实例关联后，如果NAT地址组在对应实例下用于出方向动态地址转换，不能再通过address命令向NAT地址组中添加成员。反之，如果NAT地址组通过address命令添加地址成员后，NAT实例不能关联绑定多个备份组的业务实例组。

· 当NAT地址组被地址转换规则引用时，无法通过undo address命令删除该地址组中的地址成员。

如果公网地址成员与NAT端口块静态映射中的公网地址成员重叠，请确保NAT端口块静态映射中的端口范围与NAT端口块动态映射中的端口范围不重叠。否则当用户上线时，如果设备为两个不同的用户分配了相同的公网IP地址和端口块，可能会导致无法为其中一个用户创建NAT会话。

【举例】

# 在NAT地址组2中添加地址成员。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] address 10.1.1.1 10.1.1.15

[Sysname-address-group-2] address 10.1.1.20 10.1.1.30

【相关命令】

· nat address-group

1.1.2 bind dhcp-server-pool

bind dhcp-server-pool命令用来将动态全局NAT地址池与DHCP服务器上的IP地址池或地址池组绑定。

undo bind dhcp-server-pool命令用来取消动态全局NAT地址池与DHCP服务器上IP地址池或地址池组的绑定关系。

【命令】

bind dhcp-server-pool server-pool-name

undo bind dhcp-server-pool

【缺省情况】

动态全局NAT地址池未绑定任何DHCP服务器上的IP地址池。

【视图】

全局NAT地址池视图

【缺省用户角色】

network-admin

【参数】

server-pool-name：DHCP服务器上的IP地址池或者地址池组名称，为1～63个字符的字符串，不区分大小写。

【使用指导】

在转发与控制分离组网中，请在UP上配置本命令。配置本命令后，UP设备进行地址转换操作前，会向CP设备申请子网段地址空间。CP将申请到的子网段地址空间分配给UP设备上的动态全局NAT地址池进行地址转换。关于DHCP服务器的详细介绍，请参见“三层技术-IP业务”中的“DHCP服务器”。

将动态全局NAT地址池与DHCP服务器上的IP地址池/地址池组绑定、修改绑定关系或取消绑定关系时，需要注意：

· 不同的动态全局NAT地址池不能与DHCP服务器上同一个地址池绑定。

· 不允许通过bind dhcp-server-pool命令将静态全局NAT地址池与DHCP服务器上的地址池/地址池组绑定。

· 在UP备份组网中，请先配置up-backup命令，再配置本命令，否则会导致up-backup命令配置失败。

· 在UP备份组网中，建议主、备UP上的动态全局NAT地址池绑定相同的IP地址池/地址池组。

· 不能通过重复执行本命令来修改动态全局NAT地址池与DHCP服务器上地址池/地址池组的绑定关系。如需修改，请先通过undo bind dhcp-server-pool命令取消绑定关系，再执行bind dhcp-server-pool命令。

· 当存在PPPoE或IPoE在线用户时，无法取消动态全局NAT地址池与DHCP服务器上IP地址池/地址池组的绑定关系。

· 绑定的IP地址池组中必须包含nat-central类型的地址池，否则无法为动态全局NAT地址池分配子网段。

【举例】

# 在UP上将名称为nat的动态全局NAT地址池与DHCP服务器上名称为pool1的IP地址池绑定。

<sysname> system-view

[sysname] nat ip-pool nat dynamic

[sysname-nat-ip-pool-nat] bind dhcp-server-pool pool1

【相关命令】

· ip-usage-threshold

· subnet length

· up-backup

1.1.3 bind vsrp-instance

bind vsrp-instance命令用来将NAT实例与多机备份实例绑定。

undo bind vsrp-instance命令用来恢复缺省情况。

【命令】

bind vsrp-instance vsrp-instance-name

undo bind vsrp-instance

【缺省情况】

NAT实例未绑定多机备份实例。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【参数】

vsrp-instance-name：多机备份实例名称，取值为1～31个字符的字符串，区分大小写。

【使用指导】

NAT实例绑定多机备份实例后，NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接，该连接即为NAT数据的备份通道。NAT模块通过数据备份通道实时备份以下信息：

· NAT模块为NAT与BRAS联动上线用户创建的用户表。

· 转发与控制分离场景中，DHCP服务器上的IP地址池为NAT分配的地址段信息。

· 私网侧VPN用户访问公网的场景中，主设备NAT会话中的VPN信息。

将NAT实例与多机备份实例绑定时，需要注意：

· 不同的NAT实例可以绑定同一个多机备份实例.。

· 非转发与控制分离场景中，同一个NAT实例只能与一个多机备份实例绑定。

· 转发与控制分离的CGN N:1温备场景中，同一个NAT实例可以与多个多机备份实例绑定。

· 不能通过重复执行本命令修改NAT实例绑定的多机备份实例。如需修改NAT实例绑定的多机备份实例，请先通undo bind vsrp-instance命令删除NAT实例绑定的多机备份实例，再执行bind vsrp-instance命令。

· 如果NAT实例通过多机备份实例创建了NAT数据的备份通道，那么该NAT实例只能支持跨系统板间业务备份功能，即该NAT实例关联的业务实例组只能绑定跨系统板间业务的备份组。反之，如果NAT实例关联的业务实例组绑定了同一系统板间业务备份的备份组，那么该NAT实例只能支持同一系统板间业务备份功能，即不允许该NAT实例通过多机备份实例创建NAT数据备份通道。

· NAT实例绑定的多机备份实例可以不存在，但只有配置了多机备份实例后本命令才能生效。

【举例】

# 在NAT实例inst上绑定多机备份实例。

<Sysname> system-view

[Sysname] nat instance inst id 1

[Sysname-nat-instance-inst] bind vsrp-instance vsrp1

【相关命令】

· display nat instance

· service-instance-group

· vsrp instance（可靠性命令参考/多机备份）

1.1.4 block-size

block-size命令用来设置端口块大小。

undo block-size命令用来恢复缺省情况。

【命令】

block-size block-size

undo block-size

【缺省情况】

一个端口块中包含256个端口。

【视图】

NAT端口块组视图

【缺省用户角色】

network-admin

【参数】

block-size：端口块大小，即一个端口块中所包含的端口数，取值范围为1～65535。

【使用指导】

在一个端口块组中，需要根据私网IP地址个数，以及公网IP地址个数及其端口范围，确定一个合理的端口块大小值。端口块大小值不能超过公网地址的端口范围值。

【举例】

# 配置端口块组1的端口块大小为1024。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] block-size 1024

【相关命令】

· nat port-block-group

1.1.5 cu warm-standby-mode enable

cu warm-standby-mode enable命令用来开启转控分离场景下的CGN温备模式。

undo cu warm-standby-mode enable命令用来恢复缺省情况。

【命令】

cu warm-standby-mode enable

undo cu warm-standby-mode enable

【缺省情况】

转控分离场景下的CGN不进行备份。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【使用指导】

在转控分离的N:1温备场景中，当主备UP切换时，为了尽可能保证用户转换后的公网地址不发生变化，以便进行用户溯源，需要在所有的主UP和备UP设备上将CGN的备份模式配置为温备。在CGN温备模式下，主UP设备会将用户表信息备份到备UP设备，用户表中包含地址映射关系等信息。当备UP设备升级为主UP设备时，会尽可能根据用户表中的映射关系进行地址转换。

CGN温备模式下的使用限制如下：

· 仅支持通过如下命令配置地址转换规则：

¡ nat outbound

¡ nat outbound ds-lite-b4

· NAT实例绑定的业务实例组下，只能绑定一个备份组，且该备份组为同一系统板间备份组。

· 当存在PPPoE或IPoE在线用户时，不允许修改备份模式。

· 在NAT实例下配置cu warm-standby-mode enable命令后，无法在该NAT实例下配置如下命令：

¡ nat centralized-backup enable

¡ nat outbound port-block-group

¡ nat port-block flow-trigger enable

¡ nat server

¡ nat static enable

· 在NAT实例下配置cu warm-standby-mode enable命令后，无法在动态全局NAT地址池下配置up-backup命令。

· 当NAT实例绑定了多个多机备份实例时，不允许修改备份模式。

【举例】

# 配置CGN框间备份的模式为温备。

<Sysname> system-view

[Sysname] nat instance cgn-a id 1

[Sysname-nat-instance-cgn-a] cu warm-standby-mode enable

【相关命令】

· nat centralized-backup enable

· nat outbound port-block-group

· nat port-block flow-trigger enable

· nat server

· nat static enable

1.1.6 display nat address-group

display nat address-group命令用来显示NAT地址组的信息。

【命令】

display nat address-group [ group-id ] [ resource-usage [ verbose ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group-id：显示指定NAT地址组的信息。group-id表示地址组的编号，取值范围为0～65535。如果未指定本参数，则显示所有NAT地址组的信息。

resource-usage：显示NAT地址组资源使用率的信息。如果未指定本参数，则不显示NAT地址组资源使用率的信息，仅显示NAT地址组的配置信息。

verbose：显示NAT地址组资源的总使用率以及各个地址组成员资源使用率的详细信息。如果未指定本参数，则仅显示NAT地址组资源的总使用率。

【使用指导】

本命令显示的NAT地址组资源使用率包括：

· 地址使用率。地址使用率=被使用的IP地址数÷地址组拥有的地址总数。被使用的IP地址指的是，为用户分配的且已用于地址转换的公网IP。

· 端口使用率。NAT地址组支持动态端口块和逐端口分配方式，端口/端口块使用率的计算方式分别为：

¡ 动态端口块方式下，端口块使用率=已分配的端口块数÷端口块总数。

¡ 逐端口分配方式下，端口使用率=已分配的端口数÷端口总数。

【举例】

# 显示所有地址组的配置信息。

<Sysname> display nat address-group

NAT address group information:

Totally 5 NAT address groups.

Address group 1:

Port range: 1-65535

Failover group name: nat

Address information:

Start address End address

202.110.10.10 202.110.10.15

Address group 2:

Port range: 1-65535

Failover group name: trans

Address information:

Start address End address

202.110.10.20 202.110.10.25

202.110.10.30 202.110.10.35

Address group 3:

Port range: 1024-65535

Failover group name: nat

Address information:

Start address End address

202.110.10.40 202.110.10.50

Address group 4:

Port range: 10001-65535

Port block size: 500

Extended block number: 1

TCP port limit: 1000

UDP port limit: 2000

ICMP port limit: 3000

Port limit in total: 6000

Failover group name: nat

Address information:

Start address End address

202.110.10.60 202.110.10.65

Address group 5:

Port range: 10001-65535

Port block size: 6400

Extended block number: 1

Extended block size: 64

Address information:

Start address End address

202.110.10.70 202.110.10.75

Address group 6:

Port range: 1-65535

Failover group name: nat

Address information:

Start address End address

--- ---

# 显示指定地址组的配置信息。

<Sysname> display nat address-group 1

Address group 1:

Port range: 1-65535

Address information:

Start address End address

202.110.10.10 202.110.10.15

# 显示NAT地址组1的资源使用率。

<Sysname> display nat address-group 1 resource-usage

Address group 1:

Port range: 1-65535

Port-single-alloc: Enabled

Total IP addresses: 12

Used IP addresses: 12

Address usage: 100%

Port usage: 12%

Address information:

Start address End address

202.110.10.10 202.110.10.15

202.110.10.20 202.110.10.25

# 显示NAT地址组1的资源总使用率以及各个地址组成员资源使用率的详细信息。

<Sysname> display nat address-group 1 resource-usage verbose

Address group 1:

Port range: 1-65535

Port block size: 10000

Total IP addresses: 12

Used IP addresses: 12

Address usage: 100%

Port usage: 50%

Port usage of group members:

Start address End address Port usage

202.110.10.10 202.110.10.15 50%

202.110.10.20 202.110.10.25 50%

表1-1 display nat address-group命令显示信息描述表

字段	描述
NAT address group information	NAT地址组信息
Totally n NAT address groups	当前有n个地址组
Address group	地址组的编号
Port range	地址的端口范围
Block size	端口块大小。如果未配置，则不显示
Extended block number	增量端口块数。如果未配置，则不显示
Extended block size	每个增量端口块中包含的端口数。如果未配置，则不显示
Port-single-alloc	逐端口分配模式。如果未配置，则不显示
Total IP addresses	地址组拥有的地址总数
Used IP addresses	地址组已使用的地址总数
Address usage	地址组的地址使用率
Port usage	地址组的端口使用率。如果地址组使用动态端口块分配方式，本字段显示为“---”
Port-block usage	地址组的端口块使用率。如果地址组使用逐端口分配方式，本字段显示为“---”
TCP port limit	可分配给TCP协议的最大端口数目。如果未配置，则不显示
UDP port limit	可分配给UDP协议的最大端口数目。如果未配置，则不显示
ICMP port limit	可分配给ICMP协议的最大端口数目。如果未配置，则不显示
Port limit in total	可分配给TCP、UDP和ICMP协议的最大端口总数。如果未配置，则不显示
Failover group name	NAT地址组绑定的备份组的名称。如果未配置，则不显示
Address information	地址组成员信息
Port usage of group members	地址组成员的端口使用率
Start address	地址组成员的起始地址。如果未配置，则显示”---”
End address	地址组成员的结束地址。如果未配置，则显示”---”
Port usage	地址组成员的端口使用率。如果地址组使用动态端口块分配方式，本字段显示为“---”
Port-block usage	地址组成员的端口块使用率。如果地址组使用逐端口分配方式，本字段显示为“---”

【相关命令】

· nat address-group

1.1.7 display nat all

display nat all命令用来显示所有的NAT配置信息。

【命令】

display nat all

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示所有的NAT配置信息。（接口NAT）（独立运行模式）

<Sysname> display nat all

NAT address group information:

Totally 5 NAT address groups.

Address group 1:

Port range: 1-65535

Failover group name: nat

Address information:

Start address End address

202.110.10.10 202.110.10.15

Address group 2:

Port range: 1-65535

Failover group name: group1

Failover group name: trans

Address information:

Start address End address

202.110.10.20 202.110.10.25

202.110.10.30 202.110.10.35

Address group 3:

Port range: 1024-65535

Failover group name: abc

Address information:

Start address End address

202.110.10.40 202.110.10.50

Address group 4:

Port range: 10001-65535

Port block size: 500

Extended block number: 1

Failover group name: trans

Address information:

Start address End address

202.110.10.60 202.110.10.65

Address group 5:

Port range: 10001-65535

Port block size: 6400

Extended block number: 1

Extended block size: 64

TCP port limit: 1000

UDP port limit: 2000

ICMP port limit: 3000

Port limit in total: 6000

Address information:

Start address End address

202.110.10.70 202.110.10.75

Address group 6:

Port range: 1-65535

Address information:

Start address End address

--- ---

NAT server group information:

Totally 3 NAT server groups.

Group Number Inside IP Port Weight

1 192.168.0.26 23 100

192.168.0.27 23 500

2 --- --- ---

3 192.168.0.26 69 100

NAT outbound information:

Totally 2 NAT outbound rules.

Interface: GigabitEthernet3/1/2

ACL: 2036 Address group: 1 Port-preserved: Y

NO-PAT: N Reversible: N

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: address group, and ACL.

Interface: GigabitEthernet3/1/2

ACL: 2037 Address group: 1 Port-preserved: N

NO-PAT: Y Reversible: Y

VPN instance: vpn_nat

Config status: Active

NAT internal server information:

Totally 4 internal servers.

Interface: GigabitEthernet3/1/3

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23

Local IP/port : 192.168.10.15/23

ACL : 2000

Service card : Slot 3

Config status : Active

Interface: GigabitEthernet3/1/4

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23-30

Local IP/port : 192.168.10.15-192.168.10.22/23

Global VPN : vpn1

Local VPN : vpn3

Service card : Slot 3

Config status : Active

Interface: GigabitEthernet3/1/4

Protocol: 255(Reserved)

Global IP/port: 50.1.1.100/---

Local IP/port : 192.168.10.150/---

Global VPN : vpn2

Local VPN : vpn4

ACL : 3000

Service card : Slot 3

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: local VPN, and ACL.

Interface: GigabitEthernet3/1/5

Protocol: 17(UDP)

Global IP/port: 50.1.1.2/23

Local IP/port : server group 1

192.168.0.26/23 (Connections: 10)

192.168.0.27/23 (Connections: 20)

Global VPN : vpn1

Local VPN : vpn3

Service card : Slot 3

Config status : Active

Static NAT mappings:

Totally 2 outbound static NAT mappings.

Net-to-net:

Local IP : 1.1.1.1 - 1.1.1.255

Global IP : 2.2.2.0

Netmask : 255.255.255.0

Local VPN : vpn1

Global VPN : vpn2

ACL : 2000

Reversible : Y

Failover group name: abc

Config status: Active

IP-to-IP:

Local IP : 4.4.4.4

Global IP : 5.5.5.5

Local VPN : vpn1

Global VPN : vpn2

ACL: : 2001

Reversible : Y

Failover group name: group1

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Interfaces enabled with static NAT:

Totally 2 interfaces enabled with static NAT.

Interface: GigabitEthernet3/1/4

Service card : Slot 3

Config status: Active

Interface: GigabitEthernet3/1/6

Service card : ---

Config status: Active

NAT DNS mappings:

Totally 2 NAT DNS mappings.

Domain name : www.server.com

Global IP : 6.6.6.6

Global port : 23

Protocol : TCP(6)

Config status: Active

Domain name : www.service.com

Global IP : ---

Global port : 12

Protocol : TCP(6)

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: interface IP address.

NAT logging:

Log enable : Enabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active : Disabled

Port-block-assign : Disabled

Port-block-withdraw : Disabled

Port-alloc-fail : Enabled

Port-block-alloc-fail : Disabled

Port-usage : Disabled

Port-block-usage : Enabled(Threshold:40%)

NAT ip-pool 1

IP-usage : Enabled(Threshold: 90%)

IP-alloc-fail : Enabled

NAT hairpinning:

Totally 2 interfaces enabled with NAT hairpinning.

Interface: GigabitEthernet3/1/4

Service card : Slot 3

Config status: Active

Interface: GigabitEthernet3/1/6

Service card : Slot 3

Config status: Active

NAT mapping behavior:

Mapping mode : Connection-dependent

NAT ALG:

DNS : Disabled

FTP : Enabled

H323 : Disabled

ICMP-ERROR : Enabled

ILS : Disabled

MGCP : Disabled

NBT : Disabled

PPTP : Disabled

RTSP : Enabled

RSH : Disabled

SCCP : Disabled

SIP : Disabled

SQLNET : Disabled

TFTP : Disabled

XDMCP : Disabled

NAT port block group information:

Totally 3 NAT port block groups.

Port block group 1:

Port range: 1-65535

Block size: 256

TCP port limit: 1000

UDP port limit: 2000

ICMP port limit: 3000

Port limit in total: 6000

Failover group name: nat

Local IP address information:

Start address End address VPN instance

172.16.1.1 172.16.1.254 ---

192.168.1.1 192.168.1.254 vpna

192.168.3.1 192.168.3.254 vpna

Global IP pool information:

Start address End address

201.1.1.1 201.1.1.10

201.1.1.21 201.1.1.25

Port block group 2:

Port range: 10001-30000

Block size: 500

Failover group name: group1

Local IP address information:

Start address End address VPN instance

10.1.1.1 10.1.10.255 vpnb

Global IP pool information:

Start address End address

202.10.10.101 202.10.10.120

Port block group 3:

Port range: 1-65535

Block size: 256

Local IP address information:

Start address End address VPN instance

--- --- ---

Global IP pool information:

Start address End address

--- ---

NAT outbound port block group information:

Totally 2 outbound port block group items.

Interface: GigabitEthernet3/1/2

Port-block-group: 2

Config status : Active

Interface: GigabitEthernet3/1/2

Port-block-group: 10

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: port block group.

NAT extended port block report to RADIUS: Disabled

# 显示所有的NAT配置信息。（全局NAT）

<Sysname> display nat all

NAT address group information:

Totally 1 NAT address groups.

Address group 1:

Port range: 1-65535

Address information:

Start address End address

--- ---

NAT Instance information:

Totally 2 NAT instance.

Instance a:

Instance ID: 10

service-instance-group sgrp

nat port-block flow-trigger enable

nat outbound 3000 address-group 1

nat outbound port-block-group 1

undo nat gratuitous-arp-reply enable

bind vsrp-instance 1

nat protect-tunnel inside-vpn vpn1

Instance aaa:

Instance ID: 1

service-instance-group 2

bind vsrp-instance 1

cu warm-standby-mode enable

NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active : Disabled

Port-block-assign : Disabled

Port-block-withdraw : Disabled

Alarm : Disabled

NAT mapping behavior:

Mapping mode : Connection-dependent

ACL : ---

Config status: Active

NAT ALG:

DNS : Enabled

FTP : Enabled

H323 : Enabled

ICMP-ERROR : Enabled

ILS : Enabled

MGCP : Enabled

NBT : Enabled

PPTP : Enabled

RTSP : Enabled

RSH : Enabled

SCCP : Enabled

SIP : Enabled

SQLNET : Enabled

TFTP : Enabled

XDMCP : Enabled

NAT VSRP port: 60011

上述显示信息是目前所有NAT配置信息的集合。由于部分NAT配置（nat address-group、nat server-group、nat outbound、nat server、nat static、nat static net-to-net、nat static enable、nat dns-map、nat log、nat port-block-group和nat outbound port-block-group）有自己独立的显示命令，且此处显示信息的格式与各命令对应的显示信息的格式相同的，所以此处不对这些配置的显示字段的含义进行详细解释，如有需要，请参考各独立的显示命令。下面的表格将给出相关显示命令的参见信息并仅解释nat hairpin enable、nat mapping-behavior和nat alg配置的显示字段的含义。

表1-2 display nat all命令显示信息描述表

字段	描述
NAT address group information	NAT地址组的配置信息，详细字段解释请参见“表1-1”
NAT Instance information	NAT实例的配置信息，详细字段请参见“表1-6”
NAT server group information	NAT内部服务器组的配置信息，详细字段解释请参见“表1-20”
NAT outbound information	出方向动态地址转换的配置信息，详细字段解释请参见“表1-14”
NAT internal server information	NAT内部服务器的配置信息，详细字段解释请参见“表1-19”
Static NAT mappings	静态地址转换的配置信息，详细字段解释请参见“表1-23”
NAT DNS mappings	NAT DNS mapping的配置信息，详细字段解释请参见“表1-3”
NAT logging	NAT日志功能的配置信息，详细字段解释请参见“表1-11”
NAT hairpinning	NAT hairpin功能。如果未配置，则不显示该字段
Totally n interfaces enabled NAT hairpinning	当前有n个接口开启NAT hairpin功能
Interface	开启NAT hairpin功能的接口
Service card	显示提供NAT处理的业务板。如果接口下没有指定业务板，则显示为“---”
Config status	显示NAT hairpin配置的状态：Active：生效
NAT mapping behavior	PAT方式下的地址转换模式 · Connection-dependent：表示关心对端地址和端口的非共享转换模式 · Endpoint-Independent (TCP)：表示不关心对端地址和端口的转换模式，且为传输层协议类型为TCP的报文在PAT方式出方向地址转换中仅创建EIM表项 · Endpoint-Independent (TCP-5-Tuple)：表示不关心对端地址和端口的转换模式，为传输层协议类型为TCP的报文在PAT方式出方向地址转换中既创建五元组类型的会话表项，也创建EIM表项 · Endpoint-Independent (UDP)：表示不关心对端地址和端口的转换模式，且为传输层协议类型为UDP的报文在PAT方式出方向地址转换中仅创建EIM表项 · Endpoint-Independent (UDP-5-Tuple)：表示不关心对端地址和端口的转换模式，且为传输层协议类型为UDP的报文在PAT方式出方向地址转换中既创建五元组类型的会话表项，也创建EIM表项
NAT ALG	各协议的NAT ALG功能开启信息
NAT port block group information	NAT端口块组的配置信息，详细字段解释请参见“表1-18”
NAT outbound port block group information	NAT端口块静态映射的配置信息，详细字段解释请参见“表1-15”
NAT extended port block report to RADIUS	NAT支持将用户私网IP与增量端口块的映射关系上报给RADIUS服务器功能的开启状态： · Enabled：表示开启 · Disabled：表示关闭
NAT VSRP port	NAT通过VSRP建立数据备份通道使用的TCP端口号

1.1.8 display nat dns-map

display nat dns-map命令用来显示NAT DNS mapping配置信息。

【命令】

display nat dns-map

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示NAT DNS mapping的配置信息。

<Sysname> display nat dns-map

NAT DNS mapping information:

Totally 2 NAT DNS mappings.

Domain name : www.server.com

Global IP : 6.6.6.6

Global port : 23

Protocol : TCP(6)

Config status: Active

Domain name : www.service.com

Global IP : ---

Global port : 12

Protocol : TCP(6)

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: interface IP address.

表1-3 display nat dns-map命令显示信息描述表

字段	描述
NAT DNS mapping information	NAT DNS mapping配置信息
Totally n NAT DNS mappings	当前有n条DNS mapping配置
Domain name	DNS域名
Global IP	外网地址。如果配置使用的是Easy IP方式，则此处显示指定的接口的地址。“---”表示接口下未配置外网地址
Global port	外网端口号
Protocol	协议名称以及协议编号
Config status	显示DNS mapping配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示DNS mapping配置不生效的原因 · The following items don't exist or aren't effective: interface IP address：引用的接口未配置IP地址

【相关命令】

· nat dns-map

1.1.9 display nat eim

display nat eim命令用来显示NAT EIM表项信息。

【命令】

独立运行模式：

display nat eim [ slot slot-number ] [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ]

IRF模式：

display nat eim [ chassis chassis-number slot slot-number ] [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定单板上的EIM表项信息，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有单板上的EIM表项信息。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的EIM表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的EIM表项信息。（IRF模式）

protocol：显示指定协议类型的EIM表项信息。

icmp：显示ICMP协议类型的EIM表项信息。

tcp：显示TCP协议类型的EIM表项信息。

udp：显示UDP协议类型的EIM表项信息。

local-ip local-ip：显示指定内网IP地址的EIM表项信息，local-ip表示内网IP地址。

local-ip b4 ipv6-address：显示指定B4设备IPv6地址的EIM表项信息，ipv6-address表示B4设备的IPv6地址。

local-port local-port：显示指定内网端口号的EIM表项信息，local-port表示内网端口号，取值范围为0～65535。

global-ip global-ip：显示指定公网IP地址的EIM表项信息，global-ip表示公网IP地址。

global-port global-port：显示指定公网端口号的EIM表项信息，global-port表示公网端口号，取值范围为0～65535。

【使用指导】

EIM三元组表项是报文在进行Endpoint-Independent Mapping方式的PAT转换时创建的，它记录了内网和外网的转换关系（内网地址和端口<-->NAT地址和端口），该表项有以下两个作用：

· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。

· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。

如果不指定local-ip、local-port、global-ip、global-port参数，将显示所有ICMP/TCP/UDP协议类型的EIM表项信息。

【举例】

# 显示指定slot上的NAT EIM表项信息。

<Sysname> display nat eim slot 3

Slot 3:

Local IP/port: 192.168.100.100/1024

Global IP/port: 200.100.1.100/2048

DS-Lite tunnel peer: -

Local VPN: vpn1

Global VPN: vpn2

Protocol: TCP(6)

Failover group name: group1

Local IP/port: 192.168.100.200/2048

Global IP/port: 200.100.1.200/4096

DS-Lite tunnel peer: -

Protocol: UDP(17)

Failover group name: -

Total entries found: 2

# 显示指定slot上协议为TCP的NAT EIM表项信息。

<Sysname> display nat eim slot 3 protocol tcp

Slot 3:

Local IP/port: 192.168.100.100/1024

Global IP/port: 200.100.1.100/2048

DS-Lite tunnel peer: -

Local VPN: vpn1

Global VPN: vpn2

Protocol: TCP(6)

Failover group name: -

Total entries found: 1

表1-4 display nat eim命令显示信息描述表

字段	描述
DS-Lite tunnel peer	DS-Lite B4端隧道地址。会话不属于任何DS-Lite隧道时，本字段显示为“-”
Local VPN	内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Global VPN	外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Protocol	协议名称以及协议编号
Failover group name	备份组的名称。如果未绑定任何备份组，本字段显示为“-”
Total entries found	当前查找到的EIM表项的个数

【相关命令】

· nat mapping-behavior

· nat outbound

1.1.10 display nat eim statistics

display nat eim statistics命令用来显示NAT EIM表项的统计信息。

【命令】

独立运行模式：

display nat eim statistics [ slot slot-number ]

IRF模式：

display nat eim statistics [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定单板上的EIM表项统计信息，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有单板上的EIM表项统计信息。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的EIM表项统计信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的EIM表项统计信息。（IRF模式）

【使用指导】

通过本命令可以查看NAT EIM表项的统计信息，包括EIM表项的数量、传输层协议为TCP或UDP的EIM表项创建速率等信息。

【举例】

# 显示指定slot上NAT EIM的统计信息。

<Sysname> display nat eim statistics slot 3

EIM: Total EIM entries.

TCP: Total EIM entries for TCP.

UDP: Total EIM entries for UDP.

Rate: Creating rate of EIM entries.

TCP rate: Creating rate of EIM entries for TCP.

UDP rate: Creating rate of EIM entries for UDP.

Slot EIM TCP UDP Rate TCP rate UDP rate

(entries/s) (entries/s) (entries/s)

3 0 0 0 0 0 0

表1-5 display nat eim statistics命令显示信息描述表

字段	描述
Total EIM entries	EIM表项个数
Total EIM entries for TCP	传输层协议为TCP的EIM表项个数
Total EIM entries for UDP	传输层协议为UDP的EIM表项个数
Creating rate of EIM entries	EIM表项的创建速率
Creating rate of EIM entries for TCP	传输层协议为TCP的EIM表项创建速率
Creating rate of EIM entries for UDP	传输层协议为UDP的EIM表项创建速率

【相关命令】

· nat mapping-behavior

1.1.11 display nat instance

display nat instance命令用来显示NAT实例的配置信息。

【命令】

display nat instance [instance-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

instance-name：显示指定NAT实例的配置信息。instance-name表示NAT实例的名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，将显示所有NAT实例的配置信息。

【举例】

# 显示所有NAT实例的配置信息。

<Sysname> display nat instance

NAT Instance information:

Totally 2 NAT instance.

Instance instance1:

Instance ID: 10

service-instance-group sgrp

nat port-block flow-trigger enable

nat outbound 3000 address-group 1

nat outbound port-block-group 1

nat centralized-backup enable (switchback delay left: 1000s)

nat centralized-backup switchback delay 1500s

nat centralized-backup manual switch

nat centralized-backup auto switchback disable

nat address-group 1 bind-ip-pool pool1

bind vsrp-instance 1

nat protect-tunnel inside-vpn vpn1

Instance instance2:

Instance ID: 11

service-instance-group group1

bind vsrp-instance 1

bind vsrp-instance 2

nat protect-tunnel inside-vpn vpn1

cu warm-standby-mode enable

# 显示指定NAT实例的配置信息。

<Sysname> display nat instance instance1

Instance instance1:

Instance ID: 10

nat outbound acl 3000 address-group 1

nat outbound port-block-group 1

service-instance-group group1

nat port-block flow-trigger enable

nat centralized-backup enable (switchback delay left: 1000s)

nat centralized-backup switchback delay 1500s

nat centralized-backup manual switch

nat centralized-backup auto switchback disable

表1-6 display nat instance命令显示信息描述表

字段	描述
Totally n NAT instances	NAT实例的总数为n
Instance xxx	名称为xxx的NAT实例
Instance ID	NAT实例的ID
nat outbound acl 3000 address-group 1	出方向动态地址转换的配置
nat outbound port-block-group 1	出方向NAT端口块静态映射的配置
service-instance-group group1	NAT实例关联的业务实例组的名称
nat port-block flow-trigger enable	流量触发分配端口块开关。如果未开启流量触发分配端口块功能，则不显示该字段
nat centralized-backup enable
nat centralized-backup switchback delay xxx	集中式部署CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间，单位为秒
nat address-group xxx bind-ip-pool yyy	NAT地址组绑定全局NAT地址池的配置。xxx表示NAT地址组的编号，yyy表示全局NAT地址池的名称
bind vsrp-instance xxx	绑定的多机备份实例，多机备份实例名称为xxx
nat protect-tunnel inside-vpn xxx	允许进入保护隧道的流量所属的私网侧VPN实例，私网侧VPN实例名称为xxx
cu warm-standby-mode	CGN备份模式为温备。如果CGN备份模式不是温备，则不显示该字段

【相关命令】

· nat instance

1.1.12 display nat instance address-group

display nat instance address-group命令用来显示NAT实例使用的地址组的信息。

【命令】

display nat instance instance-name address-group group-id [ failover-group group-name ] [ resource-usage ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

instance-name：指定全局NAT实例名称，取值范围为1～31个字符的字符串，区分大小写。

group-id：指定地址组编号。

failover-group group-name：指定备份组名称，为1～63个字符的字符串，区分大小写。如果未指定本参数，将显示NAT实例下地址组绑定的各个备份组的地址信息。

resource-usage：显示地址组的地址信息以及各个地址资源的使用率。如果未指定本参数，只显示地址组的地址信息和地址使用率的总体情况。

【使用指导】

全局NAT模式下，NAT地址组存在单独配置或绑定全局NAT地址池的不同配置情况：

· NAT实例使用的地址组通过绑定全局NAT地址池获得地址资源的情况下，NAT实例关联的业务实例组配置了一个或多个备份组时，地址组绑定的全局NAT地址池会为各个备份组分配地址资源，通过本命令可以查看地址组和全局NAT地址池的信息，以及全局NAT地址池为各个备份组分配的地址信息和地址的使用情况。

· NAT实例使用的地址组通过address命令添加地址资源的情况下，通过本命令可以查看该地址组信息和地址的使用情况。

【举例】

# 显示NAT实例instance1中地址组1的信息。

<Sysname> display nat instance instance1 address-group 1

Instance : instance1

Address group ID : 1

IP pool name : 1

Subnet length (Initial/Extended) : 27/30

Usage thresholds (High/Low) : 80%/20%

Total IP usage : 1%

Total port-block usage : 3%

Total PAT port usage : ---

Address info:

Subnet Mask Total

202.38.1.0 255.255.255.224 32

Failover-group: cgn1

Total IP count : 16

IP usage : 1%

Port-block usage: 3%

PAT port usage : ---

Address info:

StartIP Total Initial

202.38.1.0 16 Y

Failover-group: cgn2

Total IP count : 16

IP usage : 1%

Port-block usage: 3%

Address info:

StartIP Total Initial

202.38.1.16 16 Y

表1-7 display nat instance address-group命令显示信息描述表

字段	描述
Instance	NAT实例名称
Address group ID	NAT实例下的地址组编号
IP pool name	地址组绑定的全局NAT地址池名称。如果NAT实例使用的地址组通过address命令添加地址资源，则不显示该字段
Subnet length(Initial/Extended)	地址组绑定的全局NAT地址池初始段和扩展段大小 · Initial：初始网段掩码长度 · Extended：扩展网段掩码长度如果NAT实例使用的地址组通过address命令添加地址资源，则不显示该字段
Usage thresholds(High/Low)	地址组绑定的全局NAT地址池上限/下限阈值 · High：表示申请阈值 · Low：表示释放阈值如果NAT实例使用的地址组通过address命令添加地址资源，则不显示该字段
Total IP usage	地址组中IP地址使用率（IP使用率只表示IP地址被分配使用的情况，无法表示当前地址组中资源使用是否到达临界值，请关注Total port-block usage或Total PAT port usage）
Total port-block usage	动态端口块分配方式的地址组中端口块资源使用率。如果地址组使用逐端口分配方式，本字段显示为“---”
Address info	地址组的地址段使用信息： · Subnet：地址组获取地址段的起始网段 · Mask：地址组获取地址段的起始网段的子网掩码 · Total：地址组获取地址段IP总个数
Failover-group	NAT实例关联的业务实例组中绑定的备份组名称： · Total IP count：备份组获取的地址段所包含的IP地址总数 · IP usage：备份组下IP地址的使用率 · Port-block usage：动态端口块分配方式下，备份组中端口块资源使用率。如果地址组使用逐端口分配方式，本字段显示为“---” · PAT port usage：逐端口分配模式下，备份组中端口资源使用率。如果地址组使用动态端口块分配方式，本字段显示为“---” · Address info：备份组获取的地址段使用信息 ¡ StartIP：备份组获取的地址段起始地址 ¡ Total：备份组获取的地址段中包含的地址总数 ¡ Initial：初始段标志。地址组绑定全局NAT地址池时，Y表示该地址段为初始地址段，N表示该地址段为扩展地址段。未绑定全局NAT地址池时，本字段显示为“---”

# 显示NAT实例instance1中地址组绑定的全局NAT地址池的信息以及地址的使用情况。

<Sysname> display nat instance instance1 address-group 1 resource-usage

Instance :instance1

Address group ID : 1

IP pool name : nat-ip-pool1

Total IP usage : 75%

Total port-block usage : 63%

Total PAT port usage ：---

Failover-group: group1

Total IP count : 8

IP usage : 100%

Port-block usage : 100%

PAT port usage : ---

IP Usage

150.1.1.0 100%

150.1.1.1 100%

150.1.1.2 100%

150.1.1.3 100%

150.1.1.4 100%

150.1.1.5 100%

150.1.1.6 100%

150.1.1.7 100%

Failover-group : group2

Total IP count : 8

IP usage : 12.5%

Port-block usage : 25%

PAT port usage : ---

IP Usage

150.1.1.8 50%

150.1.1.9 50%

150.1.1.10 50%

150.1.1.11 50%

150.1.1.12 0%

150.1.1.13 0%

150.1.1.14 0%

150.1.1.15 0%

表1-8 display nat instance address-group resource-usage命令显示信息描述表

字段	描述
Instance	NAT实例名称
Address group ID	NAT实例下的地址组编号。如果NAT实例使用的地址组通过address命令添加地址资源，则不显示该字段
IP pool name	地址组绑定的全局NAT地址池名称。如果NAT实例使用的地址组通过address命令添加地址资源，则不显示该字段
Total IP usage	地址组中IP地址使用率（IP地址使用率只表示地址被分配使用的情况，无法表示当前地址组中资源使用是否到达临界值，请关注资源使用率）。如果NAT实例使用的地址组通过address命令添加地址资源，则不显示该字段
Total port-block usage	动态端口块分配方式的地址组中端口块资源使用率。如果地址组使用逐端口分配方式，本字段显示为“---”
Total PAT port usage	逐端口分配方式的地址组中端口资源使用率。如果地址组使用动态端口块分配方式，本字段显示为“---”
Failover-group	NAT实例关联的业务实例组中绑定的备份组名称
Total IP count	备份组拥有的IP地址总数
IP usage	备份组中IP地址使用率
Port-block usage	动态端口块分配方式下，备份组中端口块资源的使用率，端口块资源使用率=已使用的端口块数/端口块总数
PAT port usage	逐端口分配方式下，备份组中端口资源使用率，端口资源使用率=已使用的端口数/端口总数
IP	NAT实例下地址组绑定的全局NAT地址池为各个备份组分配的IP地址
Usage	每个IP地址的资源使用率

【相关命令】

· ip-usage-threshold

· nat ip-pool

· subnet length

1.1.13 display nat ip-pool

display nat ip-pool命令用来显示全局NAT地址池的配置信息以及全局NAT地址池的使用情况。

【命令】

display nat ip-pool [ pool-name [ section section-id ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

pool-name：显示指定的全局NAT地址池信息，为1～31个字符的字符串，区分大小写。如果地址池名称中包含空格，则必须在地址池名称两端加双引号，例如"pool 1"。如果未指定本参数，则显示所有全局NAT地址池的信息。

section section-id：指定全局NAT地址池的地址段序列号，取值范围为0～4294967295。如果未指定本参数，将显示全局NAT地址池中所有地址段的信息。

【举例】

# 显示所有全局NAT地址池的配置信息以及全局NAT地址池的使用情况。

<Sysname> display nat ip-pool

NAT IP pool information:

Totally 2 NAT ip pools.

Pool name : pool

Type of pool : Static

Subnet length (Initial/Extended): 27/27

Usage thresholds (High/Low) : 80%/20%

Total IP count : 65536

Available IP count : 65536

Usage : 0%

Section info:

ID Subnet Mask Total Used

-----------------------------------------------------------

0 7.7.0.0 255.255.0.0 65536 0

Pool name : pool2

Type of pool : Dynamic

DHCP pool name : dhcp-pool

Subnet length (Initial/Extended): 27/27

Usage thresholds (High/Low) : 80%/20%

Total IP count : 65536

Available IP count : 65536

Usage : 0%

Section info:

ID Subnet Mask Total Used

-----------------------------------------------------------

0 10.1.1.0 255.255.0.0 65536 0

表1-9 display nat ip-pool命令显示信息描述表

字段	描述
NAT IP pool information	全局NAT地址池信息
Totally n NAT ip pools	当前有n个全局NAT地址池
Pool name	全局NAT地址池名称
Type of pool	全局NAT地址池类型 · Dynamic：表示动态全局地址池 · Static：表示静态全局地址池
DHCP pool name	动态全局NAT地址池绑定的DHCP地址池名称。如果动态全局NAT地址池未绑定DHCP地址池，则显示为“-”
Subnet length (Initial/Extended)	全局NAT地址池的初始网段掩码长度和扩展网段掩码长度 · Initial：初始网段掩码长度 · Extended：扩展网段掩码长度
Usage thresholds (High/Low)	全局NAT地址池的地址段申请阈值和释放阈值 · High：表示申请阈值 · Low：表示释放阈值
Total IP count	全局NAT地址池中IP地址总数
Available IP count	全局NAT地址池可用IP地址总数
Usage	全局NAT地址池的地址使用率
Section info	全局NAT地址池的地址段信息： · ID：地址段序列号 · Subnet：地址段 · Mask：地址段子网掩码 · Total：地址段中总共包含的地址数量 · Used：已使用的地址数量

# 显示全局NAT地址池pool1中序列号为0的地址段信息。

<Sysname> display nat ip-pool pool1 section 0

Section ID : 0

Subnet : 150.1.1.0

Mask : 255.255.255.0

Total IP count : 256

Available IP count : 248

Available IPs:

StartIP Total

150.1.1.8 248

Used IPs:

StartIP UsedCount InstanceID AddressGroup

150.1.1.0 8 1 1

表1-10 display nat ip-pool section命令显示信息描述表

字段	描述
Section ID	全局NAT地址池地址段序列号
Subnet	地址段
Mask	地址段的子网掩码
Total IP count	地址段中IP地址总数
Available IP count	地址段中可用IP地址总数
Available IPs	全局NAT地址池下地址段中可用地址的信息： · StartIP：全局NAT地址池下的地址段中可用地址的起始地址 · Total：全局NAT地址池下的地址段中可用地址总数
Used IPs	全局NAT地址池下的地址段中已使用的地址信息： · StartIP：全局NAT地址池下的地址段的已使用地址的起始地址 · UsedCount：全局NAT地址池下的地址段中已使用地址的总数 · InstanceID：使用该地址段的NAT实例ID · AddressGroup：使用该地址段的NAT地址组编号

【相关命令】

· ip-usage-threshold

· nat ip-pool

· subnet length

1.1.14 display nat log

display nat log命令用来显示NAT日志功能的配置信息。

【命令】

display nat log

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示NAT日志功能的配置信息。

<Sysname> display nat log

NAT logging:

Log enable : Enabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active : Disabled

Port-block-assign : Disabled

Port-block-withdraw : Disabled

Port-alloc-fail : Enabled

Port-block-alloc-fail : Disabled

Port-usage : Disabled

Port-block-usage : Enabled(Threshold: 40%)

Bandwidth-usage : Enabled(Threshold: 90%)

NAT ip-pool 1

IP-usage : Enabled(Threshold: 100%)

IP-alloc-fail : Enabled

表1-11 display nat log命令显示信息描述表

字段	描述
NAT logging	NAT日志功能的配置信息
Log enable	NAT日志开关 · Enabled：表示处于开启状态。如果指定了ACL，则同时显示指定的ACL编号或名称 · Disabled：表示处于关闭状态
Flow-begin	NAT会话新建日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Flow-end	NAT会话删除日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Flow-active	NAT活跃流日志功能开关 · Enabled：表示处于开启状态。该状态下，将同时显示配置的生成活跃流日志的时间间隔（单位为分） · Disabled：表示处于关闭状态
Port-block-assign	端口块分配的NAT444用户日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Port-block-withdraw	端口块回收的NAT444用户日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Port-alloc-fail	端口分配失败的日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Port-block-alloc-fail	端口块分配失败的日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Port-usage	端口块中端口使用率的日志功能开关 · Enabled：表示处于开启状态。该状态下，将同时显示配置的端口使用率的阈值（单位为百分比） · Disabled：表示处于关闭状态
Port-block-usage	端口块使用率的日志功能处于开启（Enabled）状态，Threshold表示配置的端口块使用率的阈值，单位为百分比，缺省值为90%
Bandwidth-usage	CGN单板带宽使用率日志功能始终处于开启（Enabled）状态，同时显示触发系统输出日志信息的CGN单板带宽使用率阈值（单位为百分比），缺省值为90%
NAT ip-pool xx	全局NAT地址池的日志功能，xx表示全局NAT地址池的名称
IP-usage	全局NAT地址池中地址使用率的日志功能处于开启（Enabled）状态，Threshold表示配置的地址使用率的阈值，单位为百分比，缺省值为80%
IP-alloc-fail	全局NAT地址池中地址分配失败的日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态

【相关命令】

· nat log enable

· nat log flow-active

· nat log flow-begin

· nat log ip-alloc-fail

· nat log ip-usage threshold

1.1.15 display nat mpls-tunnel

display nat mpls-tunnel命令用来显示NAT使用的MPLS保护隧道信息。

【命令】

display nat mpls-tunnel [ instance instance-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

instance instance-name：显示指定NAT实例的MPLS保护隧道信息。instance-name表示NAT实例的名称，为1～31个字符的字符串，区分大小写。如果该值中包含空格，需要在值的首末添加英文格式的引号，形如"xxx xxx"。如果未指定本参数，将显示所有NAT实例的MPLS保护隧道信息。

【使用指导】

对于双机CGN框间热备或N:1温备场景中的CGN框间备份，需要将NAT实例与多机备份实例绑定，NAT使用多机备份实例创建的MPLS保护隧道或SRv6保护隧道完成如下业务：

· 对该NAT实例的数据进行备份。

· 流量到达处理NAT业务的备设备时，备设备通过保护隧道将流量透传到处理NAT业务的主设备。

通过本命令可以查看此类MPLS保护隧道的信息。

【举例】

# 显示NAT使用的MPLS保护隧道信息。

<Sysname> display nat mpls-tunnel

MPLS tunnel info:

NAT instance name/ID: nat/100:

Local VPN:

VPN instance name/index: /0

MPLS label : 1279

Local label count: 1

Peer VPN:

VPN instance name/index: /0

NID : 2

MPLS label : 1407

Vsrp-instance : 1

Peer label count: 1

Total label statistics:

Total local labels: 1

Total peer labels : 1

表1-12 display nat mpls-tunnel命令显示信息描述表

字段	描述
MPLS tunnel info	NAT使用的MPLS保护隧道信息
NAT instance name/ID	NAT实例名和实例ID
Local VPN	本端MPLS标签信息
Peer VPN	对端MPLS标签信息
VPN instance name/index	VPN实例名称和索引
NID	NHLFE表项索引
MPLS label	MPLS标签值
Vsrp-instance	NAT实例绑定的多机备份实例名称
Local label count	NAT实例的本端标签个数
Peer label count	NAT实例的对端标签个数
Total label statistics	所有NAT实例的标签统计信息
Total local labels	所有NAT实例的本端标签个数
Total peer labels	所有NAT实例的对端标签个数

【相关命令】

· bind vsrp-instance

· protect lsp-tunnel for-all-instance（可靠性命令参考/多机备份）

1.1.16 display nat no-pat

display nat no-pat命令用来显示NAT NO-PAT表项信息。

【命令】

独立运行模式：

display nat no-pat [ slot slot-number ]

IRF模式：

display nat no-pat [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number：显示指定单板上的NO-PAT表项信息，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有单板上的NO-PAT表项信息。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的NO-PAT表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的NO-PAT表项信息。（IRF模式）

【使用指导】

NO-PAT表项记录了动态分配的一对一地址映射关系，该表项有两个作用：

· 保证后续同方向的新连接使用与第一个连接相同的地址转换关系。

· 反方向的新连接可以使用NO-PAT表进行地址转换。

【举例】

# 显示指定slot的NAT NO-PAT表项。

<Sysname> display nat no-pat slot 3

Slot 3:

Global IP: 200.100.1.100

Local IP: 192.168.100.100

Global VPN: vpn2

Local VPN: vpn1

Reversible: N

Type : Outbound

Total entries found: 1

表1-13 display nat no-pat命令显示信息描述表

字段	描述
Local VPN	内网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例，则该行不显示
Global VPN	外网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例，则该行不显示
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则表示不允许
Type	NO-PAT表项类型 · Outbound：出方向动态地址转换过程中创建的NO-PAT表项
Total entries found	当前查找到的NO-PAT表项的个数

【相关命令】

· nat outbound

1.1.17 display nat outbound

display nat outbound命令用来显示出方向动态地址转换的配置信息。

【命令】

display nat outbound

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示出方向动态地址转换的配置信息。

<Sysname> display nat outbound

NAT outbound information:

Totally 3 NAT outbound rules.

Interface: GigabitEthernet3/1/1

ACL: 2036 Address group: 1 Port-preserved: Y

NO-PAT: N Reversible: N

Service card: Slot 3

Config status: Active

Interface: GigabitEthernet3/1/2

ACL: 2037 Address group: 2 Port-preserved: N

NO-PAT: Y Reversible: Y

VPN instance: vpn_nat

Service card: Slot 3

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: global VPN, and ACL.

Interface: GigabitEthernet3/1/1

DS-Lite B4 ACL: 2100 Address group: 0 Port-preserved: N

NO-PAT: N Reversible: N

Service card: Slot 3

Config status: Active

表1-14 display nat outbound命令显示信息描述表

字段	描述
NAT outbound information	出方向动态地址转换的配置信息
Totally n NAT outbound rules	当前存在n条出方向动态地址转换
Interface	出方向动态地址转换配置所在的接口
ACL	引用的IPv4 ACL编号或名称。如果未配置，则显示“---”
DS-Lite B4 ACL	DS-Lite B4引用的IPv6 ACL编号或名称
Address group	出方向动态地址转换使用的地址组。如果未配置，则显示“---”
Port-preserved	PAT方式下，是否尽量不转换端口
NO-PAT	是否使用NO-PAT方式进行转换。若其值为“N”，则表示使用PAT方式
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则表示不允许
VPN instance	地址组所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Service card	显示提供NAT处理的业务板。如果接口下未指定业务板，则显示为“---”
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因 · The following items don't exist or aren't effective: global VPN, interface IP address, address group, and ACL：配置中地址组所属的VPN实例、接口地址、地址组、ACL不存在或不生效 · NAT address conflicts：NAT地址冲突

【相关命令】

· nat outbound

1.1.18 display nat outbound port-block-group

display nat outbound port-block-group命令用来显示NAT端口块静态映射的配置信息。

【命令】

display nat outbound port-block-group

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示NAT端口块静态映射的配置信息。

<Sysname> display nat outbound port-block-group

NAT outbound port block group information:

Totally 2 outbound port block group items.

Interface: GigabitEthernet3/1/2

Port-block-group: 2

Config status : Active

Interface: GigabitEthernet3/1/2

Port-block-group: 10

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: port block group.

表1-15 display nat outbound port-block-group 命令显示信息描述表

字段	描述
NAT outbound port block group information	NAT端口块静态映射的配置信息
Totally n outbound port block group items	当前存在n条NAT端口块静态映射配置
Interface	NAT端口块静态映射配置所在的接口
port-block-group	端口块组编号
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因 · The following items don't exist or aren't effective: port block group：配置中端口块组不存在或不生效

【相关命令】

· nat outbound port-block-group

1.1.19 display nat port-block

display nat port-block命令用来显示端口块表项。

【命令】

独立运行模式：

display nat port-block { dynamic | static } [ { global-ip | local-ip } ipv4-source-address ] [ slot slot-number ] [ verbose ]

display nat port-block dynamic ds-lite-b4 [ ipv6 ipv6-source-address ] [ slot slot-number ] ] [ verbose ]

IRF模式：

display nat port-block { dynamic | static } [ { global-ip | local-ip } ipv4-source-address ] [ chassis chassis-number slot slot-number ] [ verbose ]

display nat port-block dynamic ds-lite-b4 [ ipv6 ipv6-source-address ] [ chassis chassis-number slot slot-number ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

dynamic：显示动态端口块表项。

ds-lite-b4：显示基于DS-Lite B4地址的端口块表项。

static：显示静态端口块表项。

global-ip ipv4-source-address：显示指定公网IPv4地址的端口块表项。ipv4-source-address表示公网地址。

local-ip ipv4-source-address：显示指定私网IPv4地址的端口块表项。ipv4-source-address表示私网侧NAT会话发起方的源地址。

ipv6 ipv6-source-address：显示指定DS-Lite B4设备IPv6地址的端口块表项。ipv6-source-address表示DS-Lite B4设备的IPv6地址。

slot slot-number：显示指定单板上的端口块表项信息，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有单板上的端口块表项信息。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的端口块表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的端口块表项信息。（IRF模式）

verbose：显示单板上的端口块表项的详细信息。若不指定该参数，则显示端口块表项的概要信息。

【举例】

# 显示指定slot上的静态端口块表项。

<Sysname> display nat port-block static slot 3

Slot 3:

Local VPN Local IP Global IP Port block Connections Extend

--- 100.100.100.111 202.202.100.101 10001-10256 0 ---

--- 100.100.100.112 202.202.100.101 10257-10512 0 ---

--- 100.100.100.113 202.202.100.101 10513-10768 0 ---

vpn01 100.100.100.113 202.202.100.101 10769-11024 0 ---

--- 100.100.100.114 0.0.0.0 --- 0 ---

Total mappings found: 5

# 显示指定slot上静态端口块表项的详细信息。

<Sysname> display nat port-block static slot 3 verbose

Slot 3:

Static port block entry

Local IP : 200.1.24.219

Local vpn : ---(0)

Global IP : 202.2.1.8

Global vpn : ---(0)

Port block : 24774-26023

Connections : 0

FailgroupID : 16

PortLimit TCP : N/A

PortLimit UDP : N/A

PortLimit ICMP : N/A

PortLimit total : 100

PortUsed TCP : 0

PortUsed UDP : 0

PortUsed ICMP : 0

PortUsed total : 0

Extend port block: N

Static port block entry

Local IP : 200.1.40.231

Local vpn : ---(0)

Global IP : 0.0.0.0

Global vpn : ---(0)

Port block : ---

Connections : 0

FailgroupID : 16

PortLimit TCP : N/A

PortLimit UDP : N/A

PortLimit ICMP : N/A

PortLimit total : 100

PortUsed TCP : 0

PortUsed UDP : 0

PortUsed ICMP : 0

PortUsed total : 0

Extend port block: N

Total mappings found: 2

# 显示指定slot上的动态端口块表项。

<Sysname> display nat port-block dynamic slot 3

Slot 3:

Local VPN Local IP Global IP Port block Connections Extend

--- 101.1.1.12 192.168.135.201 10001-11024 1 ---

Total mappings found: 1

# 显示指定slot上的基于DS-Lite B4地址的端口块表项。

<Sysname> display nat port-block dynamic ds-lite-b4 slot 3

Slot 3:

Local VPN DS-Lite B4 addr Global IP Port block Connections Extend

--- 2000::2 192.168.135.201 10001-11024 1 ---

Total mappings found: 1

# 显示指定slot上动态端口块表项的详细信息。

<Sysname> display nat port-block dynamic slot 3 verbose

Slot 3:

Dynamic port block entry

Local IP : 200.1.24.219

Local vpn : ---(0)

Global IP : 202.2.1.8

Global vpn : ---(0)

Port block : 24774-26023

Connections : 0

FailgroupID : 16

PortLimit TCP : N/A

PortLimit UDP : N/A

PortLimit ICMP : N/A

PortLimit total : 100

PortUsed TCP : 0

PortUsed UDP : 0

PortUsed ICMP : 0

PortUsed total : 0

Extend port block: N

Dynamic port block entry

Local IP : 200.1.40.231

Local vpn : ---(0)

Global IP : 202.2.1.10

Global vpn : ---(0)

Port block : 32274-33523

Connections : 0

FailgroupID : 16

PortLimit TCP : N/A

PortLimit UDP : N/A

PortLimit ICMP : N/A

PortLimit total : 100

PortUsed TCP : 0

PortUsed UDP : 0

PortUsed ICMP : 0

PortUsed total : 0

Extend port block: N

Total mappings found: 2

# 显示指定slot上静态端口块表项的详细信息。

<Sysname> display nat port-block static slot 3 verbose

Slot 3:

Static port block entry

Local IP : 200.1.24.219

Local vpn : ---(0)

Global IP : 202.2.1.8

Global vpn : ---(0)

Port block : 24774-26023

Connections : 0

FailgroupID : 16

PortLimit TCP : N/A

PortLimit UDP : N/A

PortLimit ICMP : N/A

PortLimit total : 100

PortUsed TCP : 0

PortUsed UDP : 0

PortUsed ICMP : 0

PortUsed total : 0

Extend port block: N

Static port block entry

Local IP : 200.1.40.231

Local vpn : ---(0)

Global IP : 0.0.0.0

Global vpn : ---(0)

Port block : ---

Connections : 0

FailgroupID : 16

PortLimit TCP : N/A

PortLimit UDP : N/A

PortLimit ICMP : N/A

PortLimit total : 100

PortUsed TCP : 0

PortUsed UDP : 0

PortUsed ICMP : 0

PortUsed total : 0

Extend port block: N

Total mappings found: 2

表1-16 display nat port-block命令显示信息描述表

字段	描述
Local VPN	私网IP地址所属VPN实例，“---”表示不属于任何VPN实例
Local IP	私网IP地址
DS-Lite B4 addr	DS-Lite B4设备的IPv6地址
Global IP	公网IP地址。显示为0.0.0.0表示公网资源不足，未能分配到公网IP地址
Port block	端口块（起始端口-结束端口）。当公网资源不足时，本字段显示为“---”
Connections	当前和本端口块关联的连接数
Extend	是否为增量端口块： · Ext：表示是增量端口块 · ---：表示非增量端口块
Total mappings found	当前查找到的端口块表项的个数

表1-17 display nat port-block verbose命令详细显示信息描述表

字段	描述
Local IP	私网IP地址
Local vpn	私网IP地址所属VPN实例，“---(0)”表示不属于任何VPN实例
Global IP	公网IP地址。显示为0.0.0.0表示公网资源不足，未能分配到公网IP地址
Global vpn	公网IP地址所属VPN实例，“---(0)”表示不属于任何VPN实例
Port block	端口块（起始端口-结束端口）。当公网资源不足时，本字段显示为“---”
Connections	当前和本端口块关联的连接数
FailgroupID	端口块表项所属的备份组
PortLimit TCP	最多可分配给TCP协议的端口数量
PortLimit UDP	最多可分配给UDP协议的端口数量
PortLimit ICMP	最多可分配给ICMP协议的端口数量
PortLimit total	最多可分配的端口数量
PortUsed TCP	TCP报文分配的端口数
PortUsed UDP	UDP报文分配的端口数
PortUsed ICMP	ICMP报文分配的端口数
PortUsed total	分配的端口总数
Extend port block	是否为增量端口块： · Y：表示是增量端口块 · N：表示非增量端口块
Total mappings found	当前查找到的端口块表项的个数

1.1.20 display nat port-block-group

display nat port-block-group命令用来显示NAT端口块组配置信息。

【命令】

display nat port-block-group [ group-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group-id：端口块组的编号，取值范围为0～65535。如果不设置该值，则显示所有端口块组的配置信息。

【举例】

# 显示所有端口块组的配置信息。

<Sysname> display nat port-block-group

NAT port block group information:

Totally 3 NAT port block groups.

Port block group 1:

Port range: 1-65535

Block size: 256

TCP port limit: 1000

UDP port limit: 2000

ICMP port limit: 3000

Port limit in total: 6000

Failover group name: nat

Local IP address information:

Start address End address VPN instance

172.16.1.1 172.16.1.254 ---

192.168.1.1 192.168.1.254 vpna

192.168.3.1 192.168.3.254 vpna

Global IP pool information:

Start address End address

201.1.1.1 201.1.1.10

201.1.1.21 201.1.1.25

Port block group 2:

Port range: 10001-30000

Block size: 500

Failover group name: trans

Local IP address information:

Start address End address VPN instance

10.1.1.1 10.1.10.255 vpnb

Global IP pool information:

Start address End address

202.10.10.101 202.10.10.120

Port block group 3:

Port range: 1-65535

Block size: 256

Failover group name: nat

Local IP address information:

Start address End address VPN instance

--- --- ---

Global IP pool information:

Start address End address

--- ---

# 显示端口块组1的配置信息。

<Sysname> display nat port-block-group 1

Port block group 1:

Port range: 1-65535

Block size: 256

TCP port limit: 1000

UDP port limit: 2000

ICMP port limit: 3000

Port limit in total: 6000

Failover group name: nat

Local IP address information:

Start address End address VPN instance

172.16.1.1 172.16.1.254 ---

192.168.1.1 192.168.1.254 vpna

192.168.3.1 192.168.3.254 vpna

Global IP pool information:

Start address End address

201.1.1.1 201.1.1.10

201.1.1.21 201.1.1.25

表1-18 display nat port-block-group 命令显示信息描述表

字段	描述
NAT port block group information	NAT端口块组信息
Totally n NAT port block groups	当前有n个端口块组
Port block group	端口块组的编号
Port range	公网地址的端口范围
Block size	端口块大小
TCP port limit	限制分配给TCP协议的端口数量。如果未配置，则不显示
UDP port limit	限制分配给UDP协议的端口数量。如果未配置，则不显示
ICMP port limit	限制分配给ICMP协议的端口数量。如果未配置，则不显示
Port limit in total	限制分配给TCP、UDP和ICMP协议的端口数量。如果未配置，则不显示
Failover group name	NAT端口块组绑定的备份组的名称。如果未配置，则不显示
Local IP address information	私网IP地址成员信息
Global IP pool information	公网IP地址成员信息
Start address	私网/公网IP地址成员的起始IP地址。如果未配置，则显示“---”
End address	私网/公网IP地址成员的成员结束IP地址。如果未配置，则显示“---”
VPN instance	私网IP地址成员所属的VPN实例。如果未配置，则显示“---”

【相关命令】

· nat port-block-group

1.1.21 display nat server

display nat server命令用来显示NAT内部服务器的配置信息。

【命令】

display nat server

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示NAT内部服务器的信息。

<Sysname> display nat server

NAT internal server information:

Totally 4 internal servers.

Interface: GigabitEthernet3/1/3

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23

Local IP/port : 192.168.10.15/23

Config status : Active

Interface: GigabitEthernet3/1/4

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23-30

Local IP/port : 192.168.10.15-192.168.10.22/23

Global VPN : vpn1

Local VPN : vpn3

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: local VPN.

Interface: GigabitEthernet3/1/4

Protocol: 255(Reserved)

Global IP/port: 50.1.1.100/---

Local IP/port : 192.168.10.150/---

Global VPN : vpn2

Local VPN : vpn4

Service card : Slot 3

Config status : Active

Interface: GigabitEthernet3/1/5

Protocol: 17(UDP)

Global IP/port: 50.1.1.2/23

Local IP/port : server group 1

1.1.1.1/21 (Connections: 10)

192.168.100.200/80 (Connections: 20)

Global VPN : vpn1

Local VPN : vpn10

Service card : Slot 3

Config status : Active

表1-19 display nat server命令显示信息描述表

字段	描述
NAT internal server information	NAT内部服务器的配置信息
Totally n internal servers	当前存在n条内部服务器配置
Interface	内部服务器配置所在的接口
Protocol	内部服务器的协议编号以及协议名称
Global IP/port	内部服务器的外网地址/端口号 · Global IP可以是单个地址，也可以是一个连续的地址段。如果使用Easy IP方式，则此处显示指定的接口的地址；如果接口下未配置地址，则Global IP显示为“---” · port可以是单个端口，也可以是一个连续的端口段。如果指定的协议没有端口的概念，则port显示为“---”
Local IP/port	对于普通内部服务器，显示服务器的内网地址/端口号 · Local IP可以是单个地址，也可以是一个连续的地址段 · port可以是单个端口，也可以是一个连续的端口段。如果指定的协议没有端口的概念，则port显示为“---” 对于负载分担内部服务器，显示内部服务器组编号以及服务器组成员的IP地址、端口和连接数
Global VPN	外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Local VPN	内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
ACL	引用的ACL编号或名称。如果未配置，则不显示该字段
Service card	显示提供NAT处理的业务板。如果接口下未指定业务板，则显示为“---”
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因 · The following items don't exist or aren't effective: local VPN, global VPN, interface IP address, server group, and ACL：配置中内网地址所属的VPN实例、外网地址所属的VPN实例、接口地址、服务器组、ACL不存在或不生效 · Server configuration conflicts：NAT内部服务器配置冲突 · NAT address conflicts：NAT地址冲突

【相关命令】

· nat server

1.1.22 display nat server-group

display nat server-group命令用来显示NAT内部服务器组的配置信息。

【命令】

display nat server-group [ group-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

group-id：NAT内部服务器组的编号，取值范围为0～65535。如果不指定该参数，则显示所有内部服务器组。

【举例】

# 显示所有NAT内部服务器组的配置信息。

<Sysname> display nat server-group

NAT server group information:

Totally 3 NAT server groups.

Group Number Inside IP Port Weight

1 192.168.0.26 23 100

192.168.0.27 23 500

2 --- --- ---

3 192.168.0.26 69 100

# 显示指定NAT内部服务器组的配置信息。

<Sysname> display nat server-group 1

Group Number Inside IP Port Weight

1 192.168.0.26 23 100

192.168.0.27 23 500

表1-20 display nat server-group命令显示信息描述表

字段	描述
NAT server group information	NAT内部服务器组信息
Totally n NAT server groups	当前有n个内部服务器组
Group Number	内部服务器组的编号
Inside IP	内部服务器组成员在内网的IP地址。如果未配置，则显示“---”
Port	内部服务器组成员在内网的端口。如果未配置，则显示“---”
Weight	内部服务器组成员的权重值。如果未配置，则显示“---”

【相关命令】

· nat server-group

1.1.23 display nat session

display nat session命令用来显示NAT会话，即经过NAT地址转换处理的会话。

【命令】

独立运行模式：

display nat session [ { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ slot slot-number ] [ brief | verbose ]

IRF模式：

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

source-ip source-ip：显示指定源地址的会话。source-ip表示源地址，该地址必须是创建会话的报文的源地址。

destination-ip destination-ip：显示指定目的地址的会话。destination-ip表示目的地址，该地址必须是创建会话的报文的目的地址。

vpn-instance vpn-instance-name：显示指定目的VPN实例的会话。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。该VPN实例必须是报文中携带的VPN实例。如果不指定该参数，则显示目的IP不属于任何VPN实例的会话。

protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite }：显示指定协议类型的IPv4单播会话表项。其中，IPv4传输层协议类型可包括DCCP、ICMP、RawIP、SCTP、TCP、UDP和UDP-Lite。如果未指定本参数，则显示所有支持的协议类型的NAT会话。

slot slot-number：显示指定单板上的NAT会话，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有单板上的NAT会话（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的NAT会话，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有成员设备的所有单板上的NAT会话。（IRF模式）

brief：显示NAT会话的简要信息。

verbose：显示NAT会话的详细信息。若不指定该参数，则显示会话的概要信息。

【使用指导】

如果不指定任何参数，则显示所有的NAT会话的详细信息。

【举例】

# 显示指定slot上NAT会话的详细信息。

<Sysname> display nat session slot 3 verbose

Slot 3:

Initiator:

Source IP/port: 192.168.1.18/1877

Destination IP/port: 192.168.1.55/22

DS-Lite tunnel peer: -

VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

Inbound interface: GigabitEthernet3/1/1

Responder:

Source IP/port: 192.168.1.55/22

Destination IP/port: 192.168.1.10/1877

DS-Lite tunnel peer: -

VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: TCP(6)

Inbound interface: GigabitEthernet3/1/2

State: TCP_SYN_SENT

Application: SSH

Role: Standby

Failover group ID: 1

Start time: 2017-10-18 11:22:45

Initiator->Responder: 1 packets 48 bytes

Responder->Initiator: 0 packets 0 bytes

Total sessions found: 1

# 显示指定slot上NAT会话的简要信息。

<Sysname> display nat session slot 3 brief

Slot 3:

Protocol Source IP/port Destination IP/port Global IP/port

TCP 10.2.1.58/2477 20.1.1.2/1025 30.2.4.9/226

Total sessions found: 1

表1-21 display nat session命令显示信息描述表

字段	描述
Source IP/port	源IP地址/端口号
Destination IP/port	目的IP地址/端口号
DS-Lite tunnel peer	DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时，本字段显示为“-”
VPN instance/VLAN ID/VLL ID	会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-”
Protocol	传输层协议类型，包括：DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite
Inbound interface	报文的入接口
State	会话状态
Application	应用层协议类型，取值包括：FTP、DNS等，OTHER表示未知协议类型，其对应的端口为非知名端口
Role	slot在备份组中的角色： · Master：备份组的主节点 · Standby：备份组的备节点
Failover group ID	备份组ID，当备份组中的主节点处理业务时，备节点上创建了会话，此时显示为“-”
Start time	会话创建时间
TTL	会话剩余存活时间，单位为秒
Initiator->Responder	发起方到响应方的报文数、报文字节数
Responder->Initiator	响应方到发起方的报文数、报文字节数
Total sessions found	当前查找到的会话的总数
Source IP/port	发起方的源IP地址/端口号
Destination IP/port	发起方的目的IP地址/端口号
Global IP/port	公网IP地址/端口号

【相关命令】

· reset nat session

1.1.24 display nat srv6-tunnel

display nat srv6-tunnel命令用来显示NAT使用的SRv6保护隧道信息。

【命令】

display nat srv6-tunnel [ instance instance-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

instance instance-name：显示指定NAT实例的SRv6保护隧道信息。instance-name表示NAT实例的名称，为1～31个字符的字符串，区分大小写。如果该值中包含空格，需要在值的首末添加英文格式的引号，形如"xxx xxx"。如果未指定本参数，将显示所有NAT实例的SRv6保护隧道信息。

【帮助信息】

· 对该NAT实例的数据进行备份。

· 流量到达处理NAT业务的备设备时，备设备通过保护隧道将流量透传到处理NAT业务的主设备。

通过本命令可以查看此类SRv6保护隧道的信息。

【举例】

# 显示NAT使用的SRv6保护隧道信息。

<Sysname> display nat srv6-tunnel

SRv6 tunnel info:

NAT instance ID = 1:

Local VPN:

VPN instance name/index: /0

Locator name : locator1

End.DT4 SID : 400::1:0:0

End.DT6 SID : 400::1:0:1

VPN instance name/index: vpn1/1

Locator name : locator1

End.DT4 SID : 400::1:0:2

End.DT6 SID : 400::1:0:3

Local SID count: 2

Peer VPN:

VPN instance name/index: /0

Locator name : locator2

End.DT4 SID : 100:1::100

End.DT6 SID : 100:1::101

VPN instance name/index: vpn1/1

Locator name : locator2

End.DT4 SID : 100:1::102

End.DT6 SID : 100:1::103

Peer SID count: 2

Total SID statistics:

Total local SIDs: 2

Total peer SIDs : 2

表1-22 display nat srv6-tunnel命令显示信息描述表

字段	描述
SRv6 tunnel info	NAT使用的SRv6保护隧道信息
NAT instance ID	NAT实例ID
Local VPN	本端SRv6保护隧道信息
Peer VPN	对端SRv6保护隧道信息
VPN instance name/index	VPN实例名称和索引
Locator name	Locator名称
End.DT4 SID	End.DT4类型的SID值
End.DT6 SID	End.DT6类型的SID值
Local SID count	NAT实例的本端SID个数
Peer SID count	NAT实例的对端SID个数
Total SID statistics	所有NAT实例的SID统计信息
Total local SIDs	所有NAT实例的本端SID个数
Total peer SIDs	所有NAT实例的对端SID个数

【相关命令】

· bind vsrp-instance

· protect srv6-tunnel for-all-instance（可靠性命令参考/多机备份）

1.1.25 display nat static

display nat static命令用来显示NAT静态地址转换的配置信息。

【命令】

display nat static

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【举例】

# 显示NAT静态地址转换的配置信息。（接口NAT）

<Sysname> display nat static

Static NAT mappings:

Totally 2 outbound static NAT mappings.

Net-to-net:

Local IP : 1.1.1.1 - 1.1.1.255

Global IP : 2.2.2.0

Netmask : 255.255.255.0

Local VPN : vpn1

Global VPN : vpn2

ACL : 2000

Reversible : Y

Config status: Active

IP-to-IP:

Local IP : 4.4.4.4

Global IP : 5.5.5.5

Local VPN : vpn4

Global VPN : vpn3

ACL: : 2000

Reversible : Y

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: local VPN, and global VPN.

Interfaces enabled with static NAT:

Totally 2 interfaces enabled with static NAT.

Interface: GigabitEthernet3/1/2

Service card : Slot 3

Config status: Active

Interface: GigabitEthernet3/1/3

Config status: Active

# 显示NAT静态地址转换的配置信息。（全局NAT）

<Sysname> display nat static

Static NAT mappings:

Totally 2 inbound static NAT mappings.

Net-to-net:

Global IP : 1.1.1.1 - 1.1.1.255

Local IP : 2.2.2.0

Netmask : 255.255.255.0

Global VPN : vpn2

Local VPN : vpn1

ACL : 2000

Reversible : Y

Config status: Active

IP-to-IP:

Global IP : 4.4.4.4

Local IP : 5.5.5.5

Global VPN : vpn4

Local VPN : vpn3

ACL : 2000

Reversible : Y

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: local VPN, global VPN.

NAT instances enabled with static NAT:

Totally 2 NAT instances enabled with static NAT.

NAT instance: instance1

Config status: Active

NAT instance: instance2

Config status: Active

表1-23 display nat static命令显示信息描述表

字段	描述
Static NAT mappings	静态地址转换的配置信息
Totally n outbound static NAT mappings	当前存在n条出方向静态地址转换的配置
Net-to-net	网段到网段的静态地址转换映射
IP-to-IP	IP到IP的静态地址转换映射
Local IP	内网IP地址或地址范围
Global IP	外网IP地址或地址范围
Netmask	IP地址掩码
Local VPN	内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Global VPN	外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
ACL	引用的ACL编号或名称。如果未配置，则不显示该字段
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换如果未配置，则不显示该字段
Interfaces enabled with static NAT	静态地址转换在接口下的开启情况
Totally n interfaces enabled with static NAT	当前有n个接口开启了静态地址转换
NAT instances enabled with static NAT	静态地址转换在NAT实例下的开启情况
Totally n NAT instances enabled with static NAT	当前有n个NAT实例开启了静态地址转换
NAT instance	NAT实例的名称
Interface	开启静态地址转换功能的接口
Service card	显示提供NAT服务的业务板。如果接口下未指定业务板，则不显示该字段
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因 · The following items don't exist or aren't effective: local VPN, global VPN, and ACL：配置中内网地址所属的VPN实例、外网地址所属的VPN实例、ACL不存在或不存在 · NAT address conflicts：NAT地址冲突

【相关命令】

· nat static

· nat static net-to-net

· nat static enable

1.1.26 display nat statistics

display nat statistics命令用来显示NAT统计信息。

【命令】

独立运行模式：

display nat statistics [ summary ] [ slot slot-number ]

IRF模式：

display nat statistics [ summary ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

summary：显示NAT统计信息的摘要信息。不指定该参数时，显示NAT统计信息的详细信息。

slot slot-number：显示指定单板上的NAT统计信息，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有单板上的NAT统计信息。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的NAT统计信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有成员设备的所有单板上的NAT统计信息。（IRF模式）

【举例】

# 显示所有NAT统计信息的详细信息。

<Sysname> display nat statistics

Slot 3:

Total session entries: 100

Total EIM entries: 1

Total inbound NO-PAT entries: 0

Total outbound NO-PAT entries: 0

Total static port block entries: 10

Total dynamic port block entries: 15

Active static port block entries: 0

Active dynamic port block entries: 0

Total PAT entries: 0

表1-24 display nat statistics命令显示信息描述表

字段	描述
Total session entries	NAT会话表项个数
Total EIM entries	EIM表项个数
Total inbound NO-PAT entries	入方向的NO-PAT表项个数
Total outbound NO-PAT entries	出方向的NO-PAT表项个数
Total static port block entries	当前配置创建的静态端口块表项个数
Total dynamic port block entries	当前配置可创建的动态端口块表项个数，即可分配的动态端口块总数，包括已分配的端口块和尚未分配的端口块。如果用户设置的端口块参数中增量端口块与预分配端口块大小不同，系统将按照端口块大小为64来计算可创建的动态端口块表项个数
Active static port block entries	当前正在使用的静态端口块表项个数
Active dynamic port block entries	当前已创建的动态端口块表项个数，即已分配的动态端口块个数
Total PAT entries	PAT表项个数

# 显示所有NAT统计信息的概要信息。

<Sysname> display nat statistics summary

EIM: Total EIM entries.

SPB: Total static port block entries.

DPB: Total dynamic port block entries.

ASPB: Active static port block entries.

ADPB: Active dynamic port block entries.

Slot Sessions EIM SPB DPB ASPB ADPB

2 0 0 0 1572720 0 0

表1-25 display nat statistics summary命令显示信息描述表

字段	描述
Sessions	NAT会话表项个数
EIM	EIM表项个数
SPB	当前配置创建的静态端口块表项个数
DPB	当前配置可创建的动态端口块表项个数，即可分配的动态端口块总数，包括已分配的端口块和尚未分配的端口块。如果用户设置的端口块参数中增量端口块与预分配端口块大小不同，系统将按照端口块大小为64来计算可创建的动态端口块表项个数
ASPB	当前正在使用的静态端口块表项个数
ADPB	当前已创建的动态端口块表项个数，即已分配的动态端口块个数

1.1.27 display nat user-information

display nat user-information命令用来显示已上线用户的信息。

【命令】

（独立运行模式）

display nat user-information [ local { ipv4 ipv4-address | ipv6 ipv6–address } | user-id user-id | user-name user-name | nat-instance instance-name ] [ slot slot-number ] [ verbose ]

（IRF模式）

display nat user-information [ local { ipv4 ipv4-address | ipv6 ipv6–address } | user-id user-id | user-name user-name | nat-instance instance-name ] [ chassis chassis-number slot slot-number ] [ verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

local ipv4 ipv4-address：显示指定内网IPv4地址的已上线用户的信息。

local ipv6 ipv6-address：显示指定内网IPv6地址的已上线用户的信息。

user-id user-id：显示指定用户ID的上线用户信息。user-id表示用户ID，取值范围为十六进制数1～FFFFFFFF。

user-name user-name：显示指定用户名的已上线用户信息。user-name表示用户名称，取值范围为1～253个字符的字符串。

nat-instance instance-name：显示指定NAT实例名称的已上线用户的信息。instance-name表示NAT实例名称，取值范围为1～31个字符的字符串。

slot slot-number：显示指定单板上的上线用户信息。slot-number表示单板所在的槽位号。如果不指定本参数，则显示所有单板上已上线用户的信息。（独立运行模式）

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上已上线用户的信息。chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。如果不指定本参数，则显示所有成员设备的所有单板上已上线用户的信息。（IRF模式）

verbose：显示已上线用户的详细信息。如果未指定本参数，则显示下已上线用户的概要信息。

【使用指导】

本命令用于查看NAT与BRAS联动场景中的已上线用户信息。

在NAT与BRAS联动的场景中，在PPPoE或IPoE用户上线后，如果想指定user-id或user-name参数查看已上线用户的信息，请执行如下步骤：

(1) 通过display access-user命令查看已上线用户的用户ID和用户名。

(2) 在display nat user-information user-id user-id命令中将user-id指定为上一步查看到的用户ID，或在display nat user-information user-name user-name命令中将user-name指定为上一步查看到的用户名。

【举例】

# 显示指定slot上已上线用户的概要信息。

<Sysname> display nat user-information slot 3

Slot 3:

User ID : 0x382005a0

Local IP : 1.1.8.192

VPN instance name/index : ---/0

Address group : 9

NAT instance : 1

Global IP : 6.1.1.123

Start port : 13003

Block size : 1001

Port total : 1001

Number of extended port block allocated : 0

Number of ports used in the extended port block : 0

First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0

Total/TCP/UDP/ICMP port limit : ---/---/---/---

TCP/UDP/ICMP port current : 0/0/0

Total/TCP/UDP/ICMP sessions : 0/0/0/0

User ID : 0x38200443

Local IP : 1.1.5.90

VPN instance name/index : ---/0

Address group : 9

NAT instance : 1

Global IP : 6.1.1.237

Start port : 13003

Block size : 1001

Port total : 1001

Number of extended port block allocated : 0

Number of ports used in the extended port block : 0

First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0

Total/TCP/UDP/ICMP port limit : ---/---/---/---

TCP/UDP/ICMP port current : 0/0/0

Total Users found: 2

# 显示指定slot上已上线用户的详细信息。

<Sysname> display nat user-information slot 3 verbose

Slot: 3

User type : NAT444

User ID : 0x382016e8

Local IP : 1.1.1.11

VPN instance name/index : ---/0

Address group : 9

NAT instance : 9

Global IP : 6.1.1.130

Start port : 35025

Block size : 1001

Port total : 1001

Number of extended port block allocated : 0

Number of ports used in the extended port block : 0

First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0

Total/TCP/UDP/ICMP port limit : ---/---/---/---

TCP/UDP/ICMP port current : 0/2/0

Port limit discard count : 0

Total/TCP/UDP/ICMP sessions : 2/0/2/0

Total/TCP/UDP/ICMP reverse sessions : 0/0/0/0

User type : NAT444

User ID : 0x382016e7

Local IP : 1.1.1.10

VPN instance name/index : ---/0

Address group : 9

NAT instance : 9

Global IP : 6.1.1.239

Start port : 29019

Block size : 1001

Port total : 1001

Number of extended port block allocated : 0

Number of ports used in the extended port block : 0

First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0

Total/TCP/UDP/ICMP port limit : ---/---/---/---

TCP/UDP/ICMP port current : 0/2/0

Port limit discard count : 0

Total/TCP/UDP/ICMP sessions : 2/0/2/0

Total/TCP/UDP/ICMP reverse sessions : 0/0/0/0

Total Users found: 2

表1-26 display nat user-information命令显示信息描述表

字段	描述
User type	用户类型： · NAT444 · DS-Lite
User ID	用户ID： · 在NAT与BRAS联动的情况下，显示为用户指定的ID · 非NAT与BRAS联动的情况下，显示为“---”
Local IP	用户私网IP地址
VPN instance name/index	用户所在VPN的实例名称和索引。“---/0”表示不属于任何VPN实例
Address group	用户所使用的NAT动态地址组编号
Port block group	用户所使用的NAT静态端口块组编号
NAT instance	用户所使用的NAT实例名称。对于接口NAT，该字段显示为空
Global IP	用户经过NAT转化后的公网IP地址
Start port	给用户预分配的起始端口号
Block size	给用户预分配的端口块大小
Port total	用户拥有的端口总数，包括： · 给用户预分配的端口块中的端口 · 所有增量端口块中的端口
Number of extended port block allocated	给用户分配的增量端口块个数
Number of ports used in the extended port block	增量端口块中已使用的端口个数
First/Second/Third/Fourth/Fifth extend port start	第一、二、三、四、五次分配增量端口块的起始端口
Total/TCP/UDP/ICMP port limit	通过port-limit命令限制分配给协议的端口数量
TCP/UDP/ICMP port current	当前TCP/UDP/ICMP协议已经使用的NAT端口数。EIM模式下，可以为不同的协议分配相同的端口号
Port limit discard count	NAT端口超限后，无法为新连接分配端口块的次数。显示为“0”表示未发生NAT端口超限事件
Total/TCP/UDP/ICMP sessions	当前各个协议新建的正向会话总数/TCP协议新建的正向会话数/UDP协议新建的正向会话数/ICMP协议新建的正向会话数，包括五元组会话和EIM会话
Total/TCP/UDP/ICMP reverse sessions	当前各个协议新建的反向会话总数/TCP协议新建的反向会话数/UDP协议新建的反向会话数/ICMP协议新建的反向会话数，包括五元组会话和EIM会话
Total Users found	已上线的用户总数

【相关命令】

· display access-user（安全命令参考/UCM）

1.1.28 global-ip-pool

global-ip-pool命令用来添加一个公网地址成员。

undo global-ip-pool命令用来删除一个公网地址成员。

【命令】

global-ip-pool start-address end-address

undo global-ip-pool start-address

【缺省情况】

不存在公网地址成员。

【视图】

NAT端口块组视图

【缺省用户角色】

network-admin

【参数】

start-address end-address：公网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address；如果start-address和end-address相同，则表示只有一个地址。

【使用指导】

在NAT端口块静态映射中，端口基于公网地址成员的IP地址为私网地址成员的IP地址分配端口块。一个公网IP地址可对应的端口块个数，由端口块组配置的公网地址端口范围和端口块大小决定（端口范围除以端口块大小）。

一个端口块组内，一次添加的公网地址成员的数量不能超过256个，且各公网地址成员之间的IP地址不能重叠。

使用接口NAT方式进行地址转换的情况下，请注意：

不同端口块组间的公网地址成员的IP地址可以重叠，但要保证在有地址重叠时端口范围不重叠。

使用全局NAT方式进行地址转换时，不同端口块组间的公网地址成员的IP地址不可以重叠。

【举例】

# 在端口块组1中添加一个公网地址成员，IP地址从202.10.1.1到202.10.1.10。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] global-ip-pool 202.10.1.1 202.10.1.10

【相关命令】

· nat instance

· nat port-block-group

1.1.29 inside ip

inside ip命令用来添加一个内部服务器组成员。

undo inside ip命令用来删除一个内部服务器组成员。

【命令】

inside ip inside-ip port port-number [ weight weight-value ]

undo inside ip inside-ip port port-number

【缺省情况】

内部服务器组内没有内部服务器组成员。

【视图】

内部服务器组视图

【缺省用户角色】

network-admin

【参数】

inside-ip：内部服务器组成员的IP地址。

port port-number：内部服务器组成员提供服务的端口号，取值范围为1～65535。

weight weight-value：内部服务器组成员的权重。weight-value表示权值，取值范围为1～1000，缺省值为100。内部服务器组成员按照权重比例对外提供服务，权重值越大的内部服务器组成员对外提供服务的比重越大。

【举例】

# 为内部服务器组1添加一个内部服务器组成员，其IP地址为10.1.1.2，服务端口号为30。

<Sysname> system-view

[Sysname] nat server-group 1

[Sysname-nat-server-group-1] inside ip 10.1.1.2 port 30

【相关命令】

· nat server-group

1.1.30 ip-usage-threshold

ip-usage-threshold命令用来配置全局NAT地址池的地址段申请阈值和释放阈值。

undo ip-usage-threshold命令用来恢复缺省情况。

【命令】

ip-usage-threshold upper-limit upper-value lower-limit lower-value

undo ip-usage-threshold

【缺省情况】

全局NAT地址池的地址段申请阈值为80%，释放阈值为20%。

【视图】

全局NAT地址池视图

【缺省用户角色】

network-admin

【参数】

upper-value：指定全局NAT地址池的地址段申请阈值，取值范围为1～100，单位为百分比。

lower-value：指定全局NAT地址池的地址段释放阈值，取值范围为0～99，单位为百分比。lower-value配置值必须小于upper-value配置值。

【使用指导】

NAT地址组与全局NAT地址池绑定后，当NAT地址组的地址使用率大于等于申请阈值时，该NAT地址组向绑定的全局NAT地址池申请扩展地址段；当NAT地址组中地址的使用率小于释放阈值时，该NAT地址组向全局NAT地址池释放未被使用的扩展地址段。

动态全局NAT地址池与DHCP服务器上的IP地址池绑定后，NAT设备周期性统计动态全局NAT地址池的地址使用率，当动态全局NAT地址池的地址使用率大于等于申请阈值时，CP向DHCP服务器发送地址段申请消息，向DHCP服务器申请地址段；当动态全局NAT地址池的地址使用率小于释放阈值时，CP设备通知DHCP服务器回收空闲的地址段。

建议采用缺省的全局NAT地址池的地址段申请和释放阈值。如需设置全局NAT地址池的地址段申请和释放阈值，请将upper-value和lower-value的差值设置在60%以上。

【举例】

# 配置全局NAT地址池pool1的地址段申请阈值为90%，释放阈值为20%。

<Sysname> system-view

[Sysname] nat ip-pool pool1

[Sysname-nat-ip-pool-pool1] ip-usage-threshold upper-limit 90 lower-limit 20

【相关命令】

· nat ip-pool

· section

· subnet length

1.1.31 local-ip-address

local-ip-address命令用来添加私网地址成员。

undo local-ip-address命令用来删除私网地址成员。

【命令】

local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]

undo local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在私网地址成员。

【视图】

NAT端口块组视图

【缺省用户角色】

network-admin

【参数】

start-address end-address：私网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address；如果start-address和end-address相同，则表示只有一个地址。

vpn-instance vpn-instance-name：私网地址成员所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示私网地址成员不属于任何一个VPN实例。

【使用指导】

私网地址成员的IP地址作为端口块的使用者，基于端口块组配置的公网地址成员的IP地址为其分配端口块。在一个端口块组内，一个私网IP地址只分配一个端口块。

同一个端口块组内，可配置多个私网地址成员：

· 属于同一VPN实例的各私网地址成员之间的IP地址不能重叠。

· 不属于任何VPN实例的私网地址成员之间的IP地址不能重叠。

不同端口块组内，执行本命令且指定相同的VPN实例时，配置的私网地址成员的IP地址不要重叠，否则可能导致无法正确处理NAT业务。

如果一个端口块组中的私网地址总数超过可分配的端口块总数（端口范围除以端口块大小），则在进行NAT端口块静态映射时，超出部分的私网地址将无法分配到端口块。

【举例】

# 在端口块组1中添加一个私网地址成员，IP地址从172.16.1.1到172.16.1.255，所属VPN实例为vpn1。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] local-ip-address 172.16.1.1 172.16.1.255 vpn-instance vpn1

【相关命令】

· nat port-block-group

1.1.32 nat address-group

nat address-group命令用来创建地址组，并进入地址组视图。如果指定的地址组已经存在，则直接进入地址组视图。

undo nat address-group命令用来删除指定的地址组。

【命令】

nat address-group group-id

undo nat address-group group-id

【缺省情况】

不存在地址组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-id：地址组编号，取值范围为0～65535。

【使用指导】

一个地址组是多个地址组成员的集合，各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时，其源地址将被转换为地址组成员中的某个地址。

地址组被地址转换的配置引用时，无法通过undo nat address-group命令删除该地址组。

【举例】

# 创建一个地址组，编号为1。

<Sysname> system-view

[Sysname] nat address-group 1

【相关命令】

· address

· display nat address-group

· display nat all

· nat outbound

1.1.33 nat address-group bind-ip-pool

nat address-group bind-ip-pool命令用来配置NAT地址组与全局NAT地址池绑定。

undo nat address-group bind-ip-pool命令用来取消NAT地址组与全局NAT地址池的绑定关系。

【命令】

nat address-group group-id bind-ip-pool pool-name

undo nat address-group group-id bind-ip-pool

【缺省情况】

NAT地址组未绑定任何全局NAT地址池。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【参数】

group-id：地址组编号，取值范围为0-65535。

pool-name：全局NAT地址池名称，为1～31个字符的字符串，区分大小写。如果地址池名称中包含空格，则必须在地址池名称两端加双引号，例如"pool 1"。引用的全局NAT地址池必须已经存在。

【使用指导】

将NAT地址组与全局NAT地址池绑定后，全局NAT地址池将NAT地址组分配初始网段。对于全局NAT负载分担的情况，初始网段的分配规则如下：

· 在NAT与BRAS联动的场景中，NAT地址组根据NAT实例所关联的业务实例组中备份组的数量向全局NAT地址池申请相应数量的初始网段。即不同的备份组使用不同地址范围的初始网段。

· 非联动场景中，NAT地址组向全局NAT地址池申请一个初始网段，即NAT实例所关联的业务实例组中的所有备份组共用一个初始网段。

对于全局NAT非负载分担的情况，不管何种场景，NAT地址组仅向全局NAT地址池申请一个初始网段。

满足如下条件之一的NAT地址组才能与全局NAT地址池绑定：

· NAT地址组中通过port-block命令配置了端口块参数。

· NAT地址组中通过port-single-alloc命令配置了逐端口分配方式。

NAT地址组与全局NAT地址池绑定后，不允许执行如下操作：

· 通过address命令向该NAT地址组中添加地址成员。

· 取消该NAT地址组与全局NAT地址池的绑定条件，包括：

¡ 取消NAT地址组中端口块参数的配置。

¡ 将NAT地址组中端口分配方式修改为端口复用分配方式。

· NO-PAT方式的出方向动态地址转换规则中指定该地址组。

同一个NAT实例中，将NAT地址组与全局NAT地址池绑定或取消绑定关系时，需要注意：

· 同一个NAT地址组只能绑定一个全局NAT地址池，不同的NAT地址组可以绑定同一个全局NAT地址池。

· NAT实例中有用户在线的情况下，不允许取消NAT地址组与全局NAT地址池的绑定关系。

· NAT实例下存在引用NAT地址组的nat outbound配置时，不允许取消NAT地址组与全局NAT地址池的绑定关系。

· 如果NAT实例关联的业务实例组中绑定了跨系统板间业务备份的备份组，对应的NAT实例视图下不允许将NAT地址组与静态全局NAT地址池绑定。反之，如果NAT实例视图下将NAT地址组与静态全局NAT地址池绑定后，关联的业务实例组不能绑定跨系统板间业务备份的备份组。关于跨系统板间业务备份的备份组的详细介绍，请参见“可靠性配置指导”中的“备份组”。

· NAT实例下配置cu warm-standby-mode enable命令后，NAT地址组绑定的全局NAT地址池下不能配置up-backup命令，否则不允许NAT地址组与全局NAT地址池绑定。

全局NAT负载分担方式下，NAT地址组与某个全局NAT地址池绑定后，不允许其他NAT实例下的NAT地址组再与该全局NAT地址池绑定。

【举例】

# 配置NAT地址组1与全局NAT地址池pool1绑定。

<Sysname> system-view

[Sysname] nat instance cgn1 id 1

[Sysname-nat-instance-cgn1] nat address-group 1 bind-ip-pool pool1

【相关命令】

· cu warm-standby-mode enable

· ip-usage-threshold

· nat ip-pool

· subnet length

1.1.34 nat address-group-usage threshold

nat address-group-usage threshold命令用来配置NAT地址组资源使用率的告警阈值。

undo nat address-group-usage threshold命令用来恢复缺省情况。

【命令】

nat address-group-usage threshold threshold-value

undo nat address-group-usage threshold

【缺省情况】

NAT地址组资源使用率告警阈值为90%。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

threshold-value：NAT地址组资源使用率的告警阈值，取值范围为40～100，单位为百分比。

【使用指导】

当NAT地址组资源的使用率大于或等于设定的告警阈值时，系统将会输出日志信息进行预警。当NAT地址组资源的使用率小于设定的告警阈值的87.5%时，系统会输出资源使用率恢复日志信息。

只有开启NAT的告警功能（通过snmp-agent trap enable nat address-group-usage）之后，本命令才能生效。

【举例】

# 配置NAT地址组资源使用率的告警阈值为80%。

<Sysname> system-view

[Sysname] nat address-group-usage threshold 80

【相关命令】

· snmp-agent trap enable nat

1.1.35 nat alg

nat alg命令用来开启指定或所有协议类型的NAT ALG功能。

undo nat alg命令用来关闭指定或所有协议类型的NAT ALG功能。

【命令】

nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }

undo nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }

【缺省情况】

FTP协议、ICMP差错控制报文和RTSP协议的NAT ALG功能处于开启状态，其他协议类型的NAT ALG功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

all：所有可指定的协议的ALG功能。

dns：表示DNS协议的ALG功能。

ftp：表示FTP协议的ALG功能。

h323：表示H323协议的ALG功能。

icmp-error：表示ICMP差错控制报文的ALG功能。

ils：表示ILS（Internet Locator Service，互联网定位服务）协议的ALG功能。

mgcp：表示MGCP（Media Gateway Control Protocol，媒体网关控制协议）协议的ALG功能。

nbt：表示NBT（NetBIOS over TCP/IP，基于TCP/IP的网络基本输入输出系统）协议的ALG功能。

pptp：表示PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议）协议的ALG功能。

rsh：表示RSH（Remote Shell，远程外壳）协议的ALG功能。

rtsp：表示RTSP（Real Time Streaming Protocol，实时流协议）协议的ALG功能。

sccp：表示SCCP（Skinny Client Control Protocol，瘦小客户端控制协议）协议的ALG功能。

sip：表示SIP（Session Initiation Protocol，会话初始协议）协议的ALG功能。

sqlnet：表示SQLNET协议的ALG功能。

tftp：表示TFTP协议的ALG功能。

xdmcp：表示XDMCP（X Display Manager Control Protocol，X显示监控）协议的ALG功能。

【使用指导】

ALG（Application Level Gateway，应用层网关）主要完成对应用层报文的解析和处理。通常情况下，NAT只对报文头中的IP地址和端口信息进行转换，不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议，它们的报文的数据载荷中可能包含IP地址或端口信息，这些载荷信息也必须进行有效的转换，否则可能导致功能不正常。

例如，FTP应用由数据连接和控制连接共同完成，而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定，这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换，以保证后续数据连接的正确建立。

如果使用nat mapping-behavior endpoint-independent命令配置了在PAT方式出方向地址转换中仅创建EIM表项（即未指定tcp-5-tuple、udp-5-tuple参数），则无法配置nat alg h323命令。

【举例】

# 开启FTP协议的ALG功能。

<Sysname> system-view

[Sysname] nat alg ftp

【相关命令】

· display nat all

· nat mapping-behavior endpoint-independent

1.1.36 nat centralized-backup switchback delay

nat centralized-backup switchback delay命令用来配置集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间。

undo nat centralized-backup switchback delay命令用来恢复缺省情况。

【命令】

nat centralized-backup switchback delay delay-time

undo nat centralized-backup switchback delay

【缺省情况】

集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间为60秒。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【参数】

delay-time：延迟时间，取值范围为0～1800秒。设置为0表示分布式部署CGN的设备可用时，流量立刻从集中式备份分布式CGN设备上回切到该设备上。

【使用指导】

在集中式备份分布式CGN场景中，当分布式部署的CGN单板发生故障时，流量切换到集中式部署CGN单板的设备上，由集中式部署的CGN单板负责进行地址转换。当分布式部署的CGN单板故障恢复时，流量回切到分布式部署CGN单板的设备上进行地址转换。使用本命令可以控制流量回切的延迟时间。

回切延迟时间的配置建议如下：

· 通常情况下，建议用户使用缺省值。

· 集中式备份分布式CGN叠加全局NAT业务负载分担的场景中，当流量回切时，可能会出现回切初始阶段未能将流量均匀地分配到负载分担组中的各个备份组、后续重新分配流量的情况，导致在某个CGN单板上建立部分用户的会话表或EIM表建立后被删除，重新在其他CGN单板上建立这部分用户的用户表或EIM表。为了让NAT有足够的时间将流量均匀地分配到负载分担组中的各个备份组中，可以适当增加回切延迟时间。

只有开启集中式备份分布式CGN功能（通过nat centralized-backup enable命令）之后，才能配置本命令。

【举例】

# 配置集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间为80秒。

<Sysname> system-view

[Sysname] nat instance cgn1 id 1

[Sysname-nat-instance-cgn1] nat centralized-backup enable

[Sysname-nat-instance-cgn1] nat centralized-backup switchback delay 80

【相关命令】

· nat centralized-backup enable

1.1.37 nat dns-map

nat dns-map命令用来配置一条域名到内部服务器的映射。

undo nat dns-map命令用来删除一条域名到内部服务器的映射。

【命令】

nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port

undo nat dns-map domain domain-name

【缺省情况】

不存在域名到内部服务器的映射。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

domain domain-name：指定内部服务器的合法域名。domain-name表示内部服务器的域名，由“.”分隔的字符串组成（如aabbcc.com），每个字符串的长度不超过63个字符，包括“.”在内的总长度不超过253个字符。不区分大小写，字符串中可以包含字母、数字、“-”、“_”或“.”。

protocol pro-type：指定内部服务器的协议类型。pro-type表示具体的协议类型，取值为tcp或udp。

interface interface-type interface-number：表示使用指定接口的地址作为内部服务器的外网地址。interface-type interface-number表示接口类型和接口编号。

ip global-ip：指定内部服务器提供给外部网络访问的IP地址。global-ip表示外网IP地址。

port global-port：指定内部服务器提供给外部网络访问的服务端口号，可输入的形式如下：

· 数字：取值范围为1～65535。

· 协议名称：为1～15个字符的字符串，例如ftp、telnet等。

【使用指导】

NAT的DNS mapping功能需要和内部服务器配合使用，主要应用于DNS服务器在外网，应用服务器在内网（在NAT设备上有对应的nat server配置），内网用户需要通过域名访问内网应用服务器的场景。NAT设备对来自外网的DNS响应报文进行DNS ALG处理时，由于载荷中只包含域名和应用服务器的外网IP地址（不包含传输协议类型和端口号），当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时，DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置，指定域名与应用服务器的外网IP地址、端口和协议的映射关系，由域名获取应用服务器的外网IP地址、端口和协议，进而（在当前NAT接口上）精确匹配内部服务器配置获取应用服务器的内网IP地址。

设备可支持配置多条域名到内部服务器的映射。

【举例】

# 某公司内部对外提供Web服务，内部服务器的域名为www.server.com，对外的IP地址为202.112.0.1，服务端口号为12345。配置一条域名到内部服务器的映射，使得公司内部用户可以通过域名访问内部Web服务器。

<Sysname> system-view

[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port 12345

【相关命令】

· display nat all

· display nat dns-map

· nat server

1.1.38 nat extended-port-block report-radius enable

nat extended-port-block report-radius enable命令用来开启NAT设备将用户私网IP与扩展端口块的映射关系上报给RADIUS服务器的功能。

undo nat extended-port-block report-radius enable命令用来恢复缺省情况。

【命令】

nat extended-port-block report-radius enable

undo nat extended-port-block report-radius enable

【缺省情况】

NAT设备将用户私网IP与扩展端口块的映射关系上报给RADIUS服务器的功能处于关闭状态。

【视图】

系统视图

NAT实例视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

在NAT与BRAS联动的场景中，用户通过RADIUS认证并分配得到私网地址之后，设备会为其预先分配公网IP和端口块，并创建地址映射关系，然后通过RADIUS报文将上线用户获得的私网IP地址及其对应的公网IP和端口块等信息上报给RADIUS服务器。RADIUS服务器获得用户的地址映射关系后，将这些信息记录到在线用户信息中，以提供用户溯源服务。之后，如果用户向公网发起的连接使用了增量端口块，设备并不会将私网IP地址及其对应的公网IP和扩展端口块等信息上报给RADIUS服务器，导致无法对使用增量端口块的用户进行溯源。开启本功能可以避免上述问题的产生。

全局NAT配置环境下，本功能在NAT实例视图下开启。接口NAT配置环境下，本功能在系统视图下开启。

当存在PPPoE或IPoE在线用户时，无法改变本功能的开启或关闭状态。

在系统视图下，本命令与nat instance命令互斥，不能同时配置。

【举例】

# 开启NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] port-block block-size 256 extended-block-number 1

[Sysname-address-group-2] quit

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound 2001 address-group 2

[Sysname-GigabitEthernet3/1/1] quit

[Sysname] nat extended-port-block report-radius enable

【相关命令】

· nat instance

· port-block block-size

1.1.39 nat gratuitous-arp-reply enable

nat gratuitous-arp-reply enable命令用来开启NAT设备收到免费ARP报文时的应答能力。

undo nat gratuitous-arp-reply enable命令用来关闭NAT设备收到免费ARP报文时的应答能力。

【命令】

nat gratuitous-arp-reply enable

undo nat gratuitous-arp-reply enable

【缺省情况】

NAT收到免费ARP报文时的应答能力处于开启状态。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下，NAT设备收到同一网络中其他设备发送的免费ARP报文后，如果报文中携带的IP地址与NAT设备上的NAT地址相同，NAT设备将发送ARP应答报文。发送免费ARP报文的设备收到应答报文即认为IP地址发生冲突，那么设备将不会使用该IP地址，并打印日志提示管理员修改IP地址。

在同一网络中，已经保证其他设备上的地址不会与NAT设备上的地址冲突的情况下，可以配置undo nat gratuitous-arp reply enable命令，关闭NAT设备收到免费ARP报文时的应答能力，以减少NAT设备向网络中发送ARP应答报文的数量。

【举例】

# 关闭NAT设备收到免费ARP报文时的应答能力。

<Sysname> system-view

[Sysname] nat instance inst id 1

[Sysname-nat-instance-inst] undo nat gratuitous-arp reply enable

【相关命令】

· display nat instance

1.1.40 nat hairpin enable

nat hairpin enable命令用来开启NAT hairpin功能。

undo nat hairpin enable用来关闭NAT hairpin功能。

【命令】

nat hairpin enable

undo nat hairpin enable

【缺省情况】

NAT hairpin功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

NAT hairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求，需要与内部服务器（nat server）、出方向动态地址转换（nat outbound）或出方向静态地址转换（nat static outbound）配合工作。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。

在接口视图下配置本命令后，将无法在系统视图下配置nat instance命令。反之，如果在系统视图下配置了nat instance命令，将无法在接口视图下配置本命令。

【举例】

# 在GigabitEthernet3/1/1接口下开启NAT hairpin功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat hairpin enable

【相关命令】

· display nat all

· nat instance

1.1.41 nat instance

nat instance命令用来创建NAT实例并进入NAT实例视图。如果指定的NAT实例已经存在，则直接进入NAT实例视图。

undo nat instance命令用来删除指定的NAT实例。

【命令】

nat instance instance-name [ id id ]

undo nat instance instance-name

【缺省情况】

不存在任何NAT实例。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

instance-name：NAT实例名称，长度为1～31个字符的字符串，区分大小写。如果该值中包含空格，需要在值的首末添加英文格式的引号，形如"xxx xxx"。

id id：表示NAT实例编号，取值范围为1～127。创建NAT实例时，该参数为必选；进入已经存在的NAT实例时，该参数可选。

【使用指导】

根据NAT规则的应用范围，将NAT地址转换方式为全局NAT：

· 接口NAT。该方式下，需要在接口上配置静态地址转换、接口上的动态地址转换等NAT规则。此种方式适用于出接口比较固定的场景。

· 全局NAT。该方式下，需要配置NAT实例，并在NAT实例中配置NAT规则以及指定与该NAT实例关联的业务实例组，同时还需要通过QoS策略将需要进行地址转换的流量引到NAT实例中，由NAT实例关联的业务实例组中的slot进行地址转换。此种方式适用于出接口不固定的场景，当出接口发生变化时，用户无需更改相关配置。

NAT实例满足如下条件时才能生效：

· NAT实例与业务实例组关联。

· NAT实例关联的业务实例组和备份组关联，且该备份组中的主节点可以正常处理业务。

创建或删除NAT实例时，需要注意：

· NAT实例名称与实例编号一一对应，不同名称的NAT实例不能使用同一个编号。

· 如果已经有与某NAT实例绑定的用户上线，则无法删除该NAT实例。

· 创建NAT实例后，无法配置如下命令：

¡ failover-group（NAT地址组视图/NAT端口块组视图）

¡ nat centralized-backup enable（系统视图）

¡ nat extended-port-block report-radius enable（系统视图）

¡ nat hairpin enable（接口视图）

¡ nat outbound（接口视图）

¡ nat outbound ds-lite-b4（接口视图）

¡ nat outbound easy-ip failover-group（接口视图）

¡ nat outbound port-block-group（接口视图）

¡ nat port-block flow-trigger enable（系统视图）

¡ nat server（接口视图）

¡ nat service（接口视图）

¡ nat static enable（接口视图）

【举例】

# 创建一个NAT实例，名称为cgn1，实例编号为1，并进入该NAT实例的视图。

<Sysname> system-view

[Sysname] nat instance cgn1 id 1

[Sysname-nat-instance-cgn1]

【相关命令】

· display nat instance

· failover-group

· nat centralized-backup enable

· nat extended-port-block report-radius enable

· nat hairpin enable

· nat outbound

· nat outbound ds-lite-b4

· nat outbound easy-ip failover-group

· nat outbound port-block-group

· nat port-block flow-trigger enable

· nat server

· nat service

· nat static enable

1.1.42 nat ip-pool

nat ip-pool命令用来创建全局NAT地址池，并进入全局NAT地址池视图。如果指定的全局NAT地址池已经存在，则直接进入全局NAT地址池视图。

undo nat ip-pool命令用来删除指定的全局NAT地址池以及全局NAT地址池视图下的所有配置。

【命令】

nat ip-pool pool-name [ dynamic [ backup ] ]

undo nat ip-pool pool-name

【缺省情况】

不存在全局NAT地址池。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

pool-name：全局NAT地址池名称，为1～31个字符的字符串，区分大小写。如果地址池名称中包含空格，则必须在地址池名称两端加双引号，例如"pool 1"。

dynamic：指定全局地址池为动态地址池，如果未指定本参数，那么该全局地址池为静态地址池。

backup：指定该全局地址池为备份地址池。只能在备份UP设备上配置本参数。

【使用指导】

全局NAT地址池是公网IPv4地址的集合，分为静态全局地址池和动态全局地址池：

· 静态全局地址池，由NAT模块为单台设备提供统一的地址池管理功能。其工作机制如下：

¡ 将NAT地址组与静态全局NAT地址池绑定后，全局NAT地址池将为该NAT地址组分配初始网段。

¡ 对于内网用户向公网发起的首次连接，NAT设备使用静态全局NAT地址池为NAT地址组分配的初始网段中的地址进行地址转换。

¡ 当NAT地址组中初始网段地址的使用率大于等于申请阈值时，向全局NAT地址池申请扩展地址段；当NAT地址组中地址的使用率小于释放阈值时，向全局NAT地址池释放未被使用的扩展地址段。

· 动态全局地址池，用于在转发与控制分离组网中为所有UP设备提供统一的NAT地址申请与管理功能。在UP上将动态全局NAT地址池与DHCP服务器上的IP地址池或地址池组绑定，当CP接收到UP的地址申请时，CP向DHCP服务器上的IP地址池或地址池组动态申请公网IP地址，由DHCP服务器提供地址池管理功能，实现不同的NAT设备共享同一个地址池的地址资源。

对于备份UP设备，仅当前其切换为主UP时，其上的全局备份NAT地址池才能生效。

存在NAT地址组绑定全局NAT地址池的配置时，不允许删除此全局NAT地址池。

不能通过重复执行本命令修改全局NAT地址池的类型。如需修改，请先通过undo nat ip-pool命令删除已经创建的静态或动态全局NAT地址池，再执行nat ip-pool命令创建新的全局NAT地址池。

【举例】

# 创建一个静态全局NAT地址池，名称为pool1，并进入全局NAT地址池的视图。

<sysname> system-view

[sysname] nat ip-pool pool1

[sysname-nat-ip-pool-pool1]

【相关命令】

· bind dhcp-server-pool

· ip-usage-threshold

· nat instance

· section

· subnet length

1.1.43 nat log bandwidth-usage threshold

nat log bandwidth-usage threshold命令用来配置CGN单板带宽使用率的告警阈值。

undo nat log bandwidth-usage threshold命令用来恢复缺省情况。

【命令】

nat log bandwidth-usage threshold threshold-value

undo nat log bandwidth-usage threshold

【缺省情况】

CGN单板带宽使用率的告警阈值为90%。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

threshold-value：CGN单板带宽使用率的告警阈值，取值范围为20～100，单位为百分比。

【使用指导】

当CGN单板带宽使用率大于或等于设定的告警阈值时，系统将会输出日志信息进行预警。当CGN单板带宽使用率小于设定的告警阈值的87.5%时，系统会输出带宽使用率恢复日志信息。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 配置CGN单板带宽使用率的告警阈值为80%。

<Sysname> system-view

[Sysname] nat log bandwidth-usage threshold 80

【相关命令】

· nat log enable

1.1.44 nat log enable

nat log enable命令用来开启NAT日志功能。

undo nat log enable用来关闭NAT日志功能。

【命令】

nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat log enable

【缺省情况】

NAT日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

acl：指定ACL的编号或名称。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

【使用指导】

必须开启NAT日志功能，NAT会话日志功能（包括NAT新建会话、NAT删除会话和NAT活跃流的日志功能）、NAT用户日志功能（包括NAT端口块分配和NAT端口块回收的日志功能）和NAT告警信息日志功能才能生效。

acl参数只对NAT会话日志功能有效，对其他NAT日志功能无效。如果指定了ACL，则只有符合ACL permit规则的数据流才有可能触发输出NAT会话日志；如果没有指定ACL，则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。

【举例】

# 开启NAT日志功能。

<Sysname> system-view

[Sysname] nat log enable

【相关命令】

· display nat all

· display nat log

· nat log flow-active

· nat log flow-begin

· nat log flow-end

· nat log port-alloc-fail

· nat log port-block-alloc-fail

· nat log port-block-assign

· nat log port-block-withdraw

1.1.45 nat log flow-active

nat log flow-active命令用来开启NAT活跃流日志功能，并设置生成活跃流日志的时间间隔。

undo nat log flow-active命令用来关闭NAT活跃流的日志功能。

【命令】

nat log flow-active time-value

undo nat log flow-active

【缺省情况】

NAT活跃流的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

time-value：表示触发输出NAT活跃流日志的时间间隔，取值范围为10～120，单位为分钟。

【使用指导】

对于一些长时间没有断开的NAT会话（即活跃流），如果需要定期记录其连接情况，则可以通过活跃流日志功能来实现。

开启NAT活跃流日志功能后，对于NAT活跃流，每经过指定的时间间隔，设备就会记录一次NAT日志。

只有开启NAT日志功能（通过nat log enable命令）之后，活跃流日志功能才能生效。

【举例】

# 开启NAT活跃流日志功能，并设置输出NAT活跃流日志的时间间隔为10分钟。

<Sysname> system-view

[Sysname] nat log flow-active 10

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.46 nat log flow-begin

nat log flow-begin命令用来开启NAT新建会话的日志功能，即新建NAT会话时，输出NAT日志。

undo nat log flow-begin命令用来关闭NAT新建会话的日志功能。

【命令】

nat log flow-begin

undo nat log flow-begin

【缺省情况】

NAT新建会话的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

只有开启NAT日志功能（通过nat log enable命令）之后，NAT新建会话的日志功能才能生效。

【举例】

# 开启NAT新建会话的日志功能。

<Sysname> system-view

[Sysname] nat log flow-begin

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.47 nat log flow-end

nat log flow-end命令用来开启NAT删除会话的日志功能。

undo nat log flow-end命令用来关闭NAT删除会话的日志功能。

【命令】

nat log flow-end

undo nat log flow-end

【缺省情况】

NAT删除会话的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

只有开启NAT日志功能（通过nat log enable命令）之后，NAT删除会话的日志功能才能生效。

【举例】

# 开启NAT删除会话的日志功能。

<Sysname> system-view

[Sysname] nat log flow-end

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.48 nat log ip-alloc-fail

nat log ip-alloc-fail命令用来开启全局NAT地址池中地址分配失败的日志功能。

undo nat log ip-alloc-fail命令用来关闭全局NAT地址池中地址分配失败的日志功能。

【命令】

nat log ip-alloc-fail

undo nat log ip-alloc-fail

【缺省情况】

全局NAT地址池中地址分配失败的日志功能处于关闭状态。

【视图】

全局NAT地址池视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，当全局NAT地址池中的地址资源耗尽无法进行地址分配时，系统将会输出日志信息进行预警。当全局NAT地址池中地址使用率降低至87.5%时，系统也会输出日志进行提示。

只有开启NAT日志功能（通过nat log enable命令）之后，本功能才能生效。

【举例】

# 开启全局NAT地址池中地址分配失败的日志功能。

<Sysname> system-view

[Sysname] nat ip-pool pool1

[Sysname-nat-ip-pool-pool1] nat log ip-alloc-fail

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.49 nat log ip-usage threshold

nat log ip-usage threshold命令用来配置全局NAT地址池中地址使用率的阈值。

undo nat log ip-usage threshold命令用来恢复缺省情况。

【命令】

nat log ip-usage threshold value

undo nat log ip-usage threshold

【缺省情况】

全局NAT地址池中地址使用率阈值为80%。

【视图】

全局NAT地址池视图

【缺省用户角色】

network-admin

【参数】

value：全局NAT地址池中地址使用率阈值，取值范围为60～100，单位为百分比。

【使用指导】

当全局NAT地址池中的地址使用率超过设定的阈值时，系统将会输出日志信息进行预警。当全局NAT地址池中的地址的使用率降低到value的87.5%时，系统也会输出日志进行提示。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 配置名称为pool1的全局NAT地址池中地址使用率的阈值为70%。

<Sysname> system-view

[Sysname] nat ip-pool pool1

[Sysname-nat-ip-pool-pool1] nat log ip-usage threshold 70

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.50 nat log port-alloc-fail

nat log port-alloc-fail命令用来开启NAT端口分配失败的日志功能。

undo nat log port-alloc-fail命令用来关闭NAT端口分配失败的日志功能。

【命令】

nat log port-alloc-fail

undo nat log port-alloc-fail

【缺省情况】

NAT端口分配失败的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，当动态方式的NAT地址转换发生端口分配失败的情况时，系统会输出端口分配失败的日志。通常，端口块中所有的端口资源都被占用时会导致端口分配失败。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 开启NAT端口分配失败的日志功能。

<Sysname> system-view

[Sysname] nat log port-alloc-fail

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.51 nat log port-block port-usage threshold

nat log port-block port-usage threshold命令用来开启NAT端口块中端口使用率的日志信息功能，并设置NAT端口使用率的阈值。

undo nat log port-block port-usage threshold命令用来关闭NAT端口块中端口使用率的日志信息功能。

【命令】

nat log port-block port-usage threshold value

undo nat log port-block port-usage threshold

【缺省情况】

NAT端口块中端口使用率的日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

value：告警阈值，取值范围为40～100，单位为百分比。

【使用指导】

开启本功能后，当端口块中端口数的使用率超过设定的百分比时，系统将会输出日志信息。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 开启NAT端口块中端口使用率的日志信息功能，并设置NAT端口使用率的阈值为90%。

<Sysname> system-view

[Sysname] nat log port-block port-usage threshold 90

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.52 nat log port-block usage threshold

nat log port-block usage threshold命令用来配置NAT端口块使用率的阈值。

undo nat log port-block usage threshold命令恢复缺省情况。

【命令】

nat log port-block usage threshold value

undo nat log port-block usage threshold

【缺省情况】

NAT端口块使用率的阈值为90%。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

value：端口块使用率的阈值，取值范围为40～100，单位为百分比。

【使用指导】

当端口块的使用率超过设定的百分比时，系统将会输出日志信息。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 配置NAT端口块的使用率告警阈值为80%。

<Sysname> system-view

[Sysname] nat log port-block usage threshold 80

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.53 nat log port-block-alloc-fail

nat log port-block-alloc-fail命令用来开启NAT端口块分配失败的日志功能。

undo nat log port-block-alloc-fail命令用来关闭NAT端口块分配失败的日志功能。

【命令】

nat log port-block-alloc-fail

undo nat log port-block-alloc-fail

【缺省情况】

NAT端口块分配失败的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启本功能后，当NAT端口块地址转换发生端口块分配失败的情况时，系统会输出端口块分配失败的日志。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 开启NAT端口块分配失败的日志功能。

<Sysname> system-view

[Sysname] nat log port-block-alloc-fail

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.54 nat log port-block-assign

nat log port-block-assign命令用来开启端口块分配的NAT用户日志功能。

undo nat log port-block-assign命令用来关闭端口块分配的NAT用户日志功能。

【命令】

nat log port-block-assign

undo nat log port-block-assign

【缺省情况】

端口块分配的NAT用户日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

端口块静态映射方式下，在某私网IP地址的第一个新建连接通过端口块进行地址转换时，如果开启了端口块分配的NAT用户日志功能，则会输出日志。

端口块动态映射方式下，在为某私网IP地址分配端口块或增量端口块时，如果开启了端口块分配的NAT用户日志功能，则会输出日志。

只有开启NAT日志功能（通过nat log enable命令）之后，端口块分配的NAT用户日志功能才能生效。

【举例】

# 开启端口块分配的NAT用户日志功能。

<Sysname> system-view

[Sysname] nat log port-block-assign

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.55 nat log port-block-withdraw

nat log port-block-withdraw命令用来开启端口块回收的NAT用户日志功能。

undo nat log port-block-withdraw命令用来关闭端口块回收的NAT用户日志功能。

【命令】

nat log port-block-withdraw

undo nat log port-block-withdraw

【缺省情况】

端口块回收的NAT用户日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

端口块静态映射方式下，在某私网IP地址的最后一个连接拆除时，如果开启了端口块回收的NAT用户日志功能，则会输出日志。

端口块动态映射方式下，在释放端口块资源（并删除端口块表项）时，如果开启了端口块回收的NAT用户日志功能，则会输出日志。

只有开启NAT日志功能（通过nat log enable命令）之后，端口块回收的NAT用户日志功能才能生效。

【举例】

# 开启端口块回收的NAT用户日志功能。

<Sysname> system-view

[Sysname] nat log port-block-withdraw

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.56 nat mapping-behavior endpoint-independent

nat mapping-behavior endpoint-independent命令用来配置PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping。

undo nat mapping-behavior endpoint-independent命令用来恢复缺省情况。

【命令】

nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *

undo nat mapping-behavior endpoint-independent

【缺省情况】

PAT出方向动态方式地址转换的模式为Connection-Dependent Mapping。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

tcp：表示配置设备为传输层协议类型为TCP的报文在PAT方式出方向地址转换创建EIM表项。

udp：表示配置设备为传输层协议类型为UDP的报文在PAT方式出方向地址转换创建EIM表项。

tcp-5-tuple：表示配置设备为传输层协议类型为TCP的报文在PAT方式出方向地址转换中创建五元组（源地址、源端口号、协议类型、目的地址、目的端口号）类型的会话表项。如果不指定该参数，则表示仅创建EIM表项。

udp-5-tuple：表示配置设备为传输层协议类型为UDP的报文在PAT方式出方向地址转换中创建五元组（源地址、源端口号、协议类型、目的地址、目的端口号）类型的会话表项。如果不指定该参数，则表示仅创建EIM表项。

【使用指导】

PAT方式出方向动态地址转换支持两种模式：

· Endpoint-Independent Mapping（不关心对端地址和端口的转换模式）：只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系会被记录下来并生成一个EIM表项；并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访。

· Connection-Dependent Mapping（关心对端地址和端口的非共享转换模式）：来自同一源地址和源端口号并且去往特定目的地址和端口号的报文，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号。同一源地址和源端口号并且去往不同目的地址和端口号的报文，通过PAT映射后，其源地址和源端口号被转换为不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是，这种模式安全性好，即NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。

创建EIM表项时，有如下配置约束：

· 接口NAT方式下，存在nat server、nat static outbound、nat static outbound net-to-net、nat alg h323中任意一种或几种配置的情况下，无法配置nat mapping-behavior endpoint-independent tcp和nat mapping-behavior endpoint-independent udp命令。

· 全局NAT方式下，存在nat alg h323配置的情况下，无法配置nat mapping-behavior endpoint-independent tcp和nat mapping-behavior endpoint-independent udp命令。

配置本命令后，对于ICMP报文，始终会创建EIM表项和五元组类型的会话表项。

存在NO-PAT方式的动态地址转换配置的情况下，配置PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping后，新增和当前已存在的NO-PAT方式的动态地址转换配置均无法生效。

【举例】

# 对TCP报文以Endpoint-Independent Mapping模式进行地址转换，且仅创建EIM表项。

<Sysname> system-view

[Sysname] nat mapping-behavior endpoint-independent tcp

【相关命令】

· display nat eim

· display nat eim statistics

· nat outbound

· nat server

· nat static outbound

· nat static outbound net-to-net

1.1.57 nat outbound

nat outbound命令用来配置出方向动态地址转换。

undo nat outbound命令用来删除指定的出方向动态地址转换。

【缺省情况】

不存在动态地址转换配置。

【命令】

· NO-PAT方式

nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] no-pat [ reversible ]

undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]

· PAT方式

nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ vpn-instance vpn-instance-name ] [ port-preserved ]

undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]

【视图】

接口视图

NAT实例视图

【缺省用户角色】

network-admin

【参数】

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

address-group group-id：指定地址转换使用的地址组。group-id为地址组的编号，取值范围为0～65535。如果不指定该参数，则直接使用该接口的IP地址作为转换后的地址，即实现Easy IP功能。

vpn-instance vpn-instance-name：指定地址组中的地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN中的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示地址组中的地址不属于任何一个VPN实例。

no-pat：表示使用NO-PAT方式进行转换，即转换时不使用报文的端口信息；如果未指定本参数，则表示使用PAT方式进行转换，即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文，由于ICMP报文没有端口的概念，我们将ICMP ID作为ICMP报文的源端口。

reversible：表示允许反向地址转换。即，在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下，允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。

port-preserved：PAT方式分配端口时尽量不转换端口。port-preserved参数对NAT端口块动态映射无效。

【使用指导】

一般情况下，出方向动态地址转换配置在和外部网络连接的接口上，一个接口下可同时配置多条出方向地址转换。动态地址转换有两种转换方式：

· PAT方式：对于从内网到外网的报文，如果符合ACL permit规则，则使用地址组中的地址或该接口的地址（Easy IP方式）进行源地址转换，同时转换源端口（IP1/port1转换为IP2/port2）；如果同时配置了PAT方式下的地址转换模式为EIM（Endpoint-Independent Mapping），则外网可以通过IP2/port2主动访问内网，NAT设备根据EIM表项转换目的地址和端口（IP2/port2转换为IP1/port1）。

· NO-PAT方式：对于从内网到外网的报文，如果符合ACL permit规则，则使用地址组中的地址进行源地址转换，不转换源端口（IP1转换为IP2）；如果同时配置了reversible，则允许外网通过IP2主动访问内网，对于此类报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并将目的地址转换为IP1，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能进行转换（将目的地址IP2转换为IP1），否则不予转换。NAT端口块动态映射不支持该方式。

指定出方向和入方向动态地址转换引用的地址组时，需要注意：

· 一个地址组被PAT方式的nat outbound配置引用后，不能再被NO-PAT方式的nat outbound配置引用，反之亦然。

· 如果PAT方式的nat outbound所引用的地址组中配置了端口范围和端口块参数，则将对匹配的报文进行NAT端口块动态映射。

· 当PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping时，NO-PAT方式的配置将无法生效。

指定出方向动态地址转换引用的ACL时，需要注意：

· 在一个接口下，一个ACL只能被一个nat outbound引用。

· 配置多条出方向动态地址转换时，只有一个nat outbound可以不引用ACL。

· 不指定ACL编号或名称的情况下，不对转换对象进行限制。

· 对于同一接口下的出方向动态地址转换配置，指定了ACL的配置的优先级高于未指定ACL的配置的优先级；对于指定了ACL的出方向动态地址转换配置，其生效优先级由ACL编号的大小决定，编号越大，优先级越高。

· NAT端口块动态映射环境下，在同一接口下新增出方向动态转换的配置时，如果已经有流量与已存在配置中的ACL规则匹配，那么新增配置中的ACL规则不要与已存在配置中的ACL规则有重叠。

在VPN组网中，配置出方向动态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

配置NAT实例中的出方向动态地址转换时，需要注意：

· 必须指定address-group参数。指定的地址组如果绑定了全局NAT地址池，那么必须在该绑定关系所属的全局NAT实例下配置出方向动态地址转换规则，且必须是PAT方式的动态地址转换规则。

· 与NAT实例关联的业务实例组关联了多个备份组时，不允许通过address命令向该NAT实例中出方向动态地址转换规则指定的地址组添加地址成员。

· 不同的NAT实例中的出方向动态地址转换不能使用同一个NAT地址组。

【举例】

# 配置ACL 2001，允许对10.110.10.0/24网段的主机报文进行地址转换。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Sysname-acl-ipv4-basic-2001] rule deny

[Sysname-acl-ipv4-basic-2001] quit

# 配置地址组1，并添加地址组成员：202.110.10.10、202.110.10.11、202.110.10.12。

[Sysname] nat address-group 1

[Sysname-address-group-1] address 202.110.10.10 202.110.10.12

[Sysname-address-group-1] quit

# 在接口GigabitEthernet3/1/1上配置出方向动态地址转换，允许对匹配ACL 2001的报文使用地址组1中的地址进行地址转换，且在转换的时候使用TCP/UDP的端口信息。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound 2001 address-group 1

[Sysname-GigabitEthernet3/1/1] quit

# 如果在接口GigabitEthernet3/1/1上不使用TCP/UDP的端口信息进行地址转换，可以使用如下配置。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound 2001 address-group 1 no-pat

[Sysname-GigabitEthernet3/1/1] quit

# 如果直接使用接口GigabitEthernet3/1/1接口的IP地址进行地址转换，可以使用如下的配置。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet 3/1/1] nat outbound 2001

[Sysname-GigabitEthernet 3/1/1] quit

# 内网10.110.10.0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络。如果要在内网用户向外网主动发起访问之后，允许外网用户主动向10.110.10.0/24网段的主机发起访问，并利用已建立的地址转换表项进行反向地址转换，可以使用如下配置。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound 2001 address-group 1 no-pat reversible

【相关命令】

· address

· display nat eim

· display nat outbound

· nat instance

· nat mapping-behavior

1.1.58 nat outbound ds-lite-b4

nat outbound ds-lite-b4命令用来配置DS-Lite B4端口块映射。

undo nat outbound ds-lite-b4命令用来删除指定的DS-Lite B4端口块映射。

【命令】

nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id

undo nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name }

【缺省情况】

不存在DS-Lite B4端口块映射。

【视图】

接口视图

NAT实例视图

【缺省用户角色】

network-admin

【参数】

ipv6-acl-number：用于匹配B4设备IPv6地址的IPv6 ACL编号，取值范围为2000～3999。

name ipv6-acl-name：用于匹配B4设备IPv6地址的IPv6 ACL名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

address-group group-id：指定地址转换使用的地址组。group-id为地址组的编号，取值范围为0～65535。

【使用指导】

在使用DS-Lite隧道技术实现通过IPv6网络连接IPv4网络的组网环境下，DS-Lite B4端口块映射配置在NAT网关设备连接外部网络的接口上，通常用于在NAT网关设备已知B4设备或DS-Lite主机的IPv6地址的情况下为DS-Lite用户提供NAT地址转换。

通过在NAT网关设备上配置DS-Lite B4地址转换，可以实现基于端口块的公网IP地址复用，使一个DS-Lite B4 IPv6地址在一个时间段内独占一个公网IP地址的某个端口块。

【举例】

# 配置IPv6 ACL 2100，允许对2000::/64网段的主机报文进行地址转换。

<Sysname> system-view

[Sysname] acl ipv6 basic 2100

[Sysname-acl-ipv6-basic-2100] rule permit source 2000::/64

[Sysname-acl-ipv6-basic-2100] quit

# 配置地址组1，并添加地址组成员：202.110.10.10～202.110.10.12。

[Sysname] nat address-group 1

[Sysname-nat-address-group-1] address 202.110.10.10 202.110.10.12

# 配置地址组1的端口块参数，端口块大小为256。

[Sysname-nat-address-group-1] port-block block-size 256

[Sysname-nat-address-group-1] quit

# 在接口GigabitEthernet3/1/1上配置DS-Lite B4端口块映射，允许对匹配IPv6 ACL 2100的报文使用地址组1中的地址进行地址转换。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound ds-lite-b4 2100 address-group 1

【相关命令】

· display nat outbound

· nat instance

1.1.59 nat outbound easy-ip failover-group

nat outbound easy-ip failover-group命令用来为Easy IP方式的动态地址转换指定备份组。

undo nat outbound easy-ip failover-group命令用来恢复缺省情况。

【命令】

nat outbound easy-ip failover-group group-name

undo nat outbound easy-ip failover-group

【缺省情况】

没有为Easy IP方式的动态地址转换指定备份组。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

group-name：备份组的名称，为1～63个字符的字符串，区分大小写。

【使用指导】

通过nat outbond命令配置的Easy IP方式的动态地址转换中，本命令用于将需要进行动态地址转换的流量引到指定的备份组进行处理。

本命令与nat service命令互斥，不能同时配置。

【举例】

# 在接口GigabitEthernet3/1/1上为出方向动态地址转换指定名字为nat-failover的备份组。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound easy-ip failover-group nat-failover

【相关命令】

· display nat outbound

· nat instance

· nat outbond

· nat service

1.1.60 nat outbound port-block-group

nat outbound port-block-group命令用来配置NAT端口块静态映射。

undo nat outbound port-block-group命令用来删除指定的NAT端口块静态映射配置。

【命令】

nat outbound port-block-group group-id

undo nat outbound port-block-group group-id

【缺省情况】

不存在NAT端口块静态映射配置。

【视图】

接口视图

NAT实例视图

【缺省用户角色】

network-admin

【参数】

group-id：端口块组的编号，取值范围为0～65535。

【使用指导】

NAT规则引用指定的端口块组后，根据端口块组内的配置数据，按照固定的算法为每个私网IP地址分配一个静态端口块并创建静态端口块表项。当某私网IP地址向公网发起连接时，通过该私网IP地址查找静态端口块表项，使用表项中记录的公网IP地址进行地址转换，并从对应的端口块中动态分配一个端口进行TCP/UDP端口转换。

一个接口下可以配置多条基于不同端口块组的NAT端口块静态映射。

不同的NAT实例不能引用同一个端口块组。

· 如下情况无法配置nat outbound port-block-group命令：

· 在接口视图下配置本命令后，将无法在系统视图下配置nat instance命令。反之，如果在系统视图下配置了nat instance命令，将无法在接口视图下配置本命令。

· 与NAT实例关联的业务实例组关联了多个备份组时，不允许在该NAT实例下配置本命令。反之，如果在NAT实例下配置了本命令，则与该NAT实例关联的业务实例组无法关联多个备份组。

· 在NAT实例下配置cu warm-standby-mode enable命令后，表明CGN备份方式为N:1温备，此种备份方式下，仅支持为联动上线的用户动态分配端口块，因此相应的NAT实例下无法配置nat outbound port-block-group命令。

【举例】

# 在接口GigabitEthernet3/1/1的出方向上配置基于端口组1的NAT端口块静态映射。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat outbound port-block-group 1

【相关命令】

· cu warm-standby-mode enable

· display nat all

· display nat outbound port-block-group

· display nat port-block

· nat instance

· nat port-block-group

1.1.61 nat per-global-ip user-limit

nat per-global-ip user-limit命令用来配置PAT模式或端口块方式下允许共享单个公网IP的私网用户的最大数目。

undo nat per-global-ip user-limit命令用来恢复缺省情况。

【命令】

nat per-global-ip user-limit max-number

undo nat per-global-ip user-limit

【缺省情况】

不限制允许共享单个公网IP的私网用户数。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

【参数】

max-number：最大用户数，取值范围为1～4096。

【使用指导】

PAT模式或端口块方式的地址转换中，一个公网IP可以被多个私网用户共享。当私网用户接入数过多导致端口分配失败时，新上线的用户将无法访问外网，已经上线的用户将无法发起新的连接。使用本命令可以限制共享单个公网IP的私网用户数，把用户均摊到各个公网IP下，从而避免过多用户同时将同一个公网IP作为转换后的地址。

配置本命令后，只对新上线的用户数进行限制。已上线用户不受此命令限制。

【举例】

# 配置PAT模式下允许共享单个公网IP的私网用户的最大数目为500。

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] nat per-global-ip user-limit 500

1.1.62 nat port-block flow-trigger enable

nat port-block flow-trigger enable命令用来开启流量触发分配端口块功能。

undo nat port-block flow-trigger enable命令用来关闭流量触发分配端口块功能。

【命令】

nat port-block flow-trigger enable

undo nat port-block flow-trigger enable

【缺省情况】

流量触发分配端口块功能处于关闭状态。

【视图】

系统视图

NAT实例视图

【缺省用户角色】

network-admin

【使用指导】

对于端口块方式的地址转换，若NAT与BRAS没有联动，则需要开启本功能来驱动NAT设备通过用户的业务流量来触发端口块分配。在NAT与BRAS联动场景中，不要开启本功能，否则会导致用户无法上线。

以下情况无法更改流量触发分配端口块功能的开启或关闭状态：

· 存在在线用户

· 存在使用NAT实例进行地址转换创建的表项

如下情况无法配置nat port-block flow-trigger enable命令：

· 在系统视图下配置本命令后，将无法配置nat instance命令。反之，如果配置了nat instance命令，将无法在系统视图下配置本命令。

· 在NAT实例下配置cu warm-standby-mode enable命令后，表明CGN备份方式为N:1温备，此种备份方式下，仅支持为联动上线用户分配端口块，因此相应的NAT实例下无法配置nat port-block flow-trigger enable命令。

【举例】

# 开启流量触发分配端口块功能。

<Sysname> system-view

[Sysname] nat port-block flow-trigger enable

【相关命令】

· cu warm-standby-mode enable

· nat instance

1.1.63 nat port-block-group

nat port-block-group命令用来创建NAT端口块组，并进入NAT端口块组视图。如果指定的NAT端口块组已经存在，则直接进入NAT端口块组视图。

undo nat port-block-group命令用来删除指定的NAT端口块组。

【命令】

nat port-block-group group-id

undo nat port-block-group group-id

【缺省情况】

不存在NAT端口块组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-id：NAT端口块组的编号，取值范围为0～65535。

【使用指导】

创建的NAT端口块组用于配置NAT端口块静态映射。一个端口块组中包含如下内容：

· 一个或多个私网地址成员，通过local-ip-address命令配置。

· 一个或多个公网地址成员，通过global-ip-pool命令配置。

· 公网地址的端口范围，通过port-range命令配置。

· 端口块大小，通过block-size命令配置。

在进行NAT端口块静态映射时，系统根据相应端口块组的配置计算出私网IP地址到公网IP地址、端口块的静态映射关系，并创建静态端口块表项。

【举例】

# 创建一个NAT端口块组，编号为1。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1]

【相关命令】

· block-size

· display nat all

· display nat port-block-group

· global-ip-pool

· local-ip-address

· nat outbound port-block-group

· port-range

1.1.64 nat protect-tunnel inside-vpn

nat protect-tunnel inside-vpn命令用来配置允许进入保护隧道的流量所属的私网侧VPN实例。

undo nat protect-tunnel inside-vpn命令用来恢复缺省情况。

【命令】

nat protect-tunnel inside-vpn vpn-instance-name

undo nat protect-tunnel inside-vpn vpn-instance-name

【缺省情况】

不允许私网侧VPN实例流量进入保护隧道。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【参数】

vpn-instance-name：表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。

【使用指导】

私网侧VPN用户通过双机框间备份NAT访问公网，当上下行流量路径不一致时，用户侧去往公网侧的流量通过CGN双机框间备设备进行转发，由于备设备无法处理NAT业务，这些流量将被丢弃。为了避免上述问题，需要在双机备份的两台设备间建立保护隧道。

配置允许进入保护隧道的流量所属的私网侧VPN实例后，当私网侧VPN用户去往网络侧的流量到达NAT业务的备设备时，备设备使用保护隧道将私网VPN用户流量透传到主设备，由主设备进行NAT业务处理。

需要保证允许进入保护隧道的流量所属的私网侧VPN实例与用户所属的VPN实例名称一致，否则，当上下行流量路径不一致时，私网侧VPN实例流量无法进入保护隧道。

【举例】

# 配置允许进入保护隧道的流量所属的私网侧VPN实例名称为vpn1。

<Sysname> system-view

[Sysname] nat instance inst id 1

[Sysname-nat-instance-inst] nat protect-tunnel inside-vpn vpn1

【相关命令】

· display nat instance

1.1.65 nat server（接口NAT）

nat server命令用来配置NAT内部服务器，即定义内部服务器的外网地址和端口与内网地址和端口的映射表项。

undo nat server命令用来删除指定的内部服务器配置。

【命令】

(1) 普通内部服务器

· 外网地址单一，未使用外网端口或外网端口单一

nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ]

undo nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]

· 外网地址单一，外网端口连续

nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ]

· 外网地址连续，未使用外网端口

nat server protocol pro-type global global-address1 global-address2 [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ]

· 外网地址连续，外网端口单一

nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside { local-address [ local-port1 local-port2 ] | [ local-address | local-address1 local-address2 ] [ local-port ] } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ]

(2) 负载均衡内部服务器

nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ]

(3) 基于ACL的内部服务器

nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ]

undo nat server global { ipv4-acl-number | name ipv4-acl-name }

【缺省情况】

不存在内部服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

protocol pro-type：指定协议类型。只有当协议类型是TCP、UDP协议时，配置的内部服务器才能带端口参数。如果不指定协议类型，则表示对所有协议类型的报文都生效。pro-type可输入以下形式：

· 数字：取值范围为1～255。

· 协议名称：取值包括icmp、tcp和udp。

global：指定服务器向外提供服务的外网信息。

global-address：内部服务器向外提供服务时对外公布的外网IP地址。

global-address1、global-address2：外网IP地址范围，所包含的地址数目不能超过256。global-address1表示起始地址，global-address2表示结束地址。global-address2必须大于global-address1。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

current-interface：使用当前接口的主用IP地址作为内部服务器的外网地址，即实现Easy IP方式的内部服务器。

interface interface-type interface-number：表示使用指定接口的主用IP地址作为内部服务器的外网地址，即实现Easy IP方式的内部服务器。interface-type interface-number表示接口类型和接口编号。目前只支持Loopback接口。

global-port1、global-port2：外网端口范围，和内部主机的IP地址范围构成一一对应的关系。global-port1表示起始端口，global-port2表示结束端口。global-port2必须大于global-port1，且端口范围中的端口数目不能大于256。外网端口可输入以下形式：

· 数字：取值范围为1～65535。起始端口和结束端口均支持此形式。

· 协议名称：为1～15个字符的字符串，例如http、telnet等。仅起始端口支持该形式。

inside：指定服务器的内网信息。

local-address1、local-address2：定义一组连续的内网IP地址范围，和外网端口范围构成一一对应的关系。local-address1表示起始地址，local-address2表示结束地址。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。

local-port：内部服务器的内网端口号，可输入以下形式：

· 数字：取值范围为1～65535（FTP数据端口号20除外）。

· 协议名称：为1～15个字符的字符串，例如http、telnet等。

global-port：外网端口号，缺省值以及取值范围的要求和local-port的规定一致。

local-address：服务器的内网IP地址。

vpn-instance global-vpn-instance-name：对外公布的外网地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示对外公布的外网地址不属于任何一个VPN实例。

vpn-instance local-vpn-instance-name：内部服务器所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示内部服务器不属于任何一个VPN实例。

server-group group-id：服务器在内网所属的服务器组。若指定了该参数，则表示要配置一个负载分担内部服务器。group-id表示内部服务器组的编号，取值范围为0～65535。

acl：指定ACL的编号或名称。若指定了该参数，则表示与指定的ACL permit规则匹配的报文才可以使用内部服务器的映射表进行地址转换。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时，将私网地址转换为内部服务器向外提供服务的外网IP地址。

【使用指导】

通过该配置可以利用NAT设备将一些内部网络的服务器提供给外部网络使用，例如内部的Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。这些内部服务器可以位于普通的内网内，也可以位于MPLS VPN实例内。

NAT内部服务器通常配置在NAT设备的外网侧接口上。外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器。当pro-type不是TCP（协议号为6）或UDP（协议号为17）时，用户只能设置内部IP地址与外部IP地址的一一对应的关系，无法设置端口号之间的映射。需要注意的是，请不要将global-address和local-address指定为相同的IP地址，否则会导致NAT功能异常或报文丢弃。

NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。

表1-27 NAT内部服务器的地址与端口映射关系

外网	内网
一个外网地址	一个内网地址
一个外网地址、一个端口号	一个内网地址、一个内网端口号
一个外网地址，N个连续的外网端口号	· 一个内网地址，一个内网端口 · N个连续的内网地址，一个内网端口号 · 一个内网地址，N个连续的内网端口号
N个连续的外网地址	· 一个内网地址 · N个连续的内网地址
N个连续的外网地址连续，一个外网端口号	· 一个内网地址，一个内网端口号 · N个连续的内网地址，一个内网端口号 · 一个内网地址，N个连续的内网端口号
一个外网地址，一个外网端口号	一个内部服务器组
一个外网地址，N个连续的外网端口号
N个连续的外网地址，一个外网端口号
外网地址（通过ACL进行匹配）	· 一个内网地址 · 一个内网地址、一个内网端口号

一个接口下允许配置的nat server命令个数与设备的型号有关。对于同一个接口下配置的NAT服务器，其协议类型、外网地址和外网端口号的组合必须是唯一的，否则认为是配置冲突。本规则同样适用于Easy IP方式的NAT服务器。每个nat server命令下可以配置的NAT内部服务器数目为global-port2与global-port1的差值，即配置多少个外网端口就对应多少个NAT内部服务器。

由于Easy IP方式的NAT内部服务器使用了当前接口或其它接口的IP地址作为它的外网地址，因此强烈建议在配置了Easy IP方式的NAT内部服务器之后，其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址，反之亦然。

对于Easy IP方式的NAT服务器，如果其引用的接口的IP地址发生改变，导致跟现有的其它非Easy IP方式的NAT服务器冲突，则Easy IP方式的NAT服务器配置失效；如果接口地址又修改为不冲突的IP，或者之前与之冲突的NAT服务器被删除，则Easy IP方式的NAT配置重新生效。

在配置负载均衡内部服务器时，若配置一个外网地址，N个连续的外网端口号对应一个内部服务器组，或N个连续的外网地址，一个外网端口号对应一个内部服务器组，则内部服务器组的成员个数不能小于N，即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。

在VPN组网中，配置NAT内部服务器时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

【举例】

# 在接口GigabitEthernet3/1/1上配置NAT内部服务器，指定局域网内部的Web服务器的IP地址是10.110.10.10，希望外部通过http://202.110.10.10:8080可以访问Web服务器。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 http

[Sysname-GigabitEthernet3/1/1] quit

# 在接口GigabitEthernet3/1/1上配置NAT内部服务器，指定MPLS VPN实例vrf10内部的FTP服务器的IP地址是10.110.10.11，希望外部通过ftp://202.110.10.10可以访问FTP服务器。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10

[Sysname-GigabitEthernet3/1/1] quit

# 在接口GigabitEthernet3/1/1上配置NAT内部服务器，指定一个VPN实例vrf10内部的主机10.110.10.12，希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10

[Sysname-GigabitEthernet3/1/1] quit

# 在接口GigabitEthernet3/1/1上配置NAT内部服务器，指定一个外部地址202.110.10.10，从端口1001～1100分别映射MPLS VPN实例vrf10内主机10.110.10.1～10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1，202.110.10:1002访问10.110.10.2，依此类推。

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10

# 正确的服务器地址为10.0.0.172，用户配置的错误地址为192.168.0.0/24网段的地址，在接口GigabitEthernet3/1/1上配置基于ACL的内部服务器对这部分用户的配置错误进行纠正。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule 5 permit ip destination 192.168.0.0 0.0.0.255

[Sysname-acl-ipv4-adv-3000] quit

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat server global 3000 inside 10.0.0.172

【相关命令】

· display nat all

· display nat server

· nat instance

· nat server-group

1.1.66 nat server（全局NAT）

nat server命令用来配置NAT内部服务器，即定义内部服务器的外网地址和端口与内网地址和端口的映射表项。

undo nat server命令用来删除指定的内部服务器配置。

【命令】

· 外网地址单一，未使用外网端口

nat server global global-address [ vpn-instance global-vpn-instance-name ] inside local-address [ vpn-instance local-vpn-instance-name ] [ reversible ]

undo nat server global global-address [ vpn-instance global-vpn-instance-

name ]

· 外网地址单一，外网端口单一

nat server protocol pro-type global { global-address | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ reversible ]

undo nat server protocol pro-type global { global-address | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]

· 外网地址使用接口的地址，外网端口单一

nat server protocol pro-type global interface interface-type interface-number global-port [ vpn-instance global-vpn-instance-name ] inside local-address local-port [ vpn-instance local-vpn-instance-name ] [ reversible ]

undo nat server protocol pro-type global interface interface-type interface-number global-port [ vpn-instance global-vpn-instance-name ]

【缺省情况】

不存在内部服务器。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【参数】

protocol pro-type：指定协议类型。只有当协议类型是TCP、UDP协议时，配置的内部服务器才能带端口参数。pro-type可输入以下形式：

· 数字：取值范围为1～255。

· 协议名称：取值包括icmp、tcp和udp。

global：指定服务器向外提供服务的外网信息。

global-address：内部服务器向外提供服务时对外公布的外网IP地址。

inside：指定服务器的内网信息。

local-port：内部服务器的内网端口号，可输入以下形式：

· 数字：取值范围为1～65535（FTP数据端口号20除外）。

· 协议名称：为1～15个字符的字符串，例如http、telnet等。

global-port：外网端口号，输入形式的要求和local-port的规定一致。

local-address：服务器的内网IP地址。

reversible：表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时，将私网地址转换为内部服务器向外提供服务的外网IP地址。

【使用指导】

外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器。当pro-type不是TCP（协议号为6）或UDP（协议号为17）时，用户只能设置内部IP地址与外部IP地址的一一对应的关系，无法设置端口号之间的映射。

NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。

表1-28 NAT内部服务器的地址与端口映射关系

外网	内网
一个外网地址	一个内网地址
一个外网地址、一个端口号	一个内网地址、一个内网端口号

配置Easy IP方式的NAT内部服务器时，需要注意：

· 由于Easy IP方式的NAT内部服务器使用了接口的IP地址作为外网地址，因此强烈建议在配置了Easy IP方式的NAT内部服务器之后，其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址，反之亦然。

· 对于Easy IP方式的NAT服务器，如果其引用的接口的IP地址发生改变，导致跟现有的其它非Easy IP方式的NAT服务器冲突，则Easy IP方式的NAT服务器配置失效；如果接口地址又修改为不冲突的IP，或者之前与之冲突的NAT服务器被删除，则Easy IP方式的NAT配置重新生效。

在VPN组网中，配置NAT内部服务器时需要指定vpn-instance参数，且外公布的外网地址所属的VPN实例必须与出接口关联的VPN实例一致、内部服务器所属的VPN实例必须与入接口关联的VPN实例一致。

如下情况会导致配置失败或无法生效：

· 如果硬件资源不足，nat server命令可能无法生效。

· 同一个NAT实例下的不同NAT内部服务器，其协议类型、外网地址和外网端口号的组合必须唯一。

· 绑定多个备份组的业务实例组被NAT实例关联后（即全局NAT负载分担方式），不允许存在一个公网地址映射多个私网地址的NAT内部服务器配置。相反的，如果存在一个公网地址映射多个私网地址的NAT内部服务器配置，则不允许将NAT实例与绑定多个备份组的业务实例组关联。

· NAT实例下配置cu warm-standby-mode enable命令后，无法在该NAT实例下配置内部服务器。

【举例】

# 在NAT实例inst上配置NAT内部服务器，指定局域网内部的Web服务器的IP地址是10.110.10.10，希望外部通过http://202.110.10.10:8080可以访问Web服务器。

<Sysname> system-view

[Sysname] nat instance inst id 1

[Sysname-nat-instance-inst] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 http

【相关命令】

· cu warm-standby-mode enable

· display nat all

· display nat server

· nat server-group

1.1.67 nat server-group

nat server-group命令用来创建内部服务器组，并进入内部服务器组视图。如果指定的内部服务器组已经存在，则直接进入内部服务器组视图。

undo nat server-group命令用来删除指定的内部服务器组。

【命令】

nat server-group group-id

undo nat server-group group-id

【缺省情况】

不存在内部服务器组。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

group-id：服务器组编号，取值范围为0～65535。

【使用指导】

一个内部服务器组中可以包括多个内部服务器组成员（通过inside ip命令配置）。

【举例】

# 配置一个内部服务器组，编号为1。

<Sysname> system-view

[Sysname] nat server-group 1

【相关命令】

· display nat all

· display nat server-group

· inside ip

· nat server

1.1.68 nat service

nat service命令用来指定处理NAT业务的slot。

undo nat service命令用来恢复缺省情况。

【命令】

独立运行模式：

nat service slot slot-number

undo nat service slot

IRF模式：

nat service chassis chassis-number slot slot-number

undo nat service chassis

【缺省情况】

未指定处理NAT业务的slot。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

slot slot-number：指定单板所在的槽位号。slot-number表示单板所在的槽位号。（独立运行模式）

chassis chassis-number slot slot-number：指定成员设备上指定单板的槽位号。chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。（IRF模式）

【使用指导】

如果需要使用具有NAT能力的业务板进行NAT处理，必须在配置了NAT业务的接口上指定提供NAT处理的slot。否则接口的NAT功能不生效。

一个接口上的NAT业务只能由一个slot处理，该slot可以是设备上的任意可提供NAT处理的slot。通常，如果接口所在的slot具有NAT处理能力，那么建议将接口所在slot指定为处理NAT业务的slot。

多个接口引用了同一个地址组或外网地址时，这些接口必须指定同一个slot进行NAT处理。否则，可能会出现配置成功但实际不生效的情况，并且在配置恢复（由设备重启、软件升级等原因导致）时可能会造成配置丢失。

在接口上，不能通过重复执行本命令来修改接口上指定处理NAT业务的slot。如需修改，请先通过undo nat service命令取消指定的slot，再执行nat service命令。

接口上配置本命令后，该接口的动态地址转换（包括出方向动态地址转换、Easy IP方式的动态地址转换和NAT端口块动态映射）和NAT端口块静态映射中，不能将地址组/端口块组与备份组绑定。

【举例】

# 指定slot 3作为提供NAT业务处理的slot。

<Sysname> system-view

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat service slot 3

【相关命令】

· failover-group

· nat instance

1.1.69 nat static enable

nat static enable命令用来开启接口上或NAT实例的NAT静态地址转换功能。

undo nat static enable命令用来关闭接口上或NAT实例的NAT静态地址转换功能。

【命令】

nat static enable

undo nat static enable

【缺省情况】

NAT静态地址转换功能处于关闭状态。

【视图】

接口视图

NAT实例视图

【缺省用户角色】

network-admin

【使用指导】

接口或NAT实例下开启NAT静态地址转换功能后，所有已配置的静态地址转换映射都会在该接口上或NAT实例生效。

以下情况无法开启NAT静态地址转换功能：

· 如果NAT实例关联的业务实例组中存在负载分担组，无法在该NAT实例下开启NAT静态地址转换功能。

· NAT实例下配置cu warm-standby-mode enable命令后，无法在该NAT实例下开启NAT静态地址转换功能。

【举例】

# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向一对一静态地址转换，并且在接口GigabitEthernet3/1/1上开启静态地址转换功能。

<Sysname> system-view

[Sysname] nat static outbound 192.168.1.1 2.2.2.2

[Sysname] interface gigabitethernet 3/1/1

[Sysname-GigabitEthernet3/1/1] nat static enable

【相关命令】

· cu warm-standby-mode enable

· display nat all

· display nat static

· nat instance

· nat static

· nat static net-to-net

1.1.70 nat static outbound

nat static outbound命令用来配置出方向一对一静态地址转换映射。

undo nat static outbound命令用来删除出方向一对一静态地址转换映射。

【命令】

nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]

undo nat static outbound local-ip [ vpn-instance local-vpn-instance-name ]

【缺省情况】

不存在任何地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

local-ip：内网IP地址。

vpn-instance local-vpn-instance-name：内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示内网IP地址不属于任何一个VPN实例。

global-ip：外网IP地址。

vpn-instance global-vpn-instance-name：外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示外网IP地址不属于任何一个VPN实例。

acl：指定ACL的编号或名称，本参数用于控制内网主机可以访问的目的地址。

ipv4-acl-number：ACL的编号，取值范围为3000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从外网主动访问内网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

failover-group group-name：指定该地址转换映射绑定的备份组。group-name表示备份组的名称，为1～63个字符的字符串，区分大小写。有关备份组的详细介绍，请参见“可靠性配置指导”中的“备份组”。

【使用指导】

对于从内网到外网的报文，将其源地址local-ip转换为global-ip；对于从外网到内网的报文，将其目的地址global-ip转换为local-ip。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从内网到外网的报文都可以使用该配置进行源地址转换；所有从外网到内网的报文都可以使用该配置进行目的地址转换。

· 如果仅指定了ACL，没有指定ACL反向匹配（即没有配置reversible），对于从内网到外网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从外网主动访问内网的报文，不能使用该配置进行目的地址转换。

· 如果既指定了ACL，又指定了ACL反向匹配（即配置了reversible），对于从内网到外网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从外网主动访问内网的报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并根据配置转换目的地址，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能使用该配置进行转换，否则不予转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条出方向静态地址转换映射（包括nat static outbound和nat static outbound net-to-net）。

在VPN组网中，配置出方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

【举例】

# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向静态地址转换映射。

<Sysname> system-view

[Sysname] nat static outbound 192.168.1.1 2.2.2.2

# 配置出方向静态地址转换映射，允许内网用户192.168.1.1访问外网网段3.3.3.0/24时，使用外网IP地址2.2.2.2。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

[Sysname] nat static outbound 192.168.1.1 2.2.2.2 acl 3001

【相关命令】

· display nat all

· display nat static

· nat instance

· nat static enable

1.1.71 nat static outbound net-to-net

nat static outbound net-to-net命令用来配置出方向网段到网段的静态地址转换映射。

undo nat static outbound net-to-net命令用来删除出方向网段到网段的静态地址转换映射。

【命令】

nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]

undo nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ]

【缺省情况】

不存在任何地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

local-start-address local-end-address：内网地址范围，所包含的地址数目不能超过255。local-start-address 表示起始地址，local-end-address表示结束地址。local-end-address必须大于或等于local-start-address，如果二者相同，则表示只有一个地址。

global-network：外网网段地址。

mask-length：外网网络地址的掩码长度，取值范围为8～31。

mask：外网网络地址掩码。

acl：指定ACL的编号或名称，本参数用于控制内网主机可以访问的目的地址。

ipv4-acl-number：ACL的编号，取值范围为3000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从外网主动访问内网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

【使用指导】

内网网段通过起始地址和结束地址来指定，外网网段通过外网地址和掩码来指定。

对于从内网到外网的报文，使用其源地址匹配内网地址，将源地址转换为外网地址；对于从外网到内网的报文，使用其目的地址匹配外网地址，将目的地址转换为内网地址。

内网结束地址不能大于内网起始地址和外网掩码所决定的网段中的最大IP地址。比如：外网地址配置为2.2.2.0，掩码为255.255.255.0，内网起始地址为1.1.1.100，则内网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址，即1.1.1.255。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从内网到外网的报文都可以使用该配置进行源地址转换；所有从外网到内网的报文都可以使用该配置进行目的地址转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条出方向静态地址转换映射（包括nat static outbound和nat static outbound net-to-net）。

在VPN组网中，配置出方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

【举例】

# 配置内网网段192.168.1.0/24到外网网段2.2.2.0/24的出方向静态地址转换映射。

<Sysname> system-view

[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24

# 配置出方向网段到网段的静态地址转换映射，允许内网192.168.1.0/24网段的用户访问外网网段3.3.3.0/24时，使用外网网段2.2.2.0/24中的地址。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24 acl 3001

【相关命令】

· display nat all

· display nat static

· nat instance

· nat static enable

1.1.72 nat vsrp-port

nat vsrp-port命令用来配置NAT通过VSRP建立数据备份通道使用的TCP端口号。

undo nat vsrp-port命令用来恢复缺省情况。

【命令】

nat vsrp-port port-number

undo nat vsrp-port

【缺省情况】

NAT通过VSRP建立数据备份通道使用的TCP端口号为60046。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

port-number：NAT通过VSRP建立数据备份通道使用的TCP端口号，取值范围为1～65535。指定的端口号不能与系统中已经使用的端口号或知名端口号冲突。

【使用指导】

双机框间备份场景中，NAT实例与多机备份实例绑定后，NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接，该连接即为NAT数据的备份通道。使用本命令可以修改NAT建立TCP连接使用的端口号。

修改NAT建立数据备份通道使用的TCP端口号时，需要保证双机框间备份的两台设备上通过本命令配置的端口号一致，否则TCP连接建立失败，无法进行NAT业务的数据备份。

【举例】

# 配置NAT通过VSRP建立的数据备份通道使用的TCP端口号为30000。

<Sysname> system-view

[Sysname] nat vsrp-port 30000

1.1.73 port-block

port-block命令用来配置NAT地址组的端口块参数。

undo port-block命令用来恢复缺省情况。

【命令】

port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size ] ]

undo port-block

【缺省情况】

未配置NAT地址组的端口块参数。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

【参数】

block-size block-size：端口块大小，即一个端口块中所包含的端口数，取值范围为1～65535。如果要指定extended-block-size参数，则本参数的取值必须为64的整数倍。同一NAT地址组内，该参数的值不能超过port-range参数的值。

extended-block-number extended-block-number：增量端口块数，取值范围为1～5。当分配端口块中的端口资源耗尽（所有端口都被使用）时，如果对应的私网IP地址向公网发起新的连接，则无法从分配端口块中获取端口。此时，如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数，则可以为对应的私网IP地址进行增量端口块分配。一个私网IP地址最多可同时占有1＋extended-block-number个端口块。

extended-block-size extended-block-size：增量端口块大小，即增量端口块中所包含的端口数，取值范围为64～8192，为64的整数倍。如果未指定本参数，则每一个增量端口块中的端口数与block-size的取值相同。同一NAT地址组内，该参数的值不能超过port-range参数的值。

【使用指导】

对于端口块动态映射，触发设备分配端口块的条件如下：

· 在NAT与BRAS联动的场景中，用户认证上线时会触发设备为其分配端口块。

· 在非NAT与BRAS联动的场景中，用户访问外网的首次连接进行源地址转换时会触发设备为其分配端口块。

以上为内网用户分配端口块的方式称为端口块预分配。当预分配的端口资源耗尽时，如果配置了增量端口块，系统将为用户申请增量端口块资源。当用户释放增量端口块中的所有端口资源时，该增量端口块将被系统回收。

以下情况必须在地址组中配置端口块参数：

· 端口块动态映射方式下，配置出方向地址转换所引用的NAT地址组中必须配置端口块参数。

· 与全局NAT地址池绑定的NAT地址组中必须配置端口块参数。

配置或修改端口块参数配置时，需要注意：

· NAT地址组使用逐端口分配方式时，无法配置端口块参数。

· NAT与BRAS联动场景中，当存在在线用户时，不允许修改端口块参数的配置。

【举例】

# 配置NAT地址组2的端口块参数，端口块大小为256，增量端口块数为1。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] port-block block-size 256 extended-block-number 1

【相关命令】

· nat address-group

· port-single-alloc enable

1.1.74 port-limit

port-limit命令用来限制分配给协议的端口数量。

undo port-limit命令用来取消分配给协议的端口数量的限制。

【命令】

port-limit { icmp | tcp | total | udp } number

undo port-limit { icmp | tcp | total | udp }

【缺省情况】

不对分配给协议的端口数量做限制。

【视图】

NAT地址组视图

NAT端口块组视图

【缺省用户角色】

network-admin

【参数】

icmp：限制分配给ICMP协议的端口数量。

tcp：限制分配给TCP协议的端口数量。

total：限制分配给所有协议的端口数量。

udp：限制分配给UDP协议的端口数量。

number：指定最多分配给协议的端口数量，取值范围为0～65535。

【使用指导】

使用如下方式的地址转换时，可以使用本命令限制分配给协议的端口数量：

· 端口块方式地址转换。

· PAT模式的地址转换。

【举例】

# 配置地址组1最多可分配给TCP协议的端口数量为10。

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] port-limit tcp 10

# 配置端口块组1最多可分配给TCP协议的端口数量为10。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] port-limit tcp 10

【相关命令】

· nat address-group

· nat port-block group

· port-single-alloc enable

1.1.75 port-range

port-range命令用来配置公网IP地址的端口范围。

undo port-range命令用来恢复缺省情况。

【命令】

port-range start-port-number end-port-number

undo port-range

【缺省情况】

公网IP地址的端口范围为1～65535。

【视图】

NAT地址组视图

NAT端口块组视图

【缺省用户角色】

network-admin

【参数】

start-port-number end-port-number：公网IP地址端口的起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值，避免出现应用协议识别错误的问题。

【使用指导】

在NAT地址组/NAT端口块组视图下配置端口范围后，该NAT地址组/NAT端口块组内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内。

在NAT端口块组内配置端口范围时，端口范围不能小于端口块大小。在NAT地址组内配置端口范围时，如果地址组配置了端口块参数，则端口范围也不能小于端口块大小。

【举例】

# 配置NAT地址组1的公网IP地址端口范围为1024～65535。

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] port-range 1024 65535

# 配置NAT端口块组1的公网IP地址端口范围为30001～65535。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] port-range 30001 65535

【相关命令】

· nat address-group

· nat port-block-group

1.1.76 port-single-alloc enable

port-single-alloc enable命令用来启用逐端口分配方式。

undo port-single-alloc enable命令用来恢复缺省情况。

【命令】

port-single-alloc enable

undo port-single-alloc enable

【缺省情况】

端口的分配方式为端口复用分配方式。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

【使用指导】

PAT模式的地址转换中，有两种端口分配方式：

· 端口复用分配：三元组（源地址、源端口号、协议类型）不同的会话或五元组（源地址、源端口号、协议类型、目的地址、目的端口号）不同的会话可以共享同一个转换后的源端口。三元组或五元组信息中有一个元素不同即为不同的会话。

· 逐端口分配：三元组（源地址、源端口号、协议类型）不同的会话或五元组（源地址、源端口号、协议类型、目的地址、目的端口号）不同的会话，必须使用不同的转换后的源端口。三元组或五元组信息中有一个元素不同即为不同的会话。

逐端口分配方式适用于用户业务较少、所需端口数较少的情况。

通过本命令指定一种端口分配方式后，在一分钟之内不允许切换为另一种端口分配方式。

本命令与port-block命令互斥，不能同时配置。

【举例】

# 在NAT地址组1中启用逐端口分配方式。

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] port-single-alloc enable

【相关命令】

· port-block

1.1.77 reset nat eim

reset nat eim命令用来删除NAT EIM表项信息。

【命令】

独立运行模式：

reset nat eim [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] [ slot slot-number ]

IRF模式：

reset nat eim [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

protocol：删除指定协议类型的EIM表项信息。如果未指定本参数，则表示删除所有协议类型的EIM表项信息。

icmp：删除ICMP协议类型的EIM表项信息。

tcp：删除TCP协议类型的EIM表项信息。

udp：删除UDP协议类型的EIM表项信息。

local-ip b4 ipv6-address：删除指定B4设备IPv6地址的EIM表项信息，ipv6-address表示B4设备的IPv6地址。

local-ip local-ip：删除指定内网IP地址的EIM表项信息，local-ip表示内网IP地址。

local-port local-port：删除指定内网端口号的EIM表项信息，local-port表示内网端口号，取值范围为0～65535。

global-ip global-ip：删除指定公网IP地址的EIM表项信息，global-ip表示公网IP地址。

global-port global-port：删除指定公网端口号的EIM表项信息，global-port表示公网端口号，取值范围为0～65535。

slot slot-number：删除指定单板上的EIM表项信息，slot-number表示单板所在的槽位号。若不指定该参数，则表示删除所有单板上的EIM表项信息。（独立运行模式）

chassis chassis-number slot slot-number：删除指定单板上的EIM表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示删除所有单板上的EIM表项信息。（IRF模式）

【使用指导】

如果不指定local-ip、local-port、global-ip、global-port参数，将删除所有ICMP/TCP/UDP协议类型的EIM表项信息。

【举例】

# 删除指定slot上的NAT EIM表项信息。

<Sysname> reset nat eim slot 3

【相关命令】

· display nat eim

· display nat eim statistics

· nat mapping-behavior

1.1.78 reset nat session

reset nat session命令用来删除NAT会话。

【命令】

独立运行模式：

reset nat session [ protocol { tcp | udp } ] [ slot slot-number

IRF模式：

reset nat session [ protocol { tcp | udp } ] [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

protocol：删除指定协议类型的NAT会话。如果未指定本参数，则表示删除所有协议类型的NAT会话。

tcp：删除TCP协议类型的NAT会话。

udp：删除UDP协议类型的NAT会话。

slot slot-number：删除指定单板上的NAT会话，slot-number表示单板所在的槽位号。如果不指定该参数，则表示删除所有单板上的NAT会话。（独立运行模式）。

chassis chassis-number slot slot-number：删除指定成员设备上指定单板的NAT会话，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。如果不指定该参数，则表示删除所有成员设备的所有单板上的NAT会话。（IRF模式）

【举例】

# 删除指定slot上的NAT会话。

<Sysname> reset nat session slot 3

【相关命令】

· display nat session

1.1.79 section

section命令用来配置全局NAT地址池的地址段。

undo section命令用来删除全局NAT地址池的地址段。

【命令】

section section-id start-ip mask { mask-length | mask }

undo section section-id

【缺省情况】

未配置全局NAT地址池的地址段。

【视图】

全局NAT地址池视图

【缺省用户角色】

network-admin

【参数】

section-id：指定全局NAT地址池的地址段序列号，取值范围为0～255。

start-ip：指定全局NAT地址池的地址段起始IP地址，点分十进制形式。

mask mask-length：指定全局NAT地址池的地址段掩码长度，mask-length表示掩码长度，取值范围为16～32。

mask mask：指定全局NAT地址池的地址段掩码，点分十进制格式。

【使用指导】

一个全局NAT地址池最多可以配置256个地址段。

不同全局NAT地址池的地址不可以重叠，全局NAT地址池的地址不能与NAT地址组、NAT端口块组和NAT内部服务器中的NAT地址冲突。

修改或删除全局NAT地址池中的地址段时，需要注意：

· 不能通过重复执行本命令来修改全局NAT地址池中的地址段。如需修改，请先通过undo section命令删掉全局NAT地址池的地址段，再执行section命令。

· 全局NAT地址池的地址段中的地址已分配给NAT实例时，不允许删除相应的地址段。

不允许通过section命令向动态全局NAT地址池中添加地址段。

【举例】

# 配置全局NAT地址池pool1中ID为0的地址段的起始IP地址为200.1.1.1，掩码长度为24。

<Sysname>system-view

[Sysname] nat ip-pool pool1

[Sysname-nat-ip-pool-pool1] section 0 200.1.1.1 mask 24

【相关命令】

· ip-usage-threshold

· nat ip-pool

· subnet length

1.1.80 service-instance-group

service-instance-group命令用来将NAT实例与业务实例组关联。

undo service-instance-group命令用来取消NAT实例与业务实例组的关联关系。

【命令】

service-instance-group service-instance-group-name

undo service-instance-group service-instance-group-name

【缺省情况】

NAT实例未关联任何业务实例组。

【视图】

NAT实例视图

【缺省用户角色】

network-admin

【参数】

service-instance-group-name：业务实例组的名称，取值范围为1～31个字符的字符串，区分大小写。如果该值中包含空格，需要在值的首末添加英文格式的引号，形如"xxx xxx"。关联的业务组实例可以不存在，但要使配置生效，必须通过service-instance-group命令创建业务实例组。关于业务实例组的详细介绍，请参见“可靠性配置指导”中的“业务实例组”。

【使用指导】

对于和NAT实例中的NAT规则匹配的流量，系统将使用NAT实例关联的业务实例组中的slot进行地址转换。

将NAT实例与业务实例组关联或取消NAT实例与业务实例组的关联关系时，需要注意：

· 一个NAT实例只能关联一个业务实例组。不同的NAT实例不能关联同一个业务实例组。

· 在NAT与BRAS联动的场景中，存在在线用户时，无法取消NAT实例与业务实例组的关联关系，只有在所有用户下线后，才能取消NAT实例与业务实例组的关联关系。

· 其他场景中，存在使用NAT实例进行地址转换创建的表项时，不允许取消NAT实例与业务实例组的关联关系。

· NAT实例下配置cu warm-standby-mode enable命令后，该NAT实例关联的业务实例组只能绑定同一系统板间业务备份的备份组，否则NAT实例无法关联业务实例组。

NAT实例下配置了NAT端口块静态映射、NO-PAT模式的动态映射或者使用address命令在出方向动态地址转换使用的地址组中添加了地址成员时，这样的NAT实例关联的业务实例组只能与一个系统内板间业务备份的备份组绑定。

【举例】

# 将NAT实例cgn1与业务实例组group1相关联。

<Sysname> system-view

[Sysname ] nat instance cgn1 id 1

[Sysname-nat-instance-cgn1] service-instance-group group1

【相关命令】

· cu warm-standby-mode enable

· nat instance

· service-instance-group（可靠性命令参考/业务实例组）

1.1.81 snmp-agent trap enable nat

snmp-agent trap enable nat命令用来开启NAT模块的告警功能。

undo snmp-agent trap enable nat命令用来关闭NAT模块的告警功能。

【命令】

snmp-agent trap enable nat [ address-group-usage | bandwidth-usage | ip-pool-usage ]

undo snmp-agent trap enable nat [ address-group-usage | bandwidth-usage | ip-pool-usage ]

【缺省情况】

NAT模块的告警功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

address-group-usage：表示NAT地址组中资源使用率的告警功能。

bandwidth-usage：表示CGN单板带宽使用率的告警功能。

ip-pool-usage：表示全局NAT地址池地址使用率的告警功能。

【使用指导】

各类NAT告警功能的具体工作机制如下：

· 开启NAT模块CGN单板带宽使用率告警功能后，当设备上CGN单板的带宽使用率大于或等于nat log bandwidth-usage threshold命令设置的阈值时，设备会生成带宽使用率告警信息进行预警；当设备带宽使用率小于nat log bandwidth-usage threshold命令设置的阈值的87.5%时，设备也会生成告警信息进行提示。

· 开启NAT模块地址组资源使用率告警功能后，当设备上NAT地址组资源使用率大于或等于nat address-group-usage threshod命令设置的阈值时，设备会生成地址组资源使用率信息进行预警；当设备上NAT地址组资源使用率小于nat address-group-usage threshod命令设置的阈值的87.5%时，设备也会生成告警信息进行提示。

· 开启全局NAT地址池地址使用率告警功能后，当设备上NAT地址池地址使用率大于或等于ip-usage-threshold命令设置的upper-limit阈值时，设备会生成地址池地址使用率信息进行预警；当设备上NAT地址池地址使用率小于ip-usage-threshold命令设置的upper-limit阈值的87.5%时，设备也会生成告警信息进行提示。

生成的告警信息将发送到设备的SNMP模块，通过设置SNMP中告警信息的发送参数，来决定告警信息输出的相关特性。有关告警信息的详细描述，请参见“网络管理和监控配置指导”中的“SNMP”。

如果未指定任何参数，则表示开启或关闭NAT的全部告警功能。

【举例】

# 开启NAT模块的全部告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable nat

【相关命令】

· ip-usage-threshold

· nat address-group-usage threshold

· nat log bandwidth-usage threshold

1.1.82 subnet length

subnet length命令用来配置全局NAT地址池的初始地址段掩码长度/掩码和扩展地址段长度/掩码。

undo subnet length命令用来恢复缺省情况。

【命令】

subnet length initial { mask-length | mask } [ extend { mask-length | mask } ]

undo subnet length

【缺省情况】

全局NAT地址池的初始地址段掩码长度和扩展地址段掩码长度为27，即掩码为255.255.255.224。

【视图】

全局NAT地址池视图

【缺省用户角色】

network-admin

【参数】

initial mask-length：指定全局NAT地址池的初始地址段掩码长度，取值范围为22～32。

initial mask：指定全局NAT地址池的初始地址段掩码，点分十进制格式。

extend mask-length：指定全局NAT地址池的扩展地址段掩码，取值范围为22～32。

extend mask：指定全局NAT地址池的扩展地址段掩码，点分十进制格式。

【使用指导】

将NAT地址组与全局NAT地址池绑定后，地址资源的分配和回收机制如下：

(1) 全局NAT地址池为该NAT地址组分配初始地址段掩码大小的公网资源。如果全局NAT地址池中的地址资源大小小于初始地址段掩码长度对应的地址资源时，将尝试使用更长的掩码长度进行资源分配。

(2) 当NAT地址组中初始网段地址的使用率大于等于申请阈值时，该NAT地址组向绑定的全局NAT地址池申请扩展地址段。

¡ 如果全局NAT地址池中有剩余资源，但是剩余资源大小小于扩展地址段掩码长度对应的地址资源时，将尝试使用更长的掩码长度进行资源分配。

¡ 如果全局NAT地址池中有剩余资源，且剩余资源大小大于扩展地址段掩码长度对应的地址资源时，全局NAT地址池会为NAT地址组分配扩展地址段掩码长度对应的地址资源。

¡ 如果全局NAT地址池资源耗尽时，会导致资源申请失败。

(3) 当NAT地址组中地址的使用率低于释放阈值并且对应的扩展地址段没有被使用时，NAT地址组将释放未被使用的扩展地址段。

配置本命令时，如果未指定extend参数，那么无法为NAT地址组分配扩展地址段。

存在NAT地址组绑定全局NAT地址池的配置时，不允许修改此配置。

【举例】

# 配置全局NAT地址池pool1的初始地址段掩码长度为25，扩展地址段掩码长度为27。

<Sysname> system-view

[Sysname] nat ip-pool pool1

[Sysname-nat-ip-pool-pool1] subnet length initial 25 extend 27

【相关命令】

· ip-usage-threshold

· nat ip-pool

· section

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

21-NAT命令参考

目录

01-NAT命令

1 NAT

1.1 NAT配置命令

1.1.1 address

1.1.6 display nat address-group

1.1.12 display nat instance address-group

1.1.36 nat centralized-backup switchback delay

1.1.41 nat instance

1.1.56 nat mapping-behavior endpoint-independent

1.1.65 nat server（接口NAT）

1.1.66 nat server（全局NAT）