action snat prefix { general { v4tov6 prefix-general general-prefix-length | v6tov4 } | ivi v6tov4 | nat64 v4tov6 prefix-nat64 nat64-prefix-length } [ vrf vrf-name ]

undo action snat

静态地址转换方式：

action snat static ip-address global-ipv4-address [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]

action snat static ip-address global-ipv6-address [ ipv6-vrrp virtual-router-id ] [ vrf vrf-name ]

undo action snat

【缺省情况】

未配置NAT规则中源地址的转换方式。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group：指定地址转换使用的地址对象组。

ipv4-object-group-name：表示IPv4地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如”xxx xxx”。

ipv6-object-group-name：表示IPv6地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如”xxx xxx”。

prefix：使用前缀方式进行源地址转换。

general：使用General前缀方式进行源地址转换。

ivi：使用IVI前缀进行源地址转换。

nat64：使用NAT64前缀方式进行源地址转换。

v4tov6：表示将IPv4地址转换为IPv6地址。

v6tov4：表示将IPv6地址转换为IPv4地址。

prefix-general：表示General前缀。

general-prefix-length：表示General前缀长度，取值为32、40、48、56、64或96。

prefix-nat64：表示NAT64前缀。

nat64-prefix-length：表示NAT64前缀长度，取值为32、40、48、56、64或96。当前缀长度为96时，前缀的第64位到第71位必须为0。

static：使用静态方式进行源地址转换。

ip-address：表示转换后使用的IP地址。

global-ipv4-address：指定转换后的源IPv4地址。

global-ipv6-address：指定转换后的源IPv6地址。

ipv4-vrrp virtual-router-id：将源的地址转换方式与IPv4 VRRP备份组绑定。virtual-router-id表示VRRP ID，取值范围为1～255。

ipv6-vrrp virtual-router-id：将源地址转换方式与IPv6 VRRP备份组绑定。virtual-router-id表示VRRP ID，取值范围为1～255。

vrf vrf-name：指定源地址转换后的IPv4或IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定本参数，则表示源转换后的IPv4或IPv6地址属于公网。

【使用指导】

可以使用不同的源IP地址过滤条件与不同的源地址转换方式配合进行地址转换，例如当NAT规则中用于匹配报文源IP地址的过滤条件为source-ip host {ipv4-address | ipv6-address }时，与action snat static ip-address { global-ipv4-address | global-ipv6-address }命令配合使用可以实现一对一静态地址转换。

本命令与过滤条件配合使用时，需要注意：

· action snat static ip-address与source-ip命令配合使用时，如果先配置source-ip命令，后配置action snat static ip-address命令，则不允许通过重复执行source-ip命令修改过滤条件。

· 使用静态方式进行地址转换时，必须保证用于匹配报文源IP地址的过滤条件中包含的IP地址的数量和静态地址转换方式中包含的IP地址数量一致。

源地址转换方式引用地址对象组时，需要注意：

· 源地址转换方式引用的地址对象组中的对象必须通过如下方式创建，否则该地址对象组无法被源地址转换方式引用：

¡ [ object-id ] network host address ip-address

¡ [ object-id ] network subnet ip-address { mask-length | mask }

¡ [ object-id ] network range ip-address1 ip-address2

关于以上命令的详细介绍，请参见“安全命令参考”中的“对象组”。

· 源地址转换方式引用的地址对象组中包含的IP地址数量不能超过65535。

· 静态转换引用的地址对象组中不能存在排除地址。

· NO-PAT方式，需要将IPv6到IPv4的源地址转换动作与IPv4侧的VRRP备份组绑定。

· PAT方式，需要将IPv6到IPv4的源地址转换动作与IPv4侧的VRRP备份组绑定。

· 静态地址转换方式，需要将IPv6到IPv4的源地址转换动作与IPv4侧的VRRP备份组绑定。

· 静态地址转换方式，需要将IPv4到IPv6的源地址转换动作与IPv6侧的VRRP备份组绑定。

在VPN环境中同时对报文进行源地址转换和目的地址时，需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。

仅全局NAT策略中的NAT规则视图下支持配置本命令。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 将NAT规则aaa的地址转换方式指定为PAT方式，并引用名为srcIP1的源IPv4地址对象组。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa type nat64

[Sysname-nat-global-policy-rule-nat64-aaa] action snat object-group srcIP1

【相关命令】

· action dnat

· display nat all

· display nat global-policy

· network（安全命令参考/对象组）

1.1.6 action snat（NAT66类型规则视图）

action snat命令用来配置NAT规则中源地址转换方式。

undo action snat命令用来删除NAT规则中源地址转换方式的配置。

【命令】

NO-PAT方式：

action snat object-group ipv6-object-group-name no-pat [ vrf vrf-name ]

undo action snat

PAT方式：

action snat object-group ipv6-object-group-name [ vrf vrf-name ]

undo action snat

静态地址转换方式：

action snat static ip-address global-ipv6-address [ ipv6-vrrp virtual-router-id ] [ vrf vrf-name ]

undo action snat

NPTv6方式：

action snat nptv6 translated-ipv6-prefix prefix-length [ vrf vrf-name ]

undo action snat

NO-NAT方式：

action snat no-nat

undo action snat

【缺省情况】

未配置NAT规则中源地址的转换方式。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group ipv6-object-group-name：指定地址转换使用的地址对象组。ipv6-object-group-name表示IPv6地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如”xxx xxx”。

no-pat：表示使用NO-PAT方式进行转换，即转换时不使用报文的端口信息。

static：使用静态方式进行地址转换，即转换前后的源IPv6地址之间的映射关系由配置唯一确定。

ipv6-address global-ipv6-address：指定地址转换后使用的IPv6地址。global-ipv6-address表示转换后的源IPv6地址。

nptv6：使用NPTv6方式进行IPv6地址前缀转换。

translated-ipv6-prefix nptv6-prefix-length：指定转换后的IPv6地址前缀。translated-ipv6-prefix表示地址前缀；nptv6-prefix-length：表示IPv6地址前缀长度，取值范围为1～112。

no-nat：不对符合NAT规则中匹配条件的报文进行源地址转换，也不使用其他优先级较低的NAT规则进行源地址转换。

ipv6-vrrp virtual-router-id：将源地址转换方式与IPv6 VRRP备份组绑定。virtual-router-id表示VRRP ID，取值范围为1～255。

vrf vrf-name：指定源地址转换后的IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定本参数，则表示源地址转换后的IPv6地址属于公网。

【使用指导】

用户可以使用不同的源IP地址过滤条件与不同的源地址转换方式配合进行地址转换，例如当NAT规则中用于匹配报文源IP地址的过滤条件为source-ip host {ipv4-address | ipv6-address }时，与action snat static ip-address { global-ipv4-address | global-ipv6-address }命令配合使用可以实现一对一静态地址转换。

创建了数量较多的NAT规则后，如果希望对其中小范围的某些报文不进行源地址转换，则可以选择NO-NAT方式。

本命令与过滤条件配合使用时，需要注意：

· action snat nptv6只能与source-ip subnet命令配合使用。如果先配置source-ip subnet命令，后配置action snat nptv6命令，则不允许通过重复执行source-ip命令修改过滤条件。

· 使用静态方式进行地址转换时，必须保证用于匹配报文源IP地址的过滤条件中包含的IP地址的数量和静态地址转换方式中包含的IP地址数量一致。

源地址转换方式引用地址对象组时，需要注意：

· 源地址转换方式引用的地址对象组中的对象必须通过如下方式创建，否则该地址对象组无法被源地址转换方式引用：

¡ [ object-id ] network host address ip-address

¡ [ object-id ] network subnet ip-address { mask-length | mask }

¡ [ object-id ] network range ip-address1 ip-address2

关于以上命令的详细介绍，请参见“安全命令参考”中的“对象组”。

· 源地址转换方式引用的地址对象组中包含IP地址个数不能超过65535。

· 静态转换引用的地址对象组中不能存在排除地址。

在HA＋VRRP的高可靠性组网中，需要将静态地址转换动作与IPv6侧的VRRP备份组绑定，否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

在VPN环境中同时对报文进行源地址转换和目的地址时，需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。

仅全局NAT策略中的NAT规则视图下支持配置本命令。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 将名称为aaa的NAT规则的地址转换方式指定为NAT66前缀转换方式，将规则匹配到的源IPv6地址前缀fd9C:58ed:7d73:2::/64转换为2101::/64。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa type nat66

[Sysname-nat-global-policy-rule-nat66-aaa] source-ip subnet fd9C:58ed:7d73:2:: 64

[Sysname-nat-global-policy-rule-nat66-aaa] action snat prefix 2101:: 64

【相关命令】

· action dnat

· display nat all

· display nat global-policy

· source-ip

1.1.7 action snat（NAT类型的规则视图）

action snat命令用来配置NAT规则中源地址转换方式。

undo action snat命令用来删除NAT规则中源地址转换方式的配置。

【命令】

NO-PAT方式：

action snat { address-group { group-id | name group-name } | object-group ipv4-object-group-name } no-pat [ reversible ] [ vrrp virtual-router-id ] [ vrf vrf-name ]

undo action snat

PAT方式：

action snat { address-group { group-id | name group-name } | object-group ipv4-object-group-name } [ port-preserved ] [ vrrp virtual-router-id ] [ vrf vrf-name ]

undo action snat

Easy IP方式：

action snat easy-ip [ port-preserved ] [ vrf vrf-name ]

undo action snat

静态地址转换方式：

action snat static { ip-address global-address | object-group object-group-name | subnet subnet-ip-address mask-length } [ vrrp virtual-router-id ] [ vrf vrf-name ]

undo action snat

NO-NAT方式：

action snat no-nat

undo action snat

【缺省情况】

未配置NAT规则中源地址的转换方式。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

address-group：指定地址转换使用的地址组。

group-id：地址组的编号，取值范围为0～65535。

name group-name：地址组的名称，为1～63个字符的字符串，区分大小写。

easy-ip：使用报文出接口的IP地址作为转换后的地址，即实现Easy IP功能。

ip-address global-address：指定地址转换使用的IP地址，global-address表示转换后的源IP地址。

no-nat：不对符合NAT规则中匹配条件的报文进行源地址转换，也不使用其他优先级较低的NAT规则进行源地址转换。

no-pat：表示使用NO-PAT方式进行转换，即转换时不使用报文的端口信息。

port-preserved：PAT方式下分配端口时尽量不转换端口。如果不指定本参数，则允许并接受PAT方式下分配端口时转换端口。

static：使用静态方式进行地址转换，即外部网络和内部网络之间的地址映射关系由配置确定。

object-group object-group-name：指定地址转换使用的地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如”xxx xxx”。

subnet subnet-ip-address mask-length：指定地址转换使用的网段。subnet-ip-address表示网段地址；mask-length表示该网段的掩码长度，取值可以为8、16或范围为24～31之间的整数。

vrrp virtual-router-id：将源地址转换方式与VRRP备份组绑定。virtual-router-id表示VRRP ID，取值范围为1～255。

vrf vrf-name：指定源地址转换后的IPv4地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果不指定本参数，则表示源转换后的IPv4地址属于公网。

【使用指导】

一个地址组被PAT方式的NAT规则引用后，不能再被NO-PAT方式的相同的NAT规则引用，反之亦然。

用户可以使用不同的源IP地址过滤条件与不同的源地址转换方式配合进行地址转换，例如当NAT规则中用于匹配报文源IP地址的过滤条件为source-ip host ip-address时，与action snat static ip-address global-address命令配合使用可以实现一对一静态地址转换。需要注意的是，使用静态方式进行地址转换时，必须保证用于匹配报文源IP地址的过滤条件中包含的IP地址的数量和静态地址转换方式中包含的IP地址数量一致。

创建了数量较多的NAT规则后，如果希望对其中小范围的某些报文不进行源地址转换，则可以选择NO-NAT方式。

源地址转换方式引用地址对象组时，需要注意：

· 源地址转换方式引用的地址对象组中的对象必须通过如下方式创建，否则该地址对象组无法被源地址转换方式引用：

¡ [ object-id ] network host address ip-address

¡ [ object-id ] network subnet ip-address { mask-length | mask }

¡ [ object-id ] network range ip-address1 ip-address2

关于以上命令的详细介绍，请参见“安全命令参考”中的“对象组”。

· 源地址转换引用的地址对象组中包含的IP地址个数不能超过65535。

· 静态转换引用的地址对象组中不能存在排除地址。

在HA＋VRRP的高可靠性组网中，请在HA主管理设备上将源地址转换方式与靠近外网的VRRP备份组绑定，否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

在双主模式的HA组网中，请根据不同的情况选择不同的配置方式：

· HA组网中的两台设备可以共用同一个NAT地址组，需要注意的是，为了防止不同的Master设备将不同主机的流量转换为同一个地址和端口号，需要使用PAT模式的地址转换，并配置nat remote-backup port-alloc命令，使得不同的Master设备使用不同范围的端口资源。

· 除上述情况外，建议HA组网中的两台设备使用不同的公网IP进行地址转换，避免出现不同的Master设备对不同主机的流量进行地址转换后，地址转换的结果相同的情况。例如，当HA组网中的两台设备使用不同的NAT地址时（不同的NAT规则匹配不同的用户流量，实现不同源IP地址范围的用户流量使用不同的NAT地址进行地址转换），不同的内网用户设置不同的网关地址，使得正向地址转换的流量由不同的Master设备进行处理。这种情况下，通过在主管理设备上配置本命令将不同的源地址转换方式与不同的VRRP备份组绑定，从而引导反向地址转换的流量使用不同的Master设备进行地址转换，实现NAT业务的负载分担。

在VPN环境中同时对报文进行源地址转换和目的地址时，需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。

仅全局NAT策略中的NAT规则视图下支持配置本命令。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 将NAT规则aaa的地址转换方式指定为PAT方式，并使用编号为0的地址组。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa

[Sysname-nat-global-policy-rule-aaa] action address-group 0

# 将NAT规则aaa的地址转换方式指定为NO-PAT方式，并使用编号为0的地址组。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa

[Sysname-nat-global-policy-rule-aaa] action address-group 0 no-pat

# 指定NAT规则aaa中用于匹配报文源IP地址的IP地址为1.1.1.1，并指定该规则的地址转换方式指定为静态地址转换方式，转换后的源IP地址为100.10.0.1。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa

[Sysname-nat-global-policy-rule-aaa] source-ip host 1.1.1.1

[Sysname-nat-global-policy-rule-aaa] action snat static ip-address 100.10.0.1

# 将NAT规则aaa的地址转换方式指定为NO-NAT方式。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa

[Sysname-nat-global-policy-rule-aaa] action no-nat

【相关命令】

· action dnat

· display nat all

· display nat policy

· nat address-group

1.1.8 address

address命令用来添加地址成员。

undo address命令用来删除地址成员。

【命令】

address start-address end-address

undo address start-address end-address

【缺省情况】

不存在地址成员。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-address end-address：地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address，如果start-address和end-address相同，则表示只有一个地址。

【使用指导】

一个NAT地址组是多个地址成员的集合。当需要对到达外部网络的数据报文进行地址转换时，报文的源地址将被转换为地址成员中的某个地址。

在同一NAT地址组中多次执行本命令添加的地址成员不能互相重叠，且一次添加的地址成员的数量不能超过65535。不同NAT地址组中地址成员的IP地址段不能互相重叠。

在同一个NAT地址组中，如果已经使用address interface命令将接口地址作为地址成员，则无法通过本命令添加地址成员。

【举例】

# 在NAT地址组2中添加地址成员。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] address 10.1.1.1 10.1.1.15

[Sysname-address-group-2] address 10.1.1.20 10.1.1.30

【相关命令】

· address interface

· nat address-group

1.1.9 block-size

block-size命令用来设置端口块大小。

undo block-size命令用来恢复缺省情况。

【命令】

block-size block-size

undo block-size

【缺省情况】

一个端口块中包含256个端口。

【视图】

NAT端口块组视图

【缺省用户角色】

network-admin

context-admin

【参数】

block-size：端口块大小，即一个端口块中所包含的端口数，取值范围为1～max_number。其中max_number为65535。

【使用指导】

在一个端口块组中，需要根据私网IP地址个数，以及公网IP地址个数及其端口范围，确定一个合理的端口块大小值。端口块大小值不能超过公网地址的端口范围值。

【举例】

# 配置端口块组1的端口块大小为1024。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] block-size 1024

【相关命令】

· nat port-block-group

1.1.10 counting enable

counting enable命令用来开启NAT规则命中统计功能。

undo counting enable命令用来关闭NAT规则命中统计功能。

【命令】

counting enable

undo counting enable

【缺省情况】

NAT规则命中统计功能处于关闭状态。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

配置本命令后，该规则的命中统计功能将会开启，可通过display nat policy命令查看该条规则的命中统计计数。

【举例】

# 开启接口NAT策略中NAT规则aaa的命中统计功能。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] counting enable

# 开启NAT规则aaa中命中统计功能。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] counting enable

【相关命令】

· display nat all

· display nat global-policy

· display nat policy

1.1.11 description

description命令用来配置NAT规则的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

NAT规则未配置任何描述信息。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

text：表示NAT规则的描述信息，为1～63个字符的字符串，区分大小写。

【举例】

# 配置接口NAT策略中NAT规则aaa的描述信息为“This is a nat rule of abc policy”。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] description This is a nat rule of abc policy

# 配置全局NAT策略中NAT规则aaa的描述信息为“This is a nat rule of abc policy”。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa

[Sysname-nat-global-policy-rule-aaa] description This is a nat rule of abc policy

1.1.12 destination-ip

destination-ip命令用来配置NAT规则中用于匹配报文目的IP地址的过滤条件。

undo destination-ip命令用来删除NAT规则中用于匹配报文目的IP地址的过滤条件。

【命令】

接口NAT策略下的NAT规则视图下NAT类型的规则视图：

destination-ip ipv4-object-group-name

undo destination-ip [ipv4-object-group-name ]

【缺省情况】

NAT规则中不存在用于匹配报文目的IP地址的过滤条件。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-object-group-name：指定NAT规则引用的目的地址对象组，ipv4-object-group-name表示目的IPv4地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如“xxx xxx”。

ipv6-object-group-name：指定NAT规则引用的目的IPv6地址对象组，ipv6-object-group-name表示源IPv6地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如“xxx xxx”。

host ipv4-address：NAT规则中用于匹配报文目的IPv4地址的IPv4地址，ipv4-address表示报文目的IPv4地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

host ipv6-address：指定NAT规则中用于匹配报文目的IPv6地址的IPv6地址，ipv6-address表示报文目的IPv6地址。

subnet subnet-ipv4-address mask-length：指定NAT规则引用的网段。subnet-ipv4-address表示网段IP地址；mask-length表示该网段掩码长度，取值可以为8、16或范围为24～31之间的整数。

subnet ipv6-prefix prefix-length：指定NAT规则引用的IPv6前缀。ipv6-prefix表示IPv6前缀；prefix-length表示前缀长度，取值范围为1～128。

【使用指导】

配置本命令后，NAT设备将使用该过滤条件中的IP地址对报文进行过滤，只有目的IP地址与过滤条件匹配的报文才会被NAT设备进行地址转换。

本命令与action dnat命令配合使用时，对于内网访问外网的报文，将在NAT设备的入接口上进行目的IP地址转换。

引用地址对象组时，需要注意：

· 引用的地址对象组必须已经存在，否则配置将失败。

· 目的地址引用的地址对象组中的对象必须通过如下方式创建，否则该地址对象组无法被目的地址引用：

¡ [ object-id ] network host address ip-address

¡ [ object-id ] network subnet ip-address { mask-length | mask }

¡ [ object-id ] network range ip-address1 ip-address2

关于以上命令的详细介绍，请参见“安全命令参考”中的“对象组”。

执行undo destination-ip命令时若不指定任何参数，表示删除此规则中所有用于匹配报文源IP地址的过滤条件。

同一NAT规则下配置过滤条件时，需要注意：

· 同一NAT规则下可引用多个目的地址对象组，最多不能超过256个。

· 同一NAT规则中可配置多个匹配报文目的IP地址的过滤条件，匹配报文目的IP地址最多不能超过256个。

· 同一个NAT64类型的规则中配置多个过滤条件时，后配置的过滤条件中的IP地址类型必须与先配置的过滤条件中的IP地址类型一致，例如先配置了destination-ip host 192.168.1.1，接下来配置了destination-ip host 100::1，那么destination-ip host 100::1配置失败。请根据实际应用场景规划配置。

· 同一NAT规则视图下的destination-ip subnet命令、destination-ip命令以及destination-ip host命令会相互覆盖。

【举例】

# 在接口NAT策略中配置NAT规则aaa引用名为desIP1、desIP2和desIP3的目的地址对象组作为匹配报文目的IP地址的过滤条件。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] destination-ip desIP1

[Sysname-nat-policy-rule-aaa] destination-ip desIP2

[Sysname-nat-policy-rule-aaa] destination-ip desIP3

【相关命令】

· display nat all

· display nat global-policy

· display nat policy

· object-group（安全命令参考/对象组）

1.1.13 destination-zone

destination-zone命令用来配置作为NAT规则过滤条件的目的安全域。

undo destination-zone命令用来删除作为NAT规则过滤条件的目的安全域。

【命令】

destination-zone destination-zone-name

undo destination-zone [ destination-zone-name ]

【缺省情况】

NAT规则中不存在目的安全域过滤条件。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

destination-zone-name：目的安全域的名称，为1～31个字符的字符串，不区分大小写，且不能为字符串any。作为规则过滤条件的目的安全域可以不存在，但要使配置生效，必须通过security-zone name命令创建安全域。关于安全域的详细介绍，请参见“安全配置指导”中的“安全域”。

【使用指导】

配置本命令后，NAT设备将使用该过滤条件中的IP地址对报文进行过滤，只有目的安全域与过滤条件匹配的报文才会被NAT设备进行地址转换。

本命令与action snat命令配合使用时，将在NAT设备的出接口方向进行源IP地址转换。本命令不能与action dnat命令配合使用。

不能通过重复执行本命令修改作为NAT规则过滤条件的目的安全域。如需修改作为NAT规则过滤条件的目的安全域，请先通过undo destination-zone命令删除作为NAT规则过滤条件的目的安全域，再执行destination-zone命令。

使用undo命令时若不指定任何参数，则表示删除此规则中所有目的安全域类型的过滤条件。

仅支持在全局NAT策略中NAT类型和NAT66类型的规则视图下配置本命令。

最多支持将16个目的安全域作为NAT规则的过滤条件。

【举例】

# 配置作为NAT规则rule1过滤条件的目的安全域为trust。

<Sysname> system-view

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name rule1

[Sysname-nat-global-policy-rule-rule1] destination-zone trust

【相关命令】

· rule name

· security-zone name（安全命令参考/安全域）

1.1.14 disable

disable命令用来禁用NAT规则。

undo disable命令用来启用NAT规则。

【命令】

disable

undo disable

【缺省情况】

NAT规则处于启用状态。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

配置本命令后，相应的NAT规则将不再生效，但是不会将此NAT规则删除，可通过display nat policy或display nat global-policy命令查看其生效状态。如果不再需要此NAT规则，需要执行undo rule name命令才能将其删除。

【举例】

# 禁用接口NAT策略中名称为aaa的NAT规则。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] disable

# 禁用全局NAT策略中名称为aaa的NAT规则。

<Sysname> system

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name aaa

[Sysname-nat-global-policy-rule-aaa] disable

【相关命令】

· display nat all

· display nat global-policy

· display nat policy

1.1.15 display nat address-group

display nat address-group命令用来显示NAT地址组配置信息。

【命令】

display nat address-group [ group-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

group-id：地址组的编号，取值范围为0～65535。如果不设置该值，则显示所有地址组。

【举例】

# 显示所有地址组的配置信息。

<Sysname> display nat address-group

NAT address group information:

Totally 5 NAT address groups.

Address group ID: 1 Address group name: a

Port range: 1-65535

Address information:

Start address End address

202.110.10.10 202.110.10.15

Address group ID: 2

Port range: 1-65535

Address information:

Start address End address

202.110.10.20 202.110.10.25

202.110.10.30 202.110.10.35

Address group ID: 3

Port range: 1024-65535

Address information:

Start address End address

202.110.10.40 202.110.10.50

Address group ID: 4

Port range: 10001-65535

Port block size: 500

Extended block number: 1

Address information:

Start address End address

202.110.10.60 202.110.10.65

Address group ID: 5

Port range: 1-1024

Port block size: 500

Address information:

20.1.1.1 (GigabitEthernet1/2/5/1)

Address group ID: 6

Port range: 1-65535

Address information:

Start address End address

--- ---

# 显示指定地址组的配置信息。

<Sysname> display nat address-group 1

Address group ID: 1 Address group name: a

Port range: 1-65535

Address information:

Start address End address

202.110.10.10 202.110.10.15

表1-1 display nat address-group命令显示信息描述表

字段	描述
NAT address group information	NAT地址组信息
Totally n NAT address groups	当前有n个地址组
Address group ID	地址组的编号
Address group name	地址组名称。如果未配置，则不显示该字段
Port range	地址的端口范围
Port block size	端口块大小。如果未配置，则不显示
Extended block number	增量端口块数。如果未配置，则不显示
Address information	地址组成员信息 · 通过address命令添加地址成员： ¡ Start address：地址组成员的起始地址。如果没有地址成员，则显示“---” ¡ End address：地址组成员的结束地址。如果没有地址成员，则显示“---”

【相关命令】

· nat address-group

1.1.16 display nat alg

display nat alg用来显示所有协议类型的NAT ALG功能的开启状态。

【命令】

display nat alg

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示所有协议类型的NAT ALG功能的开启状态。

<Sysname> display nat alg

NAT ALG:

DNS : Enabled

FTP : Disabled

H323 : Disabled

ICMP-ERROR : Disabled

ILS : Disabled

MGCP : Disabled

NBT : Disabled

PPTP : Disabled

RTSP : Disabled

RSH : Disabled

SCCP : Disabled

SCTP : Disabled

SIP : Disabled

SQLNET : Disabled

TFTP : Disabled

XDMCP : Disabled

表1-2 display nat alg命令显示信息描述表

字段	描述
Enabled	协议的NAT ALG功能处于开启状态
Disabled	协议的NAT ALG功能处于关闭状态

【相关命令】

· display nat all

1.1.17 display nat all

display nat all命令用来显示所有的NAT配置信息。

【命令】

display nat all

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示所有的NAT配置信息。

<Sysname> display nat all

NAT address group information:

Totally 5 NAT address groups.

Address group 1:

Port range: 1-65535

Address information:

Start address End address

202.110.10.10 202.110.10.15

Exclude address information:

Start address End address

--- ---

Address group 2:

Port range: 1-65535

Address information:

Start address End address

202.110.10.20 202.110.10.25

202.110.10.30 202.110.10.35

Exclude address information:

Start address End address

--- ---

Address group 3:

Port range: 1024-65535

Address information:

Start address End address

202.110.10.40 202.110.10.50

Exclude address information:

Start address End address

--- ---

Address group 4:

Port range: 10001-65535

Port block size: 500

Extended block number: 1

Address information:

Start address End address

202.110.10.60 202.110.10.65

Exclude address information:

Start address End address

--- ---

Address group 6:

Port range: 1-65535

Address information:

Start address End address

--- ---

Exclude address information:

Start address End address

--- ---

NAT server group information:

Totally 3 NAT server groups.

Group Number Inside IP Port Weight

1 192.168.0.26 23 100

192.168.0.27 23 500

2 --- --- ---

3 192.168.0.26 69 100

NAT global-policy information:

Totally 1 NAT global-policy rules.

Rule name: rule1

Description : global nat rule

SrcIP object group : srcObj1

SrcIP object group : srcObj2

SrcIP object group : srcObj3

DestIP object group : desObj1

DestIP object group : desObj2

DestIP object group : desObj3

Service object group : serviceObj1

Service object group : serviceObj2

Service object group : serviceObj3

Source zone name : Trust

Destination zone name : Local

SNAT action:

Address group ID: 2 Address group name: a

NO-PAT: Y

Reversible: N

Port-preserved: N

DNAT action:

IP address: 1.1.2.1

Port: 80

NAT counting : 0

Config status: Active

NAT policy information:

Totally 1 NAT policy rules.

Rule name: rule1

Description : first rule

Routing-interface : GigabitEthernet1/2/5/2

SrcIP object group : srcObj1

SrcIP object group : srcObj2

SrcIP object group : srcObj3

DestIP object group : desObj1

DestIP object group : desObj2

DestIP object group : desObj3

Service object group : serviceObj1

Service object group : serviceObj2

Service object group : serviceObj3

Action

Address group ID: 2 Address group name: a

NO-PAT: Y

Reversible: N

Port-preserved: N

Config status: Active

NAT inbound information:

Totally 1 NAT inbound rules.

Interface: GigabitEthernet1/2/5/1

ACL: 2038

Address group ID: 2

Add route: Y NO-PAT: Y Reversible: N

VPN instance: vpn_nat

Rule name: abcdefg

Priority: 1000

Description: NatInbound1

Config status: Active

NAT outbound information:

Totally 2 NAT outbound rules.

Interface: GigabitEthernet1/2/5/2

ACL: 2036

Address group ID: 1

Port-preserved: Y NO-PAT: N Reversible: N

Configuration mode : NETCONF (action)

Rule name: cdefg

Priority: 1001

Description: NatOutbound1

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: address group, and ACL.

Interface: GigabitEthernet1/2/5/2

ACL: 2037

Address group ID: 1

Port-preserved: N NO-PAT: Y Reversible: Y

VPN instance: vpn_nat

Rule name: blue

Priority: 1002

Config status: Active

NAT internal server information:

Totally 5 internal servers.

Interface: GigabitEthernet1/2/5/1

Global ACL : 2000

Local IP/port : 192.168.10.1/23

Rule name : cdefgab

Priority : 1000

Configuration mode : NETCONF (action)

NAT counting : 0

Description : NatServerDescription1

Config status : Active

Interface: GigabitEthernet1/2/5/2

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23

Local IP/port : 192.168.10.15/23

ACL : 2000

Rule name : green

NAT counting : 0

Config status : Active

Interface: GigabitEthernet1/2/5/3

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23-30

Local IP/port : 192.168.10.15-192.168.10.22/23

Global VPN : vpn1

Local VPN : vpn3

Rule name : blue

NAT counting : 0

Config status : Active

Interface: GigabitEthernet1/2/5/4

Protocol: 255(Reserved)

Global IP/port: 50.1.1.100/---

Local IP/port : 192.168.10.150/---

Global VPN : vpn2

Local VPN : vpn4

ACL : 3000

Rule name : white

NAT counting : 0

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Interface: GigabitEthernet1/2/5/5

Protocol: 17(UDP)

Global IP/port: 50.1.1.2/23

Local IP/port : server group 1

192.168.0.26/23 (Connections: 10)

192.168.0.27/23 (Connections: 20)

Global VPN : vpn1

Local VPN : vpn3

Rule name : black

NAT counting : 0

Config status : Active

Static NAT mappings:

Totally 2 inbound static NAT mappings.

Net-to-net:

Global IP : 2.2.2.1 – 2.2.2.255

Local IP : 1.1.1.0

Netmask : 255.255.255.0

Global VPN : vpn2

Local VPN : vpn1

ACL : 2000

Reversible : Y

Rule name : pink

Priority : 1000

Config status: Active

IP-to-IP:

Global IP : 5.5.5.5

Local IP : 4.4.4.4

ACL : 2001

Reversible : Y

Rule name : yellow

Priority : 1000

Description : NatStaticDescription1

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Totally 2 outbound static NAT mappings.

Net-to-net:

Local IP : 1.1.1.1 - 1.1.1.255

Global IP : 2.2.2.0

Netmask : 255.255.255.0

ACL : 2000

Reversible : Y

Rule name : grey

Priority : 1000

Config status: Active

IP-to-IP:

Local IP : 4.4.4.4

Global IP : 5.5.5.5

ACL: : 2001

Reversible : Y

Rule name : orange

Priority : 10000

Description : NatStaticDescription2

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Interfaces enabled with static NAT:

Totally 2 interfaces enabled with static NAT.

Interface: GigabitEthernet1/2/5/4

Config status: Active

Interface: GigabitEthernet1/2/5/5

Config status: Active

NAT DNS mappings:

Totally 2 NAT DNS mappings.

Domain name : www.server.com

Global IP : 6.6.6.6

Global port : 23

Protocol : TCP(6)

Config status: Active

Domain name : www.service.com

Global IP : ---

Global port : 12

Protocol : TCP(6)

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: interface IP address.

NAT logging:

Log enable : Enabled(ACL 2000)

Flow-begin : Disabled

Flow-end : Disabled

Flow-active : Enabled(10 minutes)

Port-block-assign : Disabled

Port-block-withdraw : Disabled

Alarm : Disabled

NO-PAT IP usage : Disabled

NAT hairpinning:

Totally 2 interfaces enabled with NAT hairpinning.

Interface: GigabitEthernet1/2/5/4

Config status: Active

Interface: GigabitEthernet1/2/5/5

Config status: Active

NAT mapping behavior:

Mapping mode : Endpoint-Independent

ACL : 2050

Config status: Active

NAT ALG:

DNS : Enabled

FTP : Enabled

H323 : Enabled

ICMP-ERROR : Enabled

ILS : Enabled

MGCP : Enabled

NBT : Enabled

PPTP : Enabled

RTSP : Enabled

RSH : Enabled

SCCP : Enabled

SCTP : Disabled

SIP : Enabled

SQLNET : Enabled

TFTP : Enabled

XDMCP : Disabled

NAT port block group information:

Totally 3 NAT port block groups.

Port block group 1:

Port range: 1-65535

Block size: 256

Local IP address information:

Start address End address VPN instance

172.16.1.1 172.16.1.254 ---

192.168.1.1 192.168.1.254 ---

192.168.3.1 192.168.3.254 ---

Global IP pool information:

Start address End address

201.1.1.1 201.1.1.10

201.1.1.21 201.1.1.25

Port block group 2:

Port range: 10001-30000

Block size: 500

Local IP address information:

Start address End address VPN instance

10.1.1.1 10.1.10.255 ---

Global IP pool information:

Start address End address

202.10.10.101 202.10.10.120

Port block group 3:

Port range: 1-65535

Block size: 256

Local IP address information:

Start address End address VPN instance

--- --- ---

Global IP pool information:

Start address End address

--- ---

NAT outbound port block group information:

Totally 2 outbound port block group items.

Interface: GigabitEthernet1/2/5/2

port-block-group: 2

Rule name: stone

Config status : Active

Interface: GigabitEthernet1/2/5/2

port-block-group: 10

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: port block group.

Static NAT load balancing: Disabled

NAT link-switch recreate-session: Disabled

NAT configuration-for-new-connection: Disabled

NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp : Disabled

上述显示信息是目前所有NAT配置信息的集合。由于部分NAT配置（nat address-group、nat server-group、nat inbound、nat outbound、nat server、nat static、nat static net-to-net、nat static enable、nat dns-map、nat log、nat port-block-group和nat outbound port-block-group）有自己独立的显示命令，且此处显示信息的格式与各命令对应的显示信息的格式相同的，所以此处不对这些配置的显示字段的含义进行详细解释，如有需要，请参考各独立的显示命令。下面的表格将给出相关显示命令的参见信息并仅解释nat hairpin enable、nat mapping-behavior和nat alg配置的显示字段的含义。

表1-3 display nat all命令显示信息描述表

字段	描述
NAT address group information	NAT地址组的配置信息，详细字段解释请参见“表1-1”
NAT server group information	NAT内部服务器组的配置信息，详细字段解释请参见“表1-19”
NAT inbound information:	入方向动态地址转换的配置信息，详细字段解释请参见“表1-7”
NAT outbound information	出方向动态地址转换的配置信息，详细字段解释请参见“表1-11”
NAT internal server information	NAT内部服务器的配置信息，详细字段解释请参见“表1-18”
NAT global-policy information	全局NAT策略的配置信息，详细字段解析参见“表1-6”
NAT policy information	NAT策略的配置信息，详细字段解释请参见“表1-13”
Static NAT mappings	静态地址转换的配置信息，详细字段解释请参见“表1-21”
NAT DNS mappings	NAT DNS mapping的配置信息，详细字段解释请参见“表1-4”
NAT logging	NAT日志功能的配置信息，详细字段解释请参见“表1-8”
NAT hairpinning	NAT hairpin功能
Totally n interfaces enabled NAT hairpinning	当前有n个接口开启NAT hairpin功能
Interface	开启NAT hairpin功能的接口
Rule name	NAT规则的名称
Priority	NAT规则的匹配优先级
Config status	显示NAT hairpin配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示NAT hairpin配置不生效的原因
NAT mapping behavior	PAT方式下的地址转换模式 · Endpoint-Independent：表示不关心对端地址和端口 · Address and Port-Dependent：表示关心对端地址和端口
ACL	引用的ACL编号或名称。如果未配置，则显示“---”
Config status	显示NAT mapping behavior配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示NAT mapping behavior配置不生效的原因 · The following items don't exist or aren't effective: ACL：引用的ACL不存在
Reasons for flow-table inactive status	当下发流表的状态为Inactive时，显示流表不生效的原因其中，Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败
NAT ALG	各协议的NAT ALG功能开启信息
NAT port block group information	NAT端口块组的配置信息，详细字段解释请参见“表1-15”
NAT outbound port block group information	NAT444端口块静态映射的配置信息，详细字段解释请参见“表1-12”
Static NAT load balancing	是否开启静态NAT在多个业务引擎上进行负载分担的功能： · Disabled：表示关闭 · Enabled：表示开启
NAT link-switch recreate-session	是否开启主备链路切换后的NAT会话重建功能： · Disabled：表示关闭 · Enabled：表示开启
NAT configuration-for-new-connection	是否开启NAT配置变更仅对新连接生效的功能： · Disabled：表示关闭 · Enabled：表示开启
NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp	是否开启全局NAT策略中NAT类型的SNAT＋DNAT规则的源IP地址转换和目的IP转换先于安全策略匹配，以便与老版本兼容功能： · Disabled：表示关闭 · Enabled：表示开启

1.1.18 display nat dns-map

display nat dns-map命令用来显示NAT DNS mapping配置信息。

【命令】

display nat dns-map

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT DNS mapping的配置信息。

<Sysname> display nat dns-map

NAT DNS mapping information:

Totally 2 NAT DNS mappings.

Domain name : www.server.com

Global IP : 6.6.6.6

Global port : 23

Protocol : TCP(6)

Config status: Active

Domain name : www.service.com

Global IP : ---

Global port : 12

Protocol : TCP(6)

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: interface IP address.

表1-4 display nat dns-map命令显示信息描述表

字段	描述
NAT DNS mapping information	NAT DNS mapping配置信息
Totally n NAT DNS mappings	当前有n条DNS mapping配置
Domain name	DNS域名
Global IP	外网地址。如果配置使用的是Easy IP方式，则此处显示指定的接口的地址。“---”表示接口下未配置外网地址
Global port	外网端口号
Protocol	协议名称以及协议编号
Config status	显示DNS mapping配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示DNS mapping配置不生效的原因 · The following items don't exist or aren't effective: interface IP address：引用的接口未配置IP地址

【相关命令】

· nat dns-map

1.1.19 display nat eim

display nat eim命令用来显示NAT EIM表项信息。

【命令】

display nat eim [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的EIM表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的EIM表项信息。

【使用指导】

EIM三元组表项是报文在进行Endpoint-Independent Mapping方式的PAT转换时创建的，它记录了内网和外网的转换关系（内网地址和端口<-->NAT地址和端口），该表项有以下两个作用：

· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。

· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。

【举例】

# 显示指定slot上的NAT EIM表项信息。

<Sysname> display nat eimchassis 1 slot 1

Slot 1 in chassis 1:

Local IP/port: 192.168.100.100/1024

Global IP/port: 200.100.1.100/2048

Local VPN: vpn1

Global VPN: vpn2

Protocol: TCP(6)

Local IP/port: 192.168.100.200/2048

Global IP/port: 200.100.1.200/4096

Protocol: UDP(17)

Total entries found: 2

表1-5 display nat eim命令显示信息描述表

字段	描述
Local VPN	内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Global VPN	外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Protocol	协议名称以及协议编号
Total entries found	当前查找到的EIM表项的个数

【相关命令】

· nat mapping-behavior

· nat outbound

1.1.20 display nat global-policy

display nat global-policy命令用来显示全局NAT策略的配置信息。

【命令】

display nat global-policy [ rule-type { nat | nat64 | nat66 } ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

rule-type：显示指定类型的NAT规则的配置信息。如果未指定本参数，将显示所有类型NAT规则的配置信息。

nat：显示NAT类型规则的配置信息。

nat64：显示NAT64类型规则的配置信息。

nat66：显示NAT66类型规则的配置信息。

【举例】

# 显示全局NAT策略中所有类型NAT规则的配置信息。

<Sysname> display nat global-policy

NAT global-policy information:

Totally 8 NAT global-policy rules.

Rule name: rule1

Type : nat

Description : first rule

SrcIP object group : srcObj1

SrcIP object group : srcObj2

SrcIP object group : srcObj3

DestIP object group : desObj1

DestIP object group : desObj2

DestIP object group : desObj3

Service object group : serviceObj1

Service object group : serviceObj2

Service object group : serviceObj3

Source-zone name : Trust

Destination-zone name : Local

SNAT action:

Address group ID: 2 Address group name: a

NO-PAT: Y

Reversible: N

Port-preserved: N

NAT counting : 0

Config status: Active

Rule name: rule2

Type : nat

Description : second rule

SrcIP address : 10.0.0.1

SrcIP address : 10.0.0.2

DestIP address : 100.0.0.11

DestIP address : 100.0.0.12

Service object group : serviceObj1

Source-zone name : Trust

Destination-zone name : local

SNAT action:

Easy-IP

NO-PAT: N

Reversible: N

Port-preserved: N

NAT counting : 0

Config status: Active

Rule name: rule3

Type : nat

Description : third rule

SrcIP object group : srcObj1

DestIP object group : desObj1

Service object group : serviceObj1

Service object group : serviceObj2

Service object group : serviceObj3

Source-zone name : trust

Vrf : vpn1

SNAT action:

Ipv4 address: 20.0.0.1

Vrf: vpn2

DNAT action:

IPv4 address: 1.1.2.1

Port: 80

Vrf: vpn2

NAT counting : 0

Config status: Active

Rule name: rule4

Type : nat

Description : third rule

SrcIP subnet : 10.1.1.0 24

DestIP subnet : 100.1.3.0 24

SNAT action:

Subnet: 20.0.0.0 24

DNAT action:

IPv4 address: 1.1.2.1

Port: 80

NAT counting : 0

Config status: Active

Rule name: rule5

Type : nat

Description : fifth rule

SrcIP subnet : 10.1.1.0 24

DestIP subnet : 100.1.3.0 24

Source-zone name : Trust

VRID: 1

SNAT action:

Object group: obj1

DNAT action:

IPv4 address: 1.1.2.1

NAT counting : 0

Config status: Active

Rule name: 44_1

Type : nat

SrcIP address : 10.1.1.10

DestIP address : 10.1.1.100

SNAT action:

IPv4 address: 2.1.1.100

IPv4 VRRP VRID: 1

DNAT action:

IPv4 address: 2.1.1.15

IPv4 VRRP VRID: 2

NAT counting : 0

Config status: Active

Rule name: 4to6_1

Type : nat64

SrcIP address : 10.1.1.10

DestIP address : 10.1.1.100

SNAT action:

IPv6 address: 3003::100

IPv6 VRRP VRID: 1

DNAT action:

IPv6 address: 3003::15

IPv4 VRRP VRID: 2

NAT counting : 0

Config status: Active

Rule name: 66_1

Type : nat66

SrcIPV6 address : 3001::10

SNAT action:

IPv6 address: 3003::800

IPv6 VRRP VRID: 1

NAT counting : 0

Config status: Active

表1-6 display nat global-policy命令显示信息描述表

字段	描述
NAT global-policy information	全局NAT策略的配置信息
Totally n NAT global-policy rules	当前存在n条全局NAT规则
Rule name	全局NAT规则的名称
Type	NAT规则的类型，包括如下三种： · nat：NAT类型的规则，即只进行IPv4地址之间的相互转换 · nat64：NAT64类型的规则，即只进行IPv4和IPv6地址之间的转换 · nat66：NAT66类型的规则，即只进行IPv6地址之间或IPv6地址前缀之间的转换
Description	全局NAT规则的描述信息
SrcIP object group	全局NAT规则引用的源地址对象组
SrcIP address	全局NAT规则中用于匹配报文源IP地址的IP地址
SrcIP subnet	全局NAT规则引用的源网段
DestIP object group	全局NAT规则引用的目的地址对象组
DestIP address	全局NAT规则中用于匹配报文目的IP地址的IP地址
DestIP subnet	全局NAT规则引用的目的网段
Service object group	全局NAT规则引用的服务对象组
Source-zone name	作为全局NAT规则过滤条件的源安全域
Destination-zone name	作为全局NAT规则过滤条件的目的安全域
Vrf	作为全局NAT规则过滤条件的VPN实例名称
IPv4 VRRP VRID	全局NAT规则绑定的IPv4 VRRP备份组ID
IPv6 VRRP VRID	全局NAT规则绑定的IPv6 VRRP备份组ID
SNAT action	全局NAT规则的源IP地址转换方式
NO-NAT	不进行地址转换
Address group ID	全局NAT规则使用的地址组编号。如果未配置，则不显示该字段
Address group name	全局NAT规则使用的地址组名称。如果未配置，则不显示该字段
Easy-IP	全局NAT规则使用Easy IP方式的动态地址转换。如果未配置，则不显示该字段
IPv4 address	源地址转换方式下，转换后的IP地址。如果未配置，则不显示该字段
IPv6 address	源地址转换方式下，转换后的IPv6地址。如果未配置，则不显示该字段
Subnet	源地址转换方式下，转换后的网段。如果未配置，则不显示该字段
NO-PAT	是否使用NO-PAT方式进行地址转换。若其值为“Y”，则表示使用NO-PAT方式；若其值为“N”，则表示使用PAT方式
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则不允许
Prefix	NAT64类型规则中源地址转换采用的前缀转换方式： · nat64 v4tov6：使用NAT64前缀将源IPv4地址转换为IPv6地址 · General v4tov6：使用General前缀将源IPv4地址转换为IPv6地址 · General v6tov4：使用General前缀将源IPv6地址转换为IPv4地址如果未配置前缀方式的源地址转换，则不显示该字段
Port-preserved	PAT方式下，是否尽量不转换端口。若其值为“Y”，则表示PAT方式下分配端口时尽量不转换端口；若其值为“N”，则允许并接受PAT方式下分配端口时转换端口
NPTv6	NPTv6方式下，源IPv6地址转换采用的IPv6地址前缀，形式为：translated-ipv6-prefix nptv6-prefix-length。其中，translated-ipv6-prefix表示转换后的地址前缀，nptv6-prefix-length表示前缀长度如果未配置NPTv6方式的源地址转换，则不显示该字段
Vrf	转换后的源地址所属的VPN实例名称
DNAT action	全局NAT规则的目的地址转换方式
IPv4 address	目的地址转换方式下，转换后的IPv4地址
IPv6 address	目的地址转换方式下，转换后的IPv6地址
Port	目的地址转换方式下，转换后的端口号
Prefix	NAT64类型规则中目的地址转换采用的前缀转换方式： · nat64 v6tov4：使用NAT64前缀将目的IPv6地址转换为IPv4地址 · General v4tov6：使用General前缀将目的IPv4地址转换为IPv6地址 · General v6tov4：使用General前缀将目的IPv6地址转换为IPv4地址 · IVI v4tov6：使用IVI前缀将IPv4地址转换为IPv6地址如果未配置前缀方式的目的地址转换，则不显示该字段
NPTv6	NPTv6方式下，目的IPv6地址转换采用的IPv6地址前缀，形式为：translated-ipv6-prefix nptv6-prefix-length。其中，translated-ipv6-prefix表示转换后的地址前缀，nptv6-prefix-length表示前缀长度如果未配置NPTv6方式的目的地址转换，则不显示该字段
Vrf	转换后的目的地址所属的VPN实例名称
NAT counting	全局NAT地址转换的计数信息
Config status	显示全局NAT策略配置的状态 · Active：表示生效 · Inactive：表示不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因： · No action：未配置全局NAT规则中的地址转换方式 · The NAT configuration is disabled：NAT规则中的地址转换映射被禁用 · The address-group doesn't have an address or doesn't exist：地址组不存在或地址组中不存在地址成员 · The source object group contains object types that are not supported by NAT：源地址过滤条件引用的对象组中包含NAT不支持的对象类型 · The destination object group contains object types that are not supported by NAT：目的地址过滤条件引用的对象组中包含NAT不支持的对象类型 · The object group for source address translation contains object types that are not supported by NAT：源地址转换方式引用的对象组中包含NAT不支持的对象类型 · The object group for address translation does not have any addresses or the total number of addresses exceeds the limit：用于地址转换的对象组中无地址或地址总数超限 · The NAT64 rule does not have source address translation configuration：NAT64类型规则没有源地址转换的配置 · The NAT64 rule does not have destination address translation configuration：NAT64类型规则没有目的地址转换的配置 · In the NAT64 rule, the IP address after translation and the source IP address in the match criterion are of the same version：NAT64类型规则中，源地址转换前后的IP地址版本相同 · In the NAT64 rule, the IP address after translation and the destination IP address in the match criterion are of the same version：NAT64类型规则中，目的地址转换前后的IP地址版本相同 · In the NAT64 rule, the IP address after source translation and the IP address after destination translation are not of the same version：NAT64类型规则中，转换后的源地址和转换后的目的地址的地址版本不同 · The source IPv6 prefix length in the match criterion is not compliant with the prefix length requirement in prefix-based address translation：源IPv6地址前缀长度不符合NAT64前缀转换的前缀长度要求 · The destination IPv6 prefix length in the match criterion is not compliant with the prefix length requirement in prefix-based address translation：目的IPv6地址前缀长度不符合NAT64前缀转换的前缀长度要求 · The VRF in the match criterion does not exist：NAT规则中引用的VPN实例不存在 · The Snat action VRF is not exist：源地址转换后的IP地址所属的VPN实例不存在 · The Dnat action VRF is not exist：目的地址转换后的IP地址所属的VPN实例不存在

1.1.21 display nat inbound

display nat inbound命令用来显示NAT入方向动态地址转换的配置信息。

【命令】

display nat inbound

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT入接口动态地址转换的配置信息。

<Sysname> display nat inbound

NAT inbound information:

Totally 2 NAT inbound rules.

Interface: GigabitEthernet1/2/5/2

ACL: 2038

Address group ID: 2

Add route: Y NO-PAT: Y Reversible: N

VPN instance: vpn1

Rule name: abcd

Priority: 1000

Description: NatInbound1

NAT counting: 0

Config status: Active

Interface: GigabitEthernet1/2/5/3

ACL: 2037

Address group ID: 1

Add route: Y NO-PAT: Y Reversible: N

Rule name: eif

Priority: 1001

NAT counting: 0

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

表1-7 display nat inbound命令显示信息描述表

字段	描述
NAT inbound information	NAT入方向动态地址转换的配置信息
Totally n NAT inbound rules	当前存在n条入入方向动态地址转换配置
Interface	入方向动态地址转换配置所在的接口
ACL	引用的ACL编号或名称
Address group ID	入方向动态地址转换使用的地址组
Address group name	入方向动态地址转换使用的地址组名称。如果未配置，则不显示该字段
Add route	是否添加路由。若其值为“Y”，则表示有报文命中此项入接口动态地址转换配置时，设备会自动添加一条路由；若其值为“N”，则不添加
NO-PAT	是否使用NO-PAT方式进行地址转换。若其值为“Y”，则表示使用NO-PAT方式；若其值为“N”，则表示使用PAT方式
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则不允许
VPN instance	地址组所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Rule name	NAT规则的名称
Priority	NAT规则的匹配优先级
Description	NAT入方向动态地址转换配置的描述信息。如果未配置，则不显示该字段
NAT counting	NAT入方向动态地址转换的计数信息
Config status	显示NAT配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示NAT入方向动态地址转换的配置不生效的原因 · The following items don't exist or aren't effective：以下一个或多个配置项不存在或不生效 ¡ local VPN：地址组所属的VPN实例不存在或不生效 ¡ address group：地址组不存在或不生效 ¡ ACL：ACL不存在或不生效

【相关命令】

· nat inbound

1.1.22 display nat log

display nat log命令用来显示NAT日志功能的配置信息。

【命令】

display nat log

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT日志功能的配置信息。

<Sysname> display nat log

NAT logging:

Log enable : Enabled(ACL 2000)

Flow-begin : Disabled

Flow-end : Disabled

Flow-active : Enabled(10 minutes)

Port-block-assign : Disabled

Port-block-withdraw : Disabled

Alarm : Disabled

NO-PAT IP usage : Disabled

表1-8 display nat log命令显示信息描述表

字段	描述
NAT logging	NAT日志功能的配置信息
Log enable	NAT日志功能开关 · Enabled：表示处于开启状态。该状态下，如果指定了ACL，将同时显示指定的ACL编号或名称 · Disabled：表示处于关闭状态
Flow-begin	NAT会话新建日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Flow-end	NAT会话删除日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Flow-active	NAT活跃流日志功能开关 · Enabled：表示处于开启状态。该状态下，将同时显示配置的生成活跃流日志的时间间隔（单位为分） · Disabled：表示处于关闭状态
Port-block-assign	‌端口块分配的NAT444用户日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Port-block-withdraw	‌端口块回收的NAT444用户日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
Alarm	‌NAT444告警信息日志功能开关 · Enabled：表示处于开启状态 · Disabled：表示处于关闭状态
NO-PAT IP usage	NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能日志功能开关 · Enabled：表示处于开启状态。该状态下，将同时显示配置的NAT地址组中地址成员使用率的阈值（单位为百分比） · Disabled：表示处于关闭状态

【相关命令】

· nat log enable

· nat log flow-active

· nat log flow-begin

· nat log no-pat ip-usage

1.1.23 display nat no-pat

display nat no-pat命令用来显示NAT NO-PAT表项信息。

【命令】

display nat no-pat { ipv4 | ipv6 } [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv4：显示IPv4会话的NO-PAT表项信息。

Ipv6：显示IPv6会话的NO-PAT表项信息。

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的NO-PAT表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的NO-PAT表项信息。

【使用指导】

NO-PAT表项记录了动态分配的一对一地址映射关系，该表项有两个作用：

· 保证后续同方向的新连接使用与第一个连接相同的地址转换关系。

· 反方向的新连接可以使用NO-PAT表进行地址转换。

nat inbound和nat outbound配置的NO-PAT方式在转换报文地址之后都需要创建NO-PAT表。这两种配置创建的NO-PAT表类型不同，不能互相使用，因此分成两类进行显示。

【举例】

# 显示指定slot上IPv4 NAT会话的NO-PAT表项。

<Sysname> display nat no-pat ipv4 chassis 1 slot 1

Slot 1 in chassis 1:

Global IPv4: 200.100.1.100

Local IPv4: 192.168.100.100

Global VPN: vpn2

Local VPN: vpn1

Reversible: N

Type : Inbound

Local IPv4: 192.168.100.200

Global IPv4: 200.100.1.200

Reversible: Y

Type : Outbound

Total Ipv4 entries found: 2

# 显示IPv6 NAT会话的NO-PAT表项。

<Sysname> display nat no-pat ipv4

Slot 0:

Global IPv6: FD01:203:405::1

Local IPv6: 2001:DB8:1::100

Global VPN: vpn2

Local VPN: vpn1

Reversible: N

Type : Inbound

Total Ipv6 entries found: 1

# 显示指定slot上IPv6 NAT会话的NO-PAT表项。

<Sysname> display nat no-pat slot 1 ipv4

Slot 1:

Global IPv6: FD01:203:405::1

Local IPv6: 2001:DB8:1::100

Global VPN: vpn2

Local VPN: vpn1

Reversible: N

Type : Inbound

Total Ipv6 entries found: 1

表1-9 display nat no-pat命令显示信息描述表

字段	描述
Global IPv4	外网IP地址
Local IPv4	内网IP地址
Global IPv6	外网IPv6地址
Local IPv6	内网IPv6地址
Local VPN	内网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例，则不显示该字段
Global VPN	外网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例，则不显示该字段
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则表示不允许
Type	NO-PAT表项类型 · Inbound：入方向动态地址转换过程中创建的NO-PAT表项 · Outbound：出方向动态地址转换过程中创建的NO-PAT表项
Total Ipv4 entries found	当前查找到的IPv4 NO-PAT表项的个数
Total Ipv6 entries found	当前查找到的IPv6 NO-PAT表项的个数

【相关命令】

· nat inbound

· nat outbound

1.1.24 display nat no-pat ip-usage

display nat no-pat ip-usage命令用来显示NO-PAT方式下的地址使用率。

【命令】

display nat no-pat ip-usage [ address-group { group-id | name group-name } | object-group object-group-name ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

address-group：显示指定地址组中地址成员的使用率。如果不指定该参数，则显示所有地址组中地址成员的使用率。

group-id：地址组的编号，取值范围为0～65535。

name group-name：地址组的名称，为1～63个字符的字符串，不区分大小写。

object-group object-group-name：显示指定对象组中地址对象的使用率。object-group-name表示对象组的名称，为1～63个字符的字符串，不区分大小写。

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上NO-PAT方式下的地址使用率，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有成员设备NO-PAT方式下的地址使用率。

【使用指导】

NO-PAT方式可以使用NAT地址组或地址对象组中地址对象作为转换后的地址资源。如果未指定任何参数，将显示NO-PAT方式下所有类型的地址资源的使用率。

【举例】

# 显示指定slot上NO-PAT方式下所有类型的地址资源的使用率。

<Sysname> display nat no-pat ip-usage chassis 1 slot 1

Slot 1 in chassis 1:

Totally 2 pieces of information about address usage.

Address group 0:

Total IP addresses :10

Used IP addresses :9

Unused IP addresses :1

NO-PAT IP usage :90% (channel 0)

Object group name: obj1

Total IP addresses :10

Used IP addresses :0

Unused IP addresses :10

NO-PAT IP usage :0%

表1-10 表2-1 display nat no-pat usage命令显示信息描述

字段	描述
Address group	地址组的编号
Object group name	对象组的名称
Total IP addresses	地址组或对象组中IP地址总数
Used IP addresses	地址组或对象组中已使用的IP地址数
Unused IP addresses	地址组或对象组中未使用的IP地址数
NO-PAT IP usage	NO-PAT方式下NAT地址组或对象组中地址资源的使用率
channel	FPGA（Field-Programmable Gate Array，现场可编程门阵列）编号

【相关命令】

· nat log no-pat ip-usage threshold

1.1.25 display nat outbound

display nat outbound命令用来显示出方向动态地址转换的配置信息。

【命令】

display nat outbound

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示出方向动态地址转换的配置信息。

<Sysname> display nat outbound

NAT outbound information:

Totally 2 NAT outbound rules.

Interface: GigabitEthernet1/2/5/1

ACL: 2036

Address group ID: 1

Port-preserved: Y NO-PAT: N Reversible: N

Configuration mode : NETCONF (action)

Rule name: abefg

Priority: 1000

NAT counting: 0

Config status: Active

Interface: GigabitEthernet1/2/5/2

ACL: 2037

Address group ID: 2

Port-preserved: N NO-PAT: Y Reversible: Y

VPN instance: vpn_nat

Rule name: cdefg

Priority: 1001

Description: NatOutbound1

NAT counting: 0

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Interface: GigabitEthernet1/2/5/1

DS-Lite B4 ACL: 2100

Address group ID: 2

Port-preserved: N NO-PAT: N Reversible: N

Priority: 0

NAT counting: 0

Config status: Active

表1-11 display nat outbound命令显示信息描述表

字段	描述
NAT outbound information	出方向动态地址转换的配置信息
Totally n NAT outbound rules	当前存在n条出方向动态地址转换
Interface	出方向动态地址转换配置所在的接口
ACL	引用的IPv4 ACL编号或名称。如果未配置，则显示“---”
DS-Lite B4 ACL	DS-Lite B4引用的IPv6 ACL编号或名称
Address group ID	出方向动态地址转换使用的地址组编号。如果未配置，则显示“---”
Address group name	出方向动态地址转换使用的地址组名称。如果未配置，则不显示该字段
Port-preserved	PAT方式下，是否尽量不转换端口。若其值为“Y”，则表示PAT方式下分配端口时尽量不转换端口；若其值为“N”，则允许并接受PAT方式下分配端口时转换端口
NO-PAT	是否使用NO-PAT方式进行转换。若其值为“N”，则表示使用PAT方式
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则表示不允许
VPN instance	地址组所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Rule name	NAT规则的名称
Priority	NAT规则的匹配优先级
Description	出方向动态地址转换配置的描述信息。如果未配置，则不显示该字段
Configuration mode	对设备进行配置的方式 · NETCONF (action)：使用NETCONF对设备进行配置，并使用action操作如果使用其他方式对设备进行配置，则不显示该字段
NAT counting	出方向动态地址转换的计数信息
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因 · The following items don't exist or aren't effective：以下一个或多个配置项不存在或不生效 ¡ global VPN：地址组所属的VPN实例不存在或不生效 ¡ interface IP address：接口地址不存在或不生效 ¡ address group：地址组不存在或不生效 ¡ ACL：ACL不存在或不生效 · NAT address conflicts：NAT地址冲突

【相关命令】

· nat outbound

1.1.26 display nat outbound port-block-group

display nat outbound port-block-group命令用来显示NAT444端口块静态映射的配置信息。

【命令】

display nat outbound port-block-group

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT444端口块静态映射的配置信息。

<Sysname> display nat outbound port-block-group

NAT outbound port block group information:

Totally 2 outbound port block group items.

Interface: GigabitEthernet1/2/5/2

port-block-group: 2

VPN instance: vpna

Rule name: abcdefg

NAT counting: 0

Config status : Active

Interface: GigabitEthernet1/2/5/2

port-block-group: 10

VPN instance: vpna

Rule name: abcfg

NAT counting: 0

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: port block group.

表1-12 display nat outbound port-block-group 命令显示信息描述表

字段	描述
NAT outbound port block group information	NAT444端口块静态映射的配置信息
Totally n outbound port block group items	当前存在n条NAT444端口块静态映射配置
Interface	NAT444端口块静态映射配置所在的接口
port-block-group	端口块组编号
VPN instance	端口块组所属的MPLS L3VPN的VPN实例名称。如果该接口没有绑定任何VPN实例，则不显示该字段
Rule name	NAT规则的名称
NAT counting	NAT444端口块静态映射的计数信息
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因 · The following items don't exist or aren't effective: port block group：配置中端口块组不存在或不生效

【相关命令】

· nat outbound port-block-group

1.1.27 display nat policy

display nat policy命令用来显示接口NAT策略的配置信息。

【命令】

display nat policy

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT策略的配置信息。

<Sysname> display nat policy

NAT policy information:

Totally 1 NAT policy rules.

Rule name: rule1

Description : first rule

Outbound-interface : GigabitEthernet1/2/5/2

SrcIP object group : srcObj1

SrcIP object group : srcObj2

SrcIP object group : srcObj3

DestIP object group : desObj1

DestIP object group : desObj2

DestIP object group : desObj3

Service object group : serviceObj1

Service object group : serviceObj2

Service object group : serviceObj3

Action:

Address group ID: 2 Address group name: a

NO-PAT: Y

Reversible: N

Port-preserved: N

NAT counting : 0

Config status: Active

表1-13 display nat policy命令显示信息描述表

字段	描述
NAT policy information	NAT策略的配置信息
Totally n NAT policy rules	当前存在n条NAT规则
Rule name	NAT规则的名称
Description	NAT规则的描述信息
Outbound-interface	应用NAT规则的出方向接口
SrcIP object group	NAT规则引用的源地址对象组
DestIP object group	NAT规则引用的目的地址对象组
Service object group	NAT规则引用的服务对象组
Action	NAT规则的转换方式
Easy-IP	使用Easy IP方式进行地址转换
NO-NAT	不进行地址转换
Address group ID	NAT规则使用的地址组编号。如果未配置，则不显示该字段
Address group name	NAT规则使用的地址组名称。如果未配置，则不显示该字段
NO-PAT	是否使用NO-PAT方式进行地址转换。若其值为“Y”，则表示使用NO-PAT方式；若其值为“N”，则表示使用PAT方式
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换；若其值为“N”，则不允许
Port-preserved	PAT方式下，是否尽量不转换端口。若其值为“Y”，则表示PAT方式下分配端口时尽量不转换端口；若其值为“N”，则允许并接受PAT方式下分配端口时转换端口
NAT counting	接口NAT地址转换的计数信息
Config status	显示NAT策略配置的状态 · Active：表示生效 · Inactive：表示不生效
Reasons for inactive status	当Config status字段为Inactive时，显示配置不生效的原因： · No interface is configured or exists：未配置应用NAT规则的接口或接口不存在 · The interface doesn't have an address：应用NAT规则的接口未指定IP地址 · No action：未配置NAT规则中的地址转换方式 · The NAT configuration is disabled：NAT规则中的地址转换映射被禁用 · The address-group doesn't have an address or doesn't exist：地址组不存在或地址组中不存在地址成员

1.1.28 display nat port-block

display nat port-block命令用来显示端口块表项。

【命令】

display nat port-block { dynamic [ address-group { group-id | name group-name } ] [ ds-lite-b4 ] | static [ port-block-group group-id ] } [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

dynamic：显示动态端口块表项。

address-group：显示指定地址组的端口块表项。如果不指定该参数，则显示所有地址组的端口块表项信息。

group-id：地址组的编号，取值范围为0～65535。

name group-name：地址组的名称，为1～63个字符的字符串，不区分大小写。

ds-lite-b4：显示基于DS-Lite B4地址的端口块表项。

static：显示静态端口块表项。

port-block-group group-id：显示指定NAT端口块组的端口块表项。group-id为NAT端口块组的编号，取值范围为0～65535。如果不指定该参数，则显示所有NAT端口块组的端口块表项信息。

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的端口块表项信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则表示显示所有成员设备的所有单板上的端口块表项信息。

【举例】

# 显示指定slot上的静态端口块表项。

<Sysname> display nat port-block static chassis 1 slot 1

Slot 1 in chassis 1:

Local VPN Local IP Global IP Port block Connections

--- 100.100.100.111 202.202.100.101 10001-10256 0

--- 100.100.100.112 202.202.100.101 10257-10512 0

--- 100.100.100.113 202.202.100.101 10513-10768 0

--- 100.100.100.113 202.202.100.101 10769-11024 0

Total entries found: 4

# 显示指定slot上的动态端口块表项。

<Sysname> display nat port-block dynamic chassis 1 slot 1

Slot 1 in chassis 1:

Local VPN Local IP Global IP Port block Connections

--- 101.1.1.12 192.168.135.201 10001-11024 1

Total entries found: 1

# 显示指定slot上的基于DS-Lite B4地址的端口块表项。

<Sysname> display nat port-block dynamic ds-lite-b4 chassis 1 slot 1

Slot 1 in chassis 1:

Local VPN DS-Lite B4 addr Global IP Port block Connections

--- 2000::2 192.168.135.201 10001-11024 1

Total entries found: 1

表1-14 display nat port-block 命令显示信息描述表

字段	描述
Local VPN	‌私网IP地址所属VPN实例，“---”表示不属于任何VPN实例
Local IP	私网IP地址
DS-Lite B4 addr	DS-Lite B4设备的IPv6地址
Global IP	公网IP地址
Port block	端口块（起始端口-结束端口）
Connections	当前使用本端口块中的端口建立的连接数

1.1.29 display nat port-block-group

display nat port-block-group命令用来显示NAT端口块组配置信息。

【命令】

display nat port-block-group [ group-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

group-id：端口块组的编号，取值范围为0～65535。如果不设置该值，则显示所有端口块组的配置信息。

【举例】

# 显示所有端口块组的配置信息。

<Sysname> display nat port-block-group

NAT port block group information:

Totally 3 NAT port block groups.

Port block group 1:

Port range: 1-65535

Block size: 256

Local IP address information:

Start address End address VPN instance

172.16.1.1 172.16.1.254 ---

192.168.1.1 192.168.1.254 ---

192.168.3.1 192.168.3.254 ---

Global IP pool information:

Start address End address

201.1.1.1 201.1.1.10

201.1.1.21 201.1.1.25

Port block group 2:

Port range: 10001-30000

Block size: 500

Local IP address information:

Start address End address VPN instance

10.1.1.1 10.1.10.255 ---

Global IP pool information:

Start address End address

202.10.10.101 202.10.10.120

Port block group 3:

Port range: 1-65535

Block size: 256

Local IP address information:

Start address End address VPN instance

--- --- ---

Global IP pool information:

Start address End address

--- ---

# 显示端口块组1的配置信息。

<Sysname> display nat port-block-group 1

Port block group 1:

Port range: 1-65535

Block size: 256

Local IP address information:

Start address End address VPN instance

172.16.1.1 172.16.1.254 ---

192.168.1.1 192.168.1.254 ---

192.168.3.1 192.168.3.254 ---

Global IP pool information:

Start address End address

201.1.1.1 201.1.1.10

201.1.1.21 201.1.1.25

表1-15 display nat port-block-group命令显示信息描述表

字段	描述
NAT port block group information	NAT端口块组信息
Totally n NAT port block groups	当前有n个端口块组
Port block group	端口块组的编号
Port range	公网地址的端口范围
Block size	端口块大小
Local IP address information	私网IP地址成员信息
Global IP pool information	公网IP地址成员信息
Start address	私网/公网IP地址成员的起始IP地址。如果未配置，则显示“---”
End address	私网/公网IP地址成员的成员结束IP地址。如果未配置，则显示“---”
VPN instance	‌私网IP地址成员所属的VPN实例。如果未配置，则显示“---”

【相关命令】

· nat port-block-group

1.1.30 display nat port-block-usage

display nat port-block-usage命令用来显示动态NAT444地址组中端口块的使用率。

【命令】

display nat port-block-usage [ address-group group-id ] [ chassis chassis-number slot slot-number ]

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

address-group group-id：显示某一指定地址组的端口块使用率。group-id表示地址组编号，取值范围为0～65535。若不指定该参数，则显示所有地址组的端口块使用率。

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上动态NAT444地址组中端口块的使用率，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有成员设备动态NAT444地址组中端口块的使用率。

【举例】

# 显示指定slot上动态NAT444地址组中端口块的使用率。

<Sysname> display nat port-block-usage chassis 1 slot 2

Slot 2 in chassis 1:

Address group 0 on channel 0:

Total port block entries :10

Active port block entries:9

Current port block usage :90%

Total NAT address groups found: 1

表1-16 display nat port-block-usage命令显示信息描述表

字段	描述
Address group	地址组的编号
channel	FPGA（Field-Programmable Gate Array，现场可编程门阵列）编号
Total port block entries	地址组中端口块总数
Active port block entries	地址组中已分配端口块数
Current port block usage	地址组中当前端口块使用率
Total NAT address groups found	当前地址组的个数

1.1.31 display nat probe address-group

display nat probe address-group命令用来显示NAT地址组中地址成员的检测信息。

【命令】

display nat probe address-group [ group-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

group-id：地址组的编号，取值范围为0～65535。如果不指定本参数，则显示所有地址组中地址成员的检测信息。

【使用指导】

该命令显示的排除地址只包括NQA模板检测得到的不可用于NAT转换的地址，不包含exclude-ip命令配置的排除地址。

【举例】

# 显示所有地址组中地址成员的检测信息。

<Sysname> display nat probe address-group

Address group ID: 1

Address-group name: dududu1

Address-group probe status： Partial available

Detected IP count: 5

Excluded IP count: 4

IP address Excluded Excluded time

1.1.1.1 YES 2017/12/26 09:30:39

1.1.1.2 YES 2017/12/26 09:30:39

1.1.1.3 YES 2017/12/26 09:30:39

1.1.1.4 YES 2017/12/26 09:30:39

1.1.1.5 NO ----

Address group ID: 2

Address-group name: dududu2

Address-group probe status： Partial available

Detected IP count: 5

Excluded IP count: 4

IP address Excluded Excluded time

2.1.1.1 YES 2017/12/26 09:31:39

2.1.1.2 YES 2017/12/26 09:31:39

2.1.1.3 YES 2017/12/26 09:31:39

2.1.1.4 YES 2017/12/26 09:31:39

2.1.1.5 NO ----

# 显示编号为1的NAT地址组的检测信息。

<Sysname> display nat probe address-group 1

Address group ID: 1

Address-group name: dududu

Address-group probe status： Partial available

Detected IP count: 5

Excluded IP count: 4

IP address Excluded Excluded time

1.1.1.1 YES 2017/12/26 09:30:39

1.1.1.2 YES 2017/12/26 09:30:39

1.1.1.3 YES 2017/12/26 09:30:39

1.1.1.4 YES 2017/12/26 09:30:39

1.1.1.5 NO ----

表1-17 display nat probe address-group命令显示信息描述表

字段	描述
Address group ID	地址组编号
Address group name	地址组名称。如果没有配置，则不显示该字段
Address-group probe status	地址池检测状态，取值如下： · Inactive：未开启地址检测功能 · In progress：地址检测中 · All available：地址组中地址全部可用 · Partial available：地址组中地址部分可用 · None available：地址组中地址全部不可用
Detected IP count	检测的IP地址个数
Excluded IP count	地址组中不能用于地址转换的IP地址的个数
IP address	地址组中的地址成员
Excluded	地址组中的地址是否被排除，取值如下： · YES：表示地址组中的IP地址被排除，不能用于地址转换 · NO：表示地址组中的IP地址未被排除，可以用于地址转换
Excluded time	地址组中的IP地址被排除的时间

【相关命令】

· exclude-ip

· probe

1.1.32 display nat server

display nat server命令用来显示NAT内部服务器的配置信息。

【命令】

display nat server

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT内部服务器的信息。

<Sysname> display nat server

NAT internal server information (object-group):

Totally 1 object-group-based NAT server rules.

Rule name: aaa

Interface: Vlan-interface1

Local IP/Port: 1.1.1.1/80

DestIP Object group: a1

NAT counting : 0

Description : NatServerDescription1

Config status : Active

NAT internal server information:

Totally 5 internal servers.

Interface: GigabitEthernet1/2/5/1

Global ACL : 2000

Local IP/port : 192.168.10.1/23

Rule name : cdefgab

Priority : 1000

Configuration mode : NETCONF (action)

NAT counting : 0

Config status : Active

Interface: GigabitEthernet1/2/5/3

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23

Local IP/port : 192.168.10.15/23

Rule name : ace

NAT counting : 0

Config status : Inactive

Reasons for inactive status:

Interface: GigabitEthernet1/2/5/4

Protocol: 6(TCP)

Global IP/port: 50.1.1.1/23-30

Local IP/port : 192.168.10.15-192.168.10.22/23

Global VPN : vpn1

Local VPN : vpn3

Rule name : abcdef

NAT counting : 0

Config status : Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Interface: GigabitEthernet1/2/5/4

Protocol: 255(Reserved)

Global IP/port: 50.1.1.100/---

Local IP/port : 192.168.10.150/---

Rule name : cdefg

NAT counting : 0

Config status : Active

Interface: GigabitEthernet1/2/5/5

Protocol: 17(UDP)

Global IP/port: 50.1.1.2/23

Local IP/port : server group 1

1.1.1.1/21 (Connections: 10)

192.168.100.200/80 (Connections: 20)

Rule name : white

NAT counting : 0

Config status : Active

表1-18 display nat server命令显示信息描述表

字段	描述
Totally n object-group-based NAT server rules	当前存在n条基于对象组的NAT内部服务器的配置
Rule name	NAT规则的名称
NAT internal server information	NAT内部服务器的配置信息
Totally n internal servers	当前存在n条内部服务器配置
Interface	内部服务器配置所在的接口
Protocol	内部服务器的协议编号以及协议名称
Global IP/port	内部服务器的外网地址/端口号 · Global IP可以是单个地址，也可以是一个连续的地址段。如果使用Easy IP方式，则此处显示指定的接口的地址；如果接口下未配置地址，则Global IP显示为“---” · port可以是单个端口，也可以是一个连续的端口段。如果指定的协议没有端口的概念，则port显示为“---”
Local IP/port	对于普通内部服务器和基于对象组的内部服务器，显示服务器的内网地址/端口号 · Local IP可以是单个地址，也可以是一个连续的地址段 · port可以是单个端口，也可以是一个连续的端口段。如果指定的协议没有端口的概念，则port显示为“---” 对于负载分担内部服务器，显示内部服务器组编号以及服务器组成员的IP地址、端口和连接数
DestIP Object group	NAT规则引用的目的地址对象组
Service Object group	NAT规则引用的服务对象组
Global VPN	外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Local VPN	内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
ACL	引用的ACL编号或名称。如果未配置，则不显示该字段
Rule name	NAT规则的名称
Priority	NAT规则的匹配优先级
Configuration mode	对设备进行配置的方式 · NETCONF：使用NETCONF对设备进行配置，并使用action操作如果使用其他方式对设备进行配置，则不显示该字段
NAT counting	NAT内部服务器地址转换的计数信息
Description	NAT内部服务器配置的描述信息。如果未配置，则不显示该字段
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示NAT内部服务器的配置不生效的原因 · The following items don't exist or aren't effective：以下一个或多个配置项不存在或不生效 ¡ local VPN：内网地址所属的VPN实例不存在或不生效 ¡ global VPN：外网地址所属的VPN实例不存在或不生效 ¡ interface IP address：接口地址不存在或不生效 ¡ server group：服务器组不存在或不生效 ¡ ACL：ACL不存在或不生效 · Server configuration conflicts：NAT内部服务器配置冲突 · NAT address conflicts：NAT地址冲突

【相关命令】

· nat server

1.1.33 display nat server-group

display nat server-group命令用来显示NAT内部服务器组的配置信息。

【命令】

display nat server-group [ group-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

group-id：NAT内部服务器组的编号，取值范围为0～65535。如果不指定该参数，则显示所有内部服务器组。

【举例】

# 显示所有NAT内部服务器组的配置信息。

<Sysname> display nat server-group

NAT server group information:

Totally 3 NAT server groups.

Group Number Inside IP Port Weight

1 192.168.0.26 23 100

192.168.0.27 23 500

2 --- --- ---

3 192.168.0.26 69 100

# 显示指定NAT内部服务器组的配置信息。

<Sysname> display nat server-group 1

Group Number Inside IP Port Weight

1 192.168.0.26 23 100

192.168.0.27 23 500

表1-19 display nat server-group命令显示信息描述表

字段	描述
NAT server group information	NAT内部服务器组信息
Totally n NAT server groups	当前有n个内部服务器组
Group Number	内部服务器组的编号
Inside IP	内部服务器组成员在内网的IP地址。如果未配置，则显示“---”
Port	内部服务器组成员在内网的端口。如果未配置，则显示“---”
Weight	内部服务器组成员的权重值。如果未配置，则显示“---”

【相关命令】

· nat server-group

1.1.34 display nat session

display nat session命令用来显示NAT会话，即经过NAT地址转换处理的会话。

【命令】

display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ chassis chassis-number slot slot-number ] [ brief | verbose ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

responder：表示以响应方的信息筛选显示NAT会话表项。若不指定该参数时，则以发起方的信息筛选显示NAT会话表项。

source-ip source-ip：显示指定源地址的会话。source-ip表示源地址，该地址必须是创建会话的报文的源地址。

destination-ip destination-ip：显示指定目的地址的会话。destination-ip表示目的地址，该地址必须是创建会话的报文的目的地址。

vpn-instance vpn-instance-name：显示指定目的VPN实例的会话。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。该VPN实例必须是报文中携带的VPN实例。如果不指定该参数，则显示目的IP不属于任何VPN实例的会话。

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的NAT会话，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有成员设备的所有单板上的NAT会话。

brief：显示NAT会话的简要信息。

verbose：显示NAT会话的详细信息。

【使用指导】

如果不指定任何参数，则显示所有NAT会话发起方的详细信息。

【举例】

# 显示指定slot上NAT会话的详细信息。

<Sysname> display nat sessionchassis 1 slot 2 verbose

Slot 2 in chassis 1:

Initiator:

Source IP/port: 192.168.1.18/1877

Destination IP/port: 192.168.1.55/22

DS-Lite tunnel peer: -

VPN instance/VLAN ID/Inline ID: -/-/-

Protocol: TCP(6)

Inbound interface: GigabitEthernet1/2/5/1

Source security zone: SrcZone

Responder:

Source IP/port: 192.168.1.55/22

Destination IP/port: 192.168.1.10/1877

DS-Lite tunnel peer: -

VPN instance/VLAN ID/Inline ID: -/-/-

Protocol: TCP(6)

Inbound interface: GigabitEthernet1/2/5/2

Source security zone: DestZone

State: TCP_SYN_SENT

Application: SSH

Rule ID: -/-/-

Rule name:

Start time: 2011-07-29 19:12:36 TTL: 28s

Initiator->Responder: 1 packets 48 bytes

Responder->Initiator: 0 packets 0 bytes

Total sessions found: 1

# 显示NAT会话的简要信息。

<Sysname> display nat session brief

Slot 1:

Protocol Source IP/port Destination IP/port Global IP/port

TCP 2.1.1.20/1351 10.1.1.110/21 2.1.1.50/1025

Total sessions found: 1

表1-20 display nat session命令显示信息描述表

字段	描述
Initiator	发起方的会话信息
Responder	响应方的会话信息
Source IP/port	源IP地址/端口号
Destination IP/port	目的IP地址/端口号
Global IP/port	公网IP地址/端口号
DS-Lite tunnel peer	DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时，本字段显示为“-”
VPN instance/VLAN ID/Inline ID	会话所属的MPLS L3VPN‌/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-”
Protocol	传输层协议类型，包括：DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite
Inbound interface	报文的入接口
Source security zone	源安全域，即入接口所属的安全域。若接口不属于任何安全域，则显示为“-”
State	会话状态
Application	应用层协议类型，取值包括：FTP、DNS等，OTHER表示未知协议类型，其对应的端口为非知名端口
Rule ID	安全策略规则的ID
Rule name	安全策略规则的名称
Start time	会话创建时间
TTL	会话剩余存活时间，单位为秒
Initiator->Responder	发起方到响应方的报文数、报文字节数
Responder->Initiator	响应方到发起方的报文数、报文字节数
Total sessions found	当前查找到的会话的总数

【相关命令】

· reset nat session

1.1.35 display nat static

display nat static命令用来显示NAT静态地址转换的配置信息。

【命令】

display nat static

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【举例】

# 显示NAT静态地址转换的配置信息。

<Sysname> display nat static

Static NAT mappings:

Totally 2 inbound static NAT mappings.

Net-to-net:

Global IP : 1.1.1.1 - 1.1.1.255

Local IP : 2.2.2.0

Netmask : 255.255.255.0

Global VPN : vpn2

Local VPN : vpn1

ACL : 2000

Reversible : Y

Rule name : adefg

Priority : 1000

NAT counting : 0

Description : NatStaticDescription1

Config status: Active

IP-to-IP:

Global IP : 5.5.5.5

Local IP : 4.4.4.4

ACL : 2001

Reversible : Y

Rule name : abefg

Priority : 1000

NAT counting : 0

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Totally 2 outbound static NAT mappings.

Net-to-net:

Local IP : 1.1.1.1 - 1.1.1.255

Global IP : 2.2.2.0

Netmask : 255.255.255.0

ACL : 2000

Reversible : Y

Rule name : abcd

Priority : 1000

NAT counting : 0

Config status: Active

IP-to-IP:

Local IP : 4.4.4.4

Global IP : 5.5.5.5

ACL: : 2000

Rule name : defg

Priority : 1000

NAT counting : 0

Reversible : Y

Description : NatStaticDescription2

Config status: Inactive

Reasons for inactive status:

The following items don't exist or aren't effective: ACL.

Interfaces enabled with static NAT:

Totally 1 interfaces enabled with static NAT.

Interface: GigabitEthernet1/2/5/2

Config status: Active

表1-21 display nat static命令显示信息描述表

字段	描述
Static NAT mappings	静态地址转换的配置信息
Totally n inbound static NAT mappings	当前存在n条入方向静态地址转换的配置
Totally n outbound static NAT mappings	当前存在n条出方向静态地址转换的配置
Net-to-net	网段到网段的静态地址转换映射
IP-to-IP	IP到IP的静态地址转换映射
Local IP	内网IP地址或地址范围
Global IP	外网IP地址或地址范围
Netmask	IP地址掩码
Local VPN	内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
Global VPN	外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例，则不显示该字段
ACL	引用的ACL编号或名称。如果未配置，则不显示该字段
Reversible	是否允许反向地址转换。若其值为“Y”，则表示在某方向上发起的连接已成功建立地址转换表项的情况下，允许反方向发起的连接使用已建立的地址转换表项进行地址转换如果未配置，则不显示该字段
Interfaces enabled with static NAT	静态地址转换在接口下的开启情况
Totally n interfaces enabled with static NAT	当前有n个接口开启了静态地址转换
Interface	开启静态地址转换功能的接口
Rule name	NAT规则的名称
Priority	NAT规则的匹配优先级
NAT counting	静态地址转换的计数信息
Description	NAT静态地址转换配置的描述信息。如果未配置，则不显示该字段
Config status	显示配置的状态 · Active：生效 · Inactive：不生效
Reasons for inactive status	当Config status字段为Inactive时，显示静态地址转换的配置不生效的原因 · The following items don't exist or aren't effective：以下一个或多个配置项不存在或不生效 ¡ local VPN：内网地址所属的VPN实例不存在或不生效 ¡ global VPN：外网地址所属的VPN实例不存在或不生效 ¡ ACL：ACL不存在或不生效 · NAT address conflicts：NAT地址冲突

【相关命令】

· nat static enable

· nat static inbound

· nat static inbound net-to-net

· nat static inbound object-group

· nat static outbound

· nat static outbound net-to-net

· nat static outbound object-group

1.1.36 display nat statistics

display nat statistics命令用来显示NAT统计信息。

【命令】

display nat statistics [ summary ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

summary：显示NAT统计信息的摘要信息。不指定该参数时，显示NAT统计信息的详细信息。

chassis chassis-number slot slot-number：显示指定成员设备的指定单板上的NAT统计信息，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。若不指定该参数，则显示所有成员设备的所有单板上的NAT统计信息。

【举例】

# 显示所有NAT统计信息的详细信息。

<Sysname> display nat statistics

Slot 2 in chassis 1:

Total session entries: 100

Session creation rate: 0

Total EIM entries: 1

Total inbound NO-PAT entries: 0

Total outbound NO-PAT entries: 0

Total static port block entries: 10

Total dynamic port block entries: 15

Active static port block entries: 0

Active dynamic port block entries: 0

表1-22 display nat statistics命令显示信息描述表

字段	描述
Total session entries	NAT会话表项个数
Session creation rate	新建NAT会话的速率，单位为每秒个
Total EIM entries	EIM表项个数
Total inbound NO-PAT entries	入方向的NO-PAT表项个数
Total outbound NO-PAT entries	出方向的NO-PAT表项个数
Total static port block entries	‌当前配置创建的静态端口块表项个数
Total dynamic port block entries	‌当前配置可创建的动态端口块表项个数，即可分配的动态端口块总数，包括已分配的端口块和尚未分配的端口块
Active static port block entries	‌当前正在使用的静态端口块表项个数
Active dynamic port block entries	‌当前已创建的动态端口块表项个数，即已分配的动态端口块个数

# 显示所有NAT统计信息的概要信息。

<Sysname> display nat statistics summary

EIM: Total EIM entries.

SPB: Total static port block entries.

DPB: Total dynamic port block entries.

ASPB: Active static port block entries.

ADPB: Active dynamic port block entries.

Chassis Slot Sessions EIM SPB DPB ASPB ADPB

1 2 0 0 0 1572720 0 0

表1-23 display nat statistics summary命令显示信息描述表

字段	描述
Sessions	NAT会话表项个数
EIM	EIM表项个数
SPB	‌当前配置创建的静态端口块表项个数
DPB	‌当前配置可创建的动态端口块表项个数，即可分配的动态端口块总数，包括已分配的端口块和尚未分配的端口块
ASPB	‌当前正在使用的静态端口块表项个数
ADPB	‌当前已创建的动态端口块表项个数，即已分配的动态端口块个数

1.1.37 exclude-ip

exclude-ip命令用来配置禁止用于地址转换的IP地址。

undo exclude-ip命令用来恢复禁止用于地址转换的IP地址。

【命令】

exclude-ip start-address end-address

undo exclude-ip start-address end-address

【缺省情况】

不存在被禁止用于地址转换的IP地址。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-address end-address：地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address，如果start-address和end-address相同，则表示只有一个地址。

【使用指导】

NAT地址组中，某些地址成员不能用做地址转换时，可以使用该命令将其禁止。

多次执行exclude-ip命令，最多可以配置100个不用于地址转换的地址范围，各地址范围间的地址不能重叠，且start-address和end-address必须处于同一address命令添加的地址成员范围内。每个不用于地址转换的地址范围中，最多包含4096个地址。

【举例】

# 配置NAT地址组2中禁止用于地址转换的IP地址为：10.1.1.2，10.1.1.3～10.1.1.5。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] address 10.1.1.1 10.1.1.15

[Sysname-address-group-2] exclude-ip 10.1.1.2 10.1.1.2

[Sysname-address-group-2] exclude-ip 10.1.1.3 10.1.1.5

【相关命令】

· address

1.1.38 global-ip-pool

global-ip-pool命令用来添加一个公网地址成员。

undo global-ip-pool命令用来删除一个公网地址成员。

【命令】

global-ip-pool start-address end-address

undo global-ip-pool start-address

【缺省情况】

不存在公网地址成员。

【视图】

NAT端口块组视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-address end-address：公网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address；如果start-address和end-address相同，则表示只有一个地址。

【使用指导】

在NAT444端口块静态映射中，端口基于公网地址成员的IP地址为私网地址成员的IP地址分配端口块。一个公网IP地址可对应的端口块个数，由端口块组配置的公网地址端口范围和端口块大小决定（端口范围除以端口块大小）。

一个端口块组内，一次添加的公网地址成员的数量不能超过256个，且各公网地址成员之间的IP地址不能重叠。

不同端口块组间的公网地址成员的IP地址可以重叠，但要保证在有地址重叠时端口范围不重叠。

【举例】

# 在端口块组1中添加一个公网地址成员，IP地址从202.10.1.1到202.10.1.10。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] global-ip-pool 202.10.1.1 202.10.1.10

【相关命令】

· nat port-block-group

1.1.39 inside ip

inside ip命令用来添加一个内部服务器组成员。

undo inside ip命令用来删除一个内部服务器组成员。

【命令】

inside ip inside-ip port port-number [ weight weight-value ]

undo inside ip inside-ip port port-number

【缺省情况】

内部服务器组内没有内部服务器组成员。

【视图】

内部服务器组视图

【缺省用户角色】

network-admin

context-admin

【参数】

inside-ip：内部服务器组成员的IP地址。

port port-number：内部服务器组成员提供服务的端口号，取值范围为1～65535（FTP数据端口号20除外）。

weight weight-value：内部服务器组成员的权重。weight-value表示权值，取值范围为1～1000，缺省值为100。

【使用指导】

内部服务器组成员按照权重比例对外提供服务，权重值越大的内部服务器组成员对外提供服务的比重越大。

【举例】

# 为内部服务器组1添加一个内部服务器组成员，其IP地址为10.1.1.2，服务端口号为30。

<Sysname> system-view

[Sysname] nat server-group 1

[Sysname-nat-server-group-1] inside ip 10.1.1.2 port 30

【相关命令】

· nat server-group

1.1.40 local-ip-address

local-ip-address命令用来添加一个私网地址成员。

undo local-ip-address命令用来删除一个私网地址成员。

【命令】

local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]

undo local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]

【缺省情况】

不存在私网地址成员。

【视图】

NAT端口块组视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-address end-address：私网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address；如果start-address和end-address相同，则表示只有一个地址。

vpn-instance vpn-instance-name：私网地址成员所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示私网地址成员不属于任何一个VPN实例。

【使用指导】

私网地址成员的IP地址作为端口块的使用者，基于端口块组配置的公网地址成员的IP地址为其分配端口块。在一个端口块组内，一个私网IP地址只分配一个端口块。

同一个端口块组内，可配置多个私网地址成员：

· 属于同一VPN实例的各私网地址成员之间的IP地址不能重叠。

· 不属于任何VPN实例的私网地址成员之间的IP地址不能重叠。

如果一个端口块组中的私网地址总数超过可分配的端口块总数（端口范围除以端口块大小），则在进行NAT444端口块静态映射时，超出部分的私网地址将无法分配到端口块。

【举例】

# 在端口块组1中添加一个私网地址成员，IP地址从172.16.1.1到172.16.1.255。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] local-ip-address 172.16.1.1 172.16.1.255

【相关命令】

· nat port-block-group

1.1.41 nat address-group

nat address-group命令用来创建地址组，并进入地址组视图。如果指定的地址组已经存在，则直接进入地址组视图。

undo nat address-group命令用来删除指定的地址组。

【命令】

nat address-group group-id [ name group-name ]

undo nat address-group group-id

【缺省情况】

不存在地址组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-id：地址组编号，取值范围为0～65535。

name group-name：地址组的名称，为1～63个字符的字符串，区分大小写。

【使用指导】

一个地址组是多个地址组成员的集合，各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时，其源地址将被转换为地址组成员中的某个地址。

【举例】

# 创建一个地址组，编号为1，名称为abc。

<Sysname> system-view

[Sysname] nat address-group 1 name abc

【相关命令】

· address

· display nat address-group

· display nat all

· nat inbound

· nat outbound

1.1.42 nat alg

nat alg命令用来开启指定或所有协议类型的NAT ALG功能。

undo nat alg命令用来关闭指定或所有协议类型的NAT ALG功能。

【命令】

nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sctp | | sip | sqlnet | tftp | xdmcp }

undo nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sctp | | sip | sqlnet | tftp | xdmcp }

【缺省情况】

DNS、FTP、ICMP差错报文、PPTP、RTSP协议类型的NAT ALG功能处于开启状态，其他协议类型的NAT ALG功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

all：所有可指定的协议的ALG功能。

dns：表示DNS协议的ALG功能。

ftp：表示FTP协议的ALG功能。

h323：表示H323协议的ALG功能。

icmp-error：表示ICMP差错控制报文的ALG功能。

ils：表示ILS（Internet Locator Service，互联网定位服务）协议的ALG功能。

mgcp：表示MGCP（Media Gateway Control Protocol，媒体网关控制协议）协议的ALG功能。

nbt：表示NBT（NetBIOS over TCP/IP，基于TCP/IP的网络基本输入输出系统）协议的ALG功能。

pptp：表示PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议）协议的ALG功能。

rsh：表示RSH（Remote Shell，远程外壳）协议的ALG功能。

rtsp：表示RTSP（Real Time Streaming Protocol，实时流协议）协议的ALG功能。

sccp：表示SCCP（Skinny Client Control Protocol，瘦小客户端控制协议）协议的ALG功能。

sctp：表示SCTP（Stream Control Transmission Protocol，流控制传输协议）协议的ALG功能。

sip：表示SIP（Session Initiation Protocol，会话初始协议）协议的ALG功能。

sqlnet：表示SQLNET协议的ALG功能。

tftp：表示TFTP协议的ALG功能。

xdmcp：表示XDMCP（X Display Manager Control Protocol，X显示监控）协议的ALG功能。

【使用指导】

ALG（Application Level Gateway，应用层网关）主要完成对应用层报文的解析和处理。通常情况下，NAT只对报文头中的IP地址和端口信息进行转换，不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议，它们的报文的数据载荷中可能包含IP地址或端口信息，这些载荷信息也必须进行有效的转换，否则可能导致功能不正常。

例如，FTP应用由数据连接和控制连接共同完成，而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定，这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换，以保证后续数据连接的正确建立。

【举例】

# 开启FTP协议的ALG功能。

<Sysname> system-view

[Sysname] nat alg ftp

【相关命令】

· display nat all

1.1.43 nat configuration-for-new-connection

nat configuration-for-new-connection enable命令用来开启地址转换配置变更仅对新连接生效的功能。

undo configuration-for-new-connection enable命令用来关闭地址转换配置变更仅对新连接生效功能。

【命令】

nat configuration-for-new-connection enable

undo nat configuration-for-new-connection enable

【缺省情况】

地址转换配置变更仅对新连接生效的功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

非缺省vSystem不支持本命令。

缺省情况下，当NAT配置发生变更时（例如添加、删除、修改或移动NAT规则），对于已经建立的连接，配置变更可能会导致该连接上的流量匹配到了新的NAT规则，此时需要重新建立连接。

如果不希望NAT配置变更影响已经建立的连接，请配置nat configuration-for-new-connection enable命令。配置本命令后，NAT配置变更时，对于已经建立的连接上的流量，设备仍然使用配置变更前的地址转换规则进行地址转换。对于新建立的连接上的流量，根据NAT配置变更后的NAT规则优先级顺序进行流量匹配，并使用匹配上的NAT规则进行地址转换。

【举例】

# 开启NAT配置变更仅对新连接生效的功能。

<Sysname> system-view

[Sysname] nat configuration-for-new-connection enable

【相关命令】

· display nat all

1.1.44 nat dns-map

nat dns-map命令用来配置一条域名到内部服务器的映射。

undo nat dns-map命令用来删除一条域名到内部服务器的映射。

【命令】

nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port

undo nat dns-map domain domain-name

【缺省情况】

不存在域名到内部服务器的映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

domain domain-name：指定内部服务器的合法域名。domain-name表示内部服务器的域名，由“.”分隔的字符串组成（如aabbcc.com），每个字符串的长度不超过63个字符，包括“.”在内的总长度不超过253个字符。不区分大小写，字符串中可以包含字母、数字、“-”、“_”或“.”。

protocol pro-type：指定内部服务器的协议类型。pro-type表示具体的协议类型，取值为tcp或udp。

interface interface-type interface-number：表示使用指定接口的地址作为内部服务器的外网地址。interface-type interface-number表示接口类型和接口编号。

ip global-ip：指定内部服务器提供给外部网络访问的IP地址。global-ip表示外网IP地址。

port global-port：指定内部服务器提供给外部网络访问的服务端口号，可输入的形式如下：

数字：取值范围为1～65535。协议名称：为1～15个字符的字符串，例如ftp、telnet等。

【使用指导】

NAT的DNS mapping功能需要和内部服务器配合使用，主要应用于DNS服务器在外网，应用服务器在内网（在NAT设备上有对应的nat server配置），内网用户需要通过域名访问内网应用服务器的场景。NAT设备对来自外网的DNS响应报文进行DNS ALG处理时，由于载荷中只包含域名和应用服务器的外网IP地址（不包含传输协议类型和端口号），当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时，DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置，指定域名与应用服务器的外网IP地址、端口和协议的映射关系，由域名获取应用服务器的外网IP地址、端口和协议，进而（在当前NAT接口上）精确匹配内部服务器配置获取应用服务器的内网IP地址。

设备可支持配置多条域名到内部服务器的映射。

【举例】

# 某公司内部对外提供Web服务，内部服务器的域名为www.server.com，对外的IP地址为202.112.0.1，服务端口号为12345。配置一条域名到内部服务器的映射，使得公司内部用户可以通过域名访问内部Web服务器。

<Sysname> system-view

[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port 12345

【相关命令】

· display nat all

· display nat dns-map

· nat server

1.1.45 nat global-policy

nat global-policy命令用来创建全局NAT策略，并进入全局NAT策略视图。如果指定的全局NAT策略已经存在，则直接进入全局NAT策略视图。

undo nat global-policy命令用来删除全局NAT策略及全局NAT策略视图下的所有配置。

【命令】

nat global-policy

undo nat global-policy

【缺省情况】

不存在全局NAT策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

全局NAT策略根据报文的属性对报文进行地址转换。全局NAT策略通过NAT规则识别报文的属性，全局NAT策略中可以包含多条NAT规则，每条NAT规则中均可配置多种过滤条件，具体包括：源IP地址、目的IP地址、服务类型、源安全域和目的安全域。设备通过NAT规则中的过滤条件识别出特定的报文，并根据预先设定的动作类型对其源地址或者目的地址进行地址转换。

对于全局NAT策略，不需要指定NAT规则的出接口。

全局NAT的优先级高于接口NAT。若同时存在全局NAT策略和接口NAT的配置，可能导致接口NAT中的配置失效，具体约束关系如下：

· 如果全局NAT策略中的NAT规则仅转换源地址，那么接口NAT中源地址转换的配置不生效，但是不会影响接口NAT中目的地址转换的配置。

· 如果全局NAT策略中的NAT规则仅转换目的地址，那么接口NAT中转换目的地址的配置不生效，但是不会影响接口NAT中源地址转换的配置。

· 如果全局NAT策略中的NAT规则既转换源地址又转换目的地址，那么接口NAT中转换源地址和转换目的地址的配置均不生效。

【举例】

# 创建全局NAT策略，并进入全局NAT策略视图。

<Sysname> system-view

[Sysname] nat global-policy

[Sysname-nat-global-policy]

【相关命令】

· display nat all

· display nat global-policy

1.1.46 nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp

nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp命令用来配置全局NAT策略中NAT类型的SNAT＋DNAT规则的源IP地址转换和目的IP转换先于安全策略匹配，以便与老版本兼容。

undo nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp命令用来恢复缺省情况。

【命令】

nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp

undo nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp

【缺省情况】

设备先进行全局NAT策略中NAT类型的SNAT＋DNAT规则的目的IP转换，然后使用转换前的源地址和转换后的目的地址匹配安全策略，最后进行全局NAT策略中NAT类型的SNAT＋DNAT规则的源IP转换。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

本命令仅用于兼容老版本，在软件升级过程中，设备会自从生成并下发nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp命令并保存此配置。不建议用户手工配置本命令。

【举例】

# 配置全局NAT策略中NAT类型的SNAT＋DNAT规则的源IP地址转换和目的IP转换先于安全策略匹配，以便与老版本兼容。

<Sysname> system-view

[Sysname] nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp

1.1.47 nat hairpin enable

nat hairpin enable命令用来开启NAT hairpin功能。

undo nat hairpin enable用来关闭NAT hairpin功能。

【命令】

nat hairpin enable

undo nat hairpin enable

【缺省情况】

NAT hairpin功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

NAT hairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求，需要与内部服务器（nat server）、出方向动态地址转换（nat outbound）或出方向静态地址转换（nat static outbound）配合工作。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。

NAT hairpin功能与内部服务器配合工作时，仅支持与通过如下方式配置的内部服务器配合使用，并且使用如下方式配置内部服务器时，必须通过protocol参数指定协议类型，否则NAT hairpin功能不生效。

· 1.1.73 (1)普通内部服务器。

· 1.1.73 (2)负载均衡内部服务器。

【举例】

# 在GigabitEthernet1/2/5/1接口下开启NAT hairpin功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat hairpin enable

【相关命令】

· display nat all

· nat outbound

· nat server

· nat static outbound

1.1.48 nat icmp-error reply

nat icmp-error reply命令用来开启NAT转换失败时发送ICMP差错报文功能。

undo nat icmp-error reply命令用来恢复缺省情况。

【命令】

nat icmp-error reply

undo nat icmp-error reply

【缺省情况】

NAT转换失败不发送ICMP差错报文。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

缺省情况下，NAT设备对ICMP报文的地址转换失败时，不会发送ICMP差错报文，从而导致使用ICMP协议报文的应用无法感知此事件。开启本功能后，NAT设备对ICMP报文地址转换失败时，会发送ICMP差错报文，使用ICMP协议报文的应用根据收到的ICMP差错报文发现和定位问题。

【举例】

# 开启设备在NAT转换失败时，发送ICMP差错报文功能。

<Sysname> system-view

[Sysname] nat icmp-error reply

1.1.49 nat inbound

nat inbound命令用来配置入方向动态地址转换。

undo nat inbound命令用来删除指定的入方向动态地址转换。

【命令】

nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

undo nat inbound { ipv4-acl-number | name ipv4-acl-name }

【缺省情况】

不存在入方向动态地址转换配置。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

address-group：指定地址转换使用的地址组。

group-id：地址组的编号，取值范围为0～65535。

group-name：地址组的名称，为1～63个字符的字符串，不区分大小写。

vpn-instance vpn-instance-name：指定地址组中的地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示地址组中的地址不属于任何一个VPN实例。

no-pat：表示使用NO-PAT方式进行转换，即转换时不使用报文的端口信息。如果未指定本参数，则表示使用PAT方式进行转换，即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文，由于ICMP报文没有端口的概念，我们将ICMP ID作为ICMP报文的源端口。

reversible：表示允许反向地址转换。即，在外网用户主动向内网发起连接并成功触发建立地址转换表项的情况下，允许内网向该外网用户发起的连接使用已建立的地址转换表项进行目的地址转换。

add-route：为转换后的地址添加路由表，其目的地址是转换后的地址，出接口为进行地址转换的接口，下一跳为该报文转换前的源地址。

rule rule-name：NAT规则的名称，取值范围为1～63个字符的字符串，区分大小写，不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定该参数，则表示该规则无名称。

priority priority：NAT规则的匹配优先级，取值范围为0～2147483647，缺省值为4294967295。优先级的数值越小，优先级越高。如果不指定该参数，那么相应的NAT规则在同类NAT规则中，其匹配优先级最低。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：NAT转换计数功能，即对每一次首报文地址转换进行计数。

description text：配置入方向动态地址转换的描述信息，text为1～63个字符的字符串，不区分大小写。

【使用指导】

从配置了入方向地址转换的接口接收到的符合ACL permit规则的报文，会使用地址组group-id中的地址进行源地址转换。

入方向地址转换有两种转换方式：

· PAT方式：对于从外网到内网的报文，如果符合ACL，则使用地址组中的地址进行源地址转换，同时转换源端口（IP1/port1转换为IP2/port2）。

· NO-PAT方式：对于从外网到内网的报文，如果符合ACL，则使用地址组中的地址进行源地址转换，不转换源端口（IP1转换为IP2）；如果用户配置了reversible，则允许内网通过IP2主动访问外网，对于此类访问报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并将目的地址转换为IP1，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能进行转换（将目的地址IP2转换为IP1），否则不予转换。

nat inbound命令通常与nat outbound、nat server或nat static配合使用，用于支持在外网侧口上对报文同时进行源和目的转换，即双向NAT。

指定入方向和出方向动态地址转换引用的地址组时，需要注意：

· 一个地址组被nat inbound配置引用后，就不能再被nat outbound配置引用。

· 一个地址组被PAT方式的nat inbound配置引用后，不能再被NO-PAT方式的nat inbound配置引用，反之亦然。

add-route参数不能应用在内网与外网地址重叠的组网场景中。在其他组网场景中：

· 如果指定了add-route参数，则有报文命中该配置时，设备会自动添加路由表项：目的地址为本次地址转换使用的地址组中的地址，出接口为本配置所在接口，下一跳地址为报文的源地址。

· 如果没有指定add-route参数，则用户需要在设备上手工添加路由。由于自动添加路由表项速度较慢，通常建议手工添加路由。

在一个接口下，一个ACL只能被一个nat inbound引用。

一个接口下可同时配置多条入方向地址转换。

在VPN组网中，配置入方向动态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

对于入方向动态地址转换，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

【举例】

# 配置ACL 2001，允许对VPN实例vpn10内10.110.10.0/24网段的主机进行地址转换。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit vpn-instance vpn10 source 10.110.10.0 0.0.0.255

[Sysname-acl-ipv4-basic-2001] rule deny

[Sysname-acl-ipv4-basic-2001] quit

# 配置MPLS L3VPN的VPN实例vpn10。

[Sysname] ip vpn-instance vpn10

[Sysname-vpn-instance-vpn10] route-distinguisher 100:001

[Sysname-vpn-instance-vpn10] vpn-target 100:1 export-extcommunity

[Sysname-vpn-instance-vpn10] vpn-target 100:1 import-extcommunity

[Sysname-vpn-instance-vpn10] quit

# 配置地址组1，并添加地址组成员：202.110.10.10、202.110.10.11、202.110.10.12。

[Sysname] nat address-group 1

[Sysname-address-group-1] address 202.110.10.10 202.110.10.12

[Sysname-address-group-1] quit

# 在接口GigabitEthernet1/2/5/1上配置入方向动态地址转换，使用地址组1中的地址进行地址转换，在转换的时候不使用TCP/UDP的端口信息，且需要添加路由。同时指定该入方向动态NAT规则的名称为abc，匹配优先级为0。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat inbound 2001 address-group 1 vpn-instance vpn10 no-pat add-route rule abc priority 0

【相关命令】

· display nat all

· display nat inbound

· display nat no-pat

1.1.50 nat inbound rule move

nat inbound rule move命令用来调整入方向动态NAT规则的匹配优先级。

【命令】

nat inbound rule move nat-rule-name1 { after | before } nat-rule-name2

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【使用指导】

本命令仅对指定了NAT规则名称的入方向动态NAT生效。

对于被移动到前面的NAT规则，设备将会优先进行匹配。

【举例】

# 将入方向动态NAT规则abc移动到入方向动态NAT规则def的前面。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat inbound rule move abc before def

【相关命令】

· nat inbound

1.1.51 nat link-switch recreate-session

nat link-switch recreate-session命令用来开启主备链路切换后的NAT会话重建功能。

undo nat link-switch recreate-session命令用来关闭主备链路切换后的NAT会话重建功能。

【命令】

nat link-switch recreate-session

undo nat link-switch recreate-session

【缺省情况】

主备链路切换后的NAT会话重建功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

广域网双出口组网环境中，分别在NAT设备的出接口（假设为Interface A和Interface B）下配置出方向动态地址转换（引用不同的地址组），基于出接口所属安全域的不同情况，NAT设备的处理机制有所不同：

· 如果两个出接口属于不同的安全域，当Interface A的链路发生故障触切换到Interface B的链路时，NAT设备会删除原来的会话表项，由流量触发重新建立NAT会话，保证用户访问外网的业务不受影响。

· 如果两个出接口属于相同的安全域，当Interface A的链路发生故障触切换到Interface B的链路时，NAT设备不会删除原来的会话表项，流量与原来的会话表项匹配，导致用户无法访问外网。为了避免该问题的发生，请开启本功能，保证用户业务的可用性。

【举例】

# 开启主备链路切换后的NAT会话重建功能。

<Sysname> system-view

[Sysname] nat link-switch recreate-session

【相关命令】

· display nat all

1.1.52 nat log alarm

nat log alarm命令用来开启NAT告警信息日志功能。

undo nat log alarm命令用来关闭NAT告警信息日志功能。

【命令】

nat log alarm

undo nat log alarm

【缺省情况】

NAT告警信息日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

在NAT地址转换中，如果可为用户分配的NAT资源用尽，后续连接由于没有可用的资源无法对其进行地址转换，相应的报文将被丢弃。本命令用来在NAT资源不足时输出告警日志。在NO-PAT动态映射中，NAT资源是指公网IP地址；在EIM模式的PAT动态映射中，NAT资源是指公网IP地址和端口；在NAT444地址转换中，NAT资源是指公网IP、端口块和端口块中的端口。

NAT444端口块动态映射方式中，当端口块分配失败时，系统会输出日志信息。

NAT444端口块动态映射方式中，当端口块中的端口资源都用尽但还是无法满足用户的地址转换需求时，系统会输出日志信息。

对于NAT告警日志，在配置NAT告警信息日志功能前，必须先配置将用户定制日志发送到日志主机的功能，否则无法产生NAT告警信息日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。

只有开启NAT日志功能（通过nat log enable命令）之后，NAT告警信息日志功能才能生效。

【举例】

# 开启NAT告警信息日志功能。

<Sysname> system-view

[Sysname] nat log alarm

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.53 nat log enable

nat log enable命令用来开启NAT日志功能。

undo nat log enable用来关闭NAT日志功能。

【命令】

nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat log enable

【缺省情况】

NAT日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

acl：指定ACL的编号或名称。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

【使用指导】

必须开启NAT日志功能，NAT会话日志功能（包括NAT新建会话、NAT删除会话和NAT活跃流的日志功能）、NAT444用户日志功能（包括NAT444端口块分配和NAT444端口块回收的日志功能）、NAT告警信息日志功能和NAT NO-PAT日志功能才能生效。

acl参数只对NAT会话日志功能有效，对其他NAT日志功能无效。如果指定了ACL，则只有符合ACL permit规则的数据流才有可能触发输出NAT会话日志；如果没有指定ACL，则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。

【举例】

# 开启NAT日志功能。

<Sysname> system-view

[Sysname] nat log enable

【相关命令】

· display nat all

· display nat log

· nat log alarm

· nat log flow-active

· nat log flow-begin

· nat log flow-end

· nat log no-pat ip-usage

· nat log port-block-assign

· nat log port-block-withdraw

1.1.54 nat log flow-active

nat log flow-active命令用来开启NAT活跃流日志功能，并设置生成活跃流日志的时间间隔。

undo nat log flow-active命令用来关闭NAT活跃流的日志功能。

【命令】

nat log flow-active time-value

undo nat log flow-active

【缺省情况】

NAT活跃流的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

time-value：表示触发输出NAT活跃流日志的时间间隔，取值范围为10～120，单位为分钟。

【使用指导】

对于一些长时间没有断开的NAT会话（即活跃流），如果需要定期记录其连接情况，则可以通过活跃流日志功能来实现。

开启NAT活跃流日志功能后，对于NAT活跃流，每经过指定的时间间隔，设备就会记录一次NAT日志。

只有开启NAT日志功能之后，活跃流日志功能才能生效。

【举例】

# 开启NAT活跃流日志功能，并设置输出NAT活跃流日志的时间间隔为10分钟。

<Sysname> system-view

[Sysname] nat log flow-active 10

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.55 nat log flow-begin

nat log flow-begin命令用来开启NAT新建会话的日志功能，即新建NAT会话时，输出NAT日志。

undo nat log flow-begin命令用来关闭NAT新建会话的日志功能。

【命令】

nat log flow-begin

undo nat log flow-begin

【缺省情况】

NAT新建会话的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

只有开启NAT日志功能之后，NAT新建会话的日志功能才能生效。

【举例】

# 开启NAT新建会话的日志功能。

<Sysname> system-view

[Sysname] nat log flow-begin

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.56 nat log flow-end

nat log flow-end命令用来开启NAT删除会话的日志功能。

undo nat log flow-end命令用来关闭NAT删除会话的日志功能。

【命令】

nat log flow-end

undo nat log flow-end

【缺省情况】

NAT删除会话的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

只有开启NAT日志功能之后，NAT删除会话的日志功能才能生效。

【举例】

# 开启NAT删除会话的日志功能。

<Sysname> system-view

[Sysname] nat log flow-end

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.57 nat log no-pat ip-usage

nat log no-pat ip-usage命令用来开启NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能，并设置NAT地址组中地址成员使用率的阈值。

undo nat log no-pat ip-usage命令用来关闭NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能。

【命令】

nat log no-pat ip-usage [ threshold value ]

undo nat log no-pat ip-usage

【缺省情况】

NAT地址组中地址成员使用率的日志信息功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold value：NO-PAT方式下NAT地址组中地址成员使用率的阈值，为百分比数值，取值范围为40～100，缺省值为90%。

【使用指导】

创建NO-PAT表项时，若NO-PAT方式下NAT地址组中地址成员的使用率超过设定的百分比时，系统将会输出日志信息。

只有开启NAT日志功能（通过nat log enable命令）之后，本命令才能生效。

【举例】

# 开启NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能，并设置NAT地址组中地址成员使用率的阈值为60%。

<Sysname> system-view

[Sysname] nat log no-pat ip-usage threshold 60

【相关命令】

· display nat log

· display nat no-pat ip-usage

· nat log enable

1.1.58 nat log port-block usage threshold

nat log port-block usage threshold命令用来配置动态NAT444端口块使用率的阈值。

undo nat log port-block usage threshold命令用来恢复缺省情况。

【命令】

nat log port-block usage threshold threshold-value

undo nat log port-block usage threshold

【缺省情况】

动态NAT444的端口块使用率的阈值为90%。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

threshold-value：端口使用率的阈值，为百分比数值，取值范围为40～100。

【使用指导】

创建动态端口块表项时，若端口块的使用率大于阈值，系统会输出告警日志。

【举例】

# 配置动态NAT444端口块使用率的阈值为60%。

<Sysname> system-view

[Sysname] nat log port-block usage threshold 60

1.1.59 nat log port-block-assign

nat log port-block-assign命令用来开启端口块分配的NAT444用户日志功能。

undo nat log port-block-assign命令用来关闭端口块分配的NAT444用户日志功能。

【命令】

nat log port-block-assign

undo nat log port-block-assign

【缺省情况】

端口块分配的NAT444用户日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

端口块静态映射方式下，在某私网IP地址的第一个新建连接通过端口块进行地址转换时，如果开启了端口块分配的NAT444用户日志功能，则会输出日志。

端口块动态映射方式下，在为某私网IP地址分配端口块或增量端口块时，如果开启了端口块分配的NAT444用户日志功能，则会输出日志。

只有开启NAT日志功能之后，端口块分配的NAT444用户日志功能才能生效。

【举例】

# 开启端口块分配的NAT444用户日志功能。

<Sysname> system-view

[Sysname] nat log port-block-assign

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.60 nat log port-block-withdraw

nat log port-block-withdraw命令用来开启端口块回收的NAT444用户日志功能。

undo nat log port-block-withdraw命令用来关闭端口块回收的NAT444用户日志功能。

【命令】

nat log port-block-withdraw

undo nat log port-block-withdraw

【缺省情况】

端口块回收的NAT444用户日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

端口块静态映射方式下，在某私网IP地址的最后一个连接拆除时，如果开启了端口块回收的NAT444用户日志功能，则会输出日志。

端口块动态映射方式下，在释放端口块资源（并删除端口块表项）时，如果开启了端口块回收的NAT444用户日志功能，则会输出日志。

只有开启NAT日志功能之后，端口块回收的NAT444用户日志功能才能生效。

【举例】

# 开启端口块回收的NAT444用户日志功能。

<Sysname> system-view

[Sysname] nat log port-block-withdraw

【相关命令】

· display nat all

· display nat log

· nat log enable

1.1.61 nat mapping-behavior

nat mapping-behavior命令用来配置PAT方式出方向动态地址转换的模式。

undo nat mapping-behavior命令用来恢复缺省情况。

【命令】

nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ]

undo nat mapping-behavior endpoint-independent

【缺省情况】

PAT出方向动态方式地址转换的模式为Address and Port-Dependent Mapping。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

acl：指定ACL的编号或名称，用于控制需要遵守指定地址转换模式的报文范围。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

【使用指导】

PAT方式出方向动态地址转换支持两种模式：

· Endpoint-Independent Mapping（不关心对端地址和端口的转换模式）：只要是来自相同源地址和源端口号的报文，不论其目的地址是否相同，通过PAT映射后，其源地址和源端口号都被转换为同一个外部地址和端口号，该映射关系会被记录下来并生成一个EIM表项；并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访。

· Address and Port-Dependent Mapping（关心对端地址和端口的转换模式）：对于来自相同源地址和源端口号的报文，若其目的地址和目的端口号不同，由于相同的源地址和源端口号不要求被转换为相同的外部地址和端口号，所以通过PAT映射后，相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。并且NAT网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好，但是不便于位于不同NAT网关之后的主机间进行互访。

该配置只对出方向动态地址转换的PAT方式起作用。入方向动态地址转换的PAT方式的转换模式始终为Address and Port-Dependent Mapping。

如果配置了acl参数，则表示只有符合ACL permit规则的报文才采用Endpoint-Independent Mapping模式进行地址转换；如果没有配置acl参数，则表示所有的报文都采用Endpoint-Independent Mapping模式进行地址转换。

【举例】

# 对所有报文都以Endpoint-Independent Mapping模式进行地址转换。

<Sysname> system-view

[Sysname] nat mapping-behavior endpoint-independent

# 仅对FTP和HTTP报文才以Endpoint-Independent Mapping模式进行地址转换，其它报文采用Address and Port-Dependent Mapping模式进行地址转换。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80

[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 21

[Sysname-acl-ipv4-adv-3000] quit

[Sysname] nat mapping-behavior endpoint-independent acl 3000

【相关命令】

· nat outbound

· display nat eim

1.1.62 nat outbound

nat outbound命令用来配置出方向动态地址转换。

undo nat outbound命令用来删除指定的出方向动态地址转换。

【缺省情况】

不存在动态地址转换配置。

【命令】

NO-PAT方式：

nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]

PAT方式：

nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

address-group group-id：指定地址转换使用的地址组。如果不指定该参数，则直接使用该接口的IP地址作为转换后的地址，即实现Easy IP功能。

group-id：地址组的编号，取值范围为0～65535。

group-name：地址组的名称，为1～63个字符的字符串，不区分大小写。

vpn-instance vpn-instance-name：指定地址组中的地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN中的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示地址组中的地址不属于任何一个VPN实例。

no-pat：表示使用NO-PAT方式进行转换，即转换时不使用报文的端口信息；如果未指定本参数，则表示使用PAT方式进行转换，即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文，由于ICMP报文没有端口的概念，我们将ICMP ID作为ICMP报文的源端口。

reversible：表示允许反向地址转换。即，在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下，允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。

port-preserved：PAT方式分配端口时尽量不转换端口。port-preserved参数对NAT端口块动态映射无效。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

description text：配置出方向动态地址转换的描述信息，text为1～63个字符的字符串，不区分大小写。

【使用指导】

一般情况下，出方向动态地址转换配置在和外部网络连接的接口上，一个接口下可同时配置多条出方向地址转换。动态地址转换有两种转换方式：

· PAT方式：对于从内网到外网的报文，如果符合ACL permit规则，则使用地址组中的地址或该接口的地址（Easy IP方式）进行源地址转换，同时转换源端口（IP1/port1转换为IP2/port2）；如果同时配置了PAT方式下的地址转换模式为EIM（Endpoint-Independent Mapping），则外网可以通过IP2/port2主动访问内网，NAT设备根据EIM表项转换目的地址和端口（IP2/port2转换为IP1/port1）。

· NO-PAT方式：对于从内网到外网的报文，如果符合ACL permit规则，则使用地址组中的地址进行源地址转换，不转换源端口（IP1转换为IP2）；如果同时配置了reversible，则允许外网通过IP2主动访问内网，对于此类报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并将目的地址转换为IP1，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能进行转换（将目的地址IP2转换为IP1），否则不予转换。NAT444端口块动态映射不支持该方式。

指定出方向和入方向动态地址转换引用的地址组时，需要注意：

· 一个地址组被nat outbound配置引用后，不能再被nat inbound引用。

· 一个地址组被PAT方式的nat outbound配置引用后，不能再被NO-PAT方式的nat outbound配置引用，反之亦然。

· 如果PAT方式的nat outbound所引用的地址组中配置了端口块参数，则将对匹配的报文进行NAT444端口块动态映射。

指定出方向动态地址转换引用的ACL时，需要注意：

· 在一个接口下，一个ACL只能被一个nat outbound引用。

· 配置多条出方向动态地址转换时，只有一个nat outbound可以不引用ACL。

· 不指定ACL编号或名称的情况下，不对转换对象进行限制。

· 对于同一接口下的出方向动态地址转换配置，指定了ACL的配置的优先级高于未指定ACL的配置的优先级；对于指定了ACL的出方向动态地址转换配置，其生效优先级由ACL编号的大小决定，编号越大，优先级越高。

在VPN组网中，配置出方向动态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

对于引用了ACL的出方向动态地址转换，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

【举例】

# 配置ACL 2001，允许对10.110.10.0/24网段的主机报文进行地址转换。

<Sysname> system-view

[Sysname] acl basic 2001

[Sysname-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Sysname-acl-ipv4-basic-2001] rule deny

[Sysname-acl-ipv4-basic-2001] quit

# 配置地址组1，并添加地址组成员：202.110.10.10、202.110.10.11、202.110.10.12。

[Sysname] nat address-group 1

[Sysname-address-group-1] address 202.110.10.10 202.110.10.12

[Sysname-address-group-1] quit

# 在接口GigabitEthernet1/2/5/1上配置出方向动态地址转换，允许对匹配ACL 2001的报文使用地址组1中的地址进行地址转换，且在转换的时候使用TCP/UDP的端口信息。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound 2001 address-group 1

[Sysname-GigabitEthernet1/2/5/1] quit

# 如果在接口GigabitEthernet1/2/5/1上不使用TCP/UDP的端口信息进行地址转换，可以使用如下配置。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound 2001 address-group 1 no-pat

[Sysname-GigabitEthernet1/2/5/1] quit

# 如果直接使用接口GigabitEthernet1/2/5/1接口的IP地址进行地址转换，可以使用如下的配置。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound 2001

[Sysname-GigabitEthernet1/2/5/1] quit

# 内网10.110.10.0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络。如果要在内网用户向外网主动发起访问之后，允许外网用户主动向10.110.10.0/24网段的主机发起访问，并利用已建立的地址转换表项进行反向地址转换，可以使用如下配置。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound 2001 address-group 1 no-pat reversible

【相关命令】

· display nat eim

· display nat outbound

· nat mapping-behavior

1.1.63 nat outbound ds-lite-b4

nat outbound ds-lite-b4命令用来配置DS-Lite B4端口块映射。

undo nat outbound ds-lite-b4命令用来删除指定的DS-Lite B4端口块映射。

【命令】

nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id

undo nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name }

【缺省情况】

不存在DS-Lite B4端口块映射。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-acl-number：用于匹配B4设备IPv6地址的IPv6 ACL编号，取值范围为2000～2999。

name ipv6-acl-name：用于匹配B4设备IPv6地址的IPv6 ACL名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

address-group group-id：指定地址转换使用的地址组。group-id为地址组的编号，取值范围为0～65535。目前仅支持端口块动态映射方式的地址组，因此指定的NAT地址组中必须配置端口块参数，否则配置不生效。

【使用指导】

在使用DS-Lite隧道技术实现通过IPv6网络连接IPv4网络的组网环境下，DS-Lite B4端口块映射配置在NAT444网关设备连接外部网络的接口上，通常用于在NAT444网关设备已知B4设备或DS-Lite主机的IPv6地址的情况下为DS-Lite用户提供NAT地址转换。

通过在NAT网关设备上配置DS-Lite B4地址转换，可以实现基于端口块的公网IP地址复用，使一个DS-Lite B4 IPv6地址在一个时间段内独占一个公网IP地址的某个端口块。

【举例】

# 配置IPv6 ACL 2100，允许对2000::/64网段的主机报文进行地址转换。

<Sysname> system-view

[Sysname] acl ipv6 basic 2100

[Sysname-acl-ipv6-basic-2100] rule permit source 2000::/64

[Sysname-acl-ipv6-basic-2100] quit

# 配置地址组1，并添加地址组成员：202.110.10.10～202.110.10.12。

[Sysname] nat address-group 1

[Sysname-nat-address-group-1] address 202.110.10.10 202.110.10.12

# 配置地址组1的端口块参数，端口块大小为256。

[Sysname-nat-address-group-1] port-block block-size 256

[Sysname-nat-address-group-1] quit

# 在接口GigabitEthernet1/2/5/1上配置DS-Lite B4端口块映射，允许对匹配IPv6 ACL 2100的报文使用地址组1中的地址进行地址转换。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound ds-lite-b4 2100 address-group 1

【相关命令】

· display nat outbound

1.1.64 nat outbound port-block-group

nat outbound port-block-group命令用来配置NAT444端口块静态映射。

undo nat outbound port-block-group命令用来删除指定的NAT444端口块静态映射配置。

【命令】

nat outbound port-block-group group-id [ rule rule-name ] [ counting ]

undo nat outbound port-block-group group-id

【缺省情况】

不存在NAT444端口块静态映射配置。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-id：端口块组的编号，取值范围为0～65535。

rule rule-name：NAT规则的名称，取值范围为1～63个字符的字符串，区分大小写，不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定该参数，则表示该规则无名称。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

【使用指导】

该配置在接口下引用指定的端口块组，根据端口块组内的配置数据，按照固定的算法为每个私网IP地址分配一个静态端口块并创建静态端口块表项。当某私网IP地址向公网发起连接时，通过该私网IP地址查找静态端口块表项，使用表项中记录的公网IP地址进行地址转换，并从对应的端口块中动态分配一个端口进行TCP/UDP端口转换。

一个接口下可以配置多条基于不同端口块组的NAT444端口块静态映射。

IRF组网环境下，还需要通过命令ip fast-forwarding load-sharing配置负载分担，否则会导致端口分配冲突。

【举例】

# 在接口GigabitEthernet1/2/5/1的出方向上配置基于端口组1的NAT444端口块静态映射。同时指定该NAT444端口块静态映射规则的名称为abc。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound port-block-group 1 rule abc

【相关命令】

· display nat all

· display nat outbound port-block-group

· display nat port-block

· nat port-block-group

1.1.65 nat outbound rule move

nat outbound rule move命令用来调整出方向动态NAT规则的匹配优先级。

【命令】

nat outbound rule move nat-rule-name1 { after | before } nat-rule-name2

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【使用指导】

本命令仅对指定了NAT规则名称的出方向动态NAT生效。

对于被移动到前面的NAT规则，设备将会优先进行匹配。

【举例】

# 将出方向动态NAT规则abc移动到出方向动态NAT规则def的前面。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat outbound rule move abc before def

【相关命令】

· nat outbound

1.1.66 nat policy

nat policy命令用来创建NAT策略，并进入NAT策略视图。如果指定的NAT策略已经存在，则直接进入NAT策略视图。

undo nat policy命令用来删除NAT策略及NAT策略视图下的所有配置。

【命令】

nat policy

undo nat policy

【缺省情况】

不存在NAT策略。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

NAT策略根据报文的源IP地址、目的IP地址和携带的服务类型对多个接口的地址转换进行控制。NAT策略中可以包含多条NAT规则，设备通过NAT规则引用的对象组识别出特定的报文，并根据预先设定的动作类型对其进行地址转换。

NAT策略目前仅支持动态地址转换，其优先级高于接口下的动态地址转换。

【举例】

# 创建NAT策略，并进入NAT策略视图。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy]

【相关命令】

· display nat all

· display nat policy

· rule name

1.1.67 nat port-block global-share enable

nat port-block global-share enable命令用来开启端口块全局共享功能。

undo nat port-block global-share enable命令用来关闭端口块全局共享功能。

【命令】

nat port-block global-share enable

undo nat port-block global-share enable

【缺省情况】

端口块全局共享功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

在已配置NAT444端口块动态映射的情况下，当同一个源IP地址的报文从不同出接口进行NAT地址转换时，可能会分配到不同的端口块。如果需要使同一个源IP地址分配到相同的端口块，请开启端口块全局共享功能。

【举例】

# 开启端口块全局共享功能。

<Sysname> system-view

[Sysname] nat port-block global-share enable

【相关命令】

· port-block

1.1.68 nat port-block synchronization enable

nat port-block synchronization enable命令用来开启NAT444业务热备份功能。

undo nat port-block synchronization enable命令用来关闭NAT444业务热备份功能。

【命令】

nat port-block synchronization enable

undo nat port-block synchronization enable

【缺省情况】

NAT444业务热备份功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

在业务热备份环境中，通过开启NAT444业务热备份功能，可以实现主备切换后动态NAT444端口块表项一致。

【举例】

# 开启NAT444业务热备份功能。

<Sysname> system-view

[Sysname] nat port-block synchronization enable

1.1.69 nat port-block-group

nat port-block-group命令用来创建NAT端口块组，并进入NAT端口块组视图。如果指定的NAT端口块组已经存在，则直接进入NAT端口块组视图。

undo nat port-block-group命令用来删除指定的NAT端口块组。

【命令】

nat port-block-group group-id

undo nat port-block-group group-id

【缺省情况】

不存在NAT端口块组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-id：NAT端口块组的编号，取值范围为0～65535。

【使用指导】

创建的NAT端口块组用于配置NAT444端口块静态映射。一个端口块组中包含如下内容：

· 一个或多个私网地址成员，通过local-ip-address命令配置。

· 一个或多个公网地址成员，通过global-ip-pool命令配置。

· 公网地址的端口范围，通过port-range命令配置。

· 端口块大小，通过block-size命令配置。

在进行NAT444端口块静态映射时，系统根据相应端口块组的配置计算出私网IP地址到公网IP地址、端口块的静态映射关系，并创建静态端口块表项。

【举例】

# 创建一个NAT端口块组，编号为1。

<Sysname>system-view

[Sysname]nat port-block-group 1

[Sysname-port-block-group-1]

【相关命令】

· block-size

· display nat all

· display nat port-block-group

· global-ip-pool

· local-ip-address

· nat outbound port-block-group

· port-range

1.1.70 nat port-load-balance enable

nat port-load-balance enable命令用来开启NAT端口负载分担功能。

undo nat port-load-balance enable命令用来关闭NAT端口负载分担功能。

【命令】

nat port-load-balance enable chassis chassis-number slot slot-number

undo nat port-load-balance enable chassis chassis-number slot slot-number

【缺省情况】

NAT端口负载分担功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

chassis chassis-number slot slot-number：指定使用数值较小的一半端口的单板。chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。

【使用指导】

在IRF双机热备的负载分担场景下，开启NAT端口负载分担功能后，两台设备各获得一半端口块资源，使相同私网IP地址在不同的成员设备上独占一定的端口资源，避免端口分配冲突。

开启本功能前，需要保证地址转换使用的地址组满足如下条件，否则会导致端口资源分配失败：

· 对于出方向动态地址转换，NAT地址组中公网IP地址的端口数目必须大于等于2。

· 对于NAT444端口块动态映射，NAT地址组中公网IP地址的端口数目和端口块大小必须大于等于2。

在双机热备的主备备份场景下时，不需要配置此命令。

【举例】

# 开启NAT端口负载分担功能，并指定1号成员设备使用数值较小的一半端口。

<Sysname> system

[Sysname] nat port-load-balance enable slot 1

【相关命令】

· nat port-block synchronization enable

· port-block

· port-range

1.1.71 nat redirect reply-route

nat redirect reply-route enable命令用来开启反向报文的重定向功能。

undo nat redirect reply-route enable命令用来关闭反向报文的重定向功能。

【命令】

nat redirect reply-route enable

undo nat redirect reply-route enable

【缺省情况】

反向报文的重定向功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

通过在设备的出接口开启反向报文的重定向功能，使出接口收到反向报文后查询NAT会话表项，根据NAT会话表项记录的信息将反向报文的目的IP地址进行NAT地址转换，从而使反向报文通过接收正向报文的隧道发送出去。

【举例】

# 开启接口GigabitEthernet1/2/5/1上的反向报文的重定向功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat redirect reply-route enable

1.1.72 nat remote-backup port-alloc

nat remote-backup port-alloc命令用来指定HA主备设备可以使用的NAT端口块范围。

undo nat remote-backup port-alloc命令用来恢复缺省情况。

【命令】

nat remote-backup port-alloc { primary | secondary }

undo nat remote-backup port-alloc

【缺省情况】

HA主备设备共用NAT端口资源。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

primary：使用数值较小的一半端口。

secondary：使用数值较大的一半端口。

【使用指导】

在双主模式的HA组网中，由于下列原因可能会出现两台设备上不同的IP地址+端口号的地址转换结果相同的情况：

· 两台设备共用NAT地址

· 两台设备的NAT端口范围相同

为了避免上述情况的发生，需要在主管理设备上配置可以使用的NAT端口块范围。在主管理设备上选择了某一类NAT端口块范围后，从管理设备上会自动使用另外一类NAT端口块范围。例如，在HA主管理设备上配置nat remote-backup port-alloc secondary命令，从管理设备上会自动下发nat remote-backup port-alloc primary的配置。关于HA的详细介绍，请参见“高可靠性命令参考”中的“双机热备（RBM）”。

在主备备份方式的HA组网中，仅由一台设备处理NAT业务，不会出现NAT端口资源冲突的情况，因此无需配置本命令。

【举例】

# 在HA组网中指定主用设备使用数值较小的一半端口。

<Sysname> system-view

[Sysname] nat remote-backup port-alloc primary

1.1.73 nat server

nat server命令用来配置NAT内部服务器，即定义内部服务器的外网地址和端口与内网地址和端口的映射表项。

undo nat server命令用来删除指定的内部服务器配置。

【命令】

(1) 普通内部服务器

· 外网地址单一，未使用外网端口或外网端口单一

nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ]

undo nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]

· 外网地址单一，外网端口连续

nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ]

undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ]

· 外网地址连续，未使用外网端口

nat server protocol pro-type global global-address1 global-address2 [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ]

undo nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ]

· 外网地址连续，外网端口单一

nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside { local-address [ local-port1 local-port2 ] | [ local-address | local-address1 local-address2 ] [ local-port ] } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ]

undo nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ]

(2) 负载均衡内部服务器

nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ]

undo nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ]

(3) 基于ACL的内部服务器

nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

undo nat server global { ipv4-acl-number | name ipv4-acl-name }

【缺省情况】

不存在内部服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

protocol pro-type：指定协议类型。只有当协议类型是TCP、UDP协议时，配置的内部服务器才能带端口参数。如果不指定协议类型，则表示对所有协议类型的报文都生效。pro-type可输入以下形式：

· 数字：取值范围为1～255。

· 协议名称：取值包括icmp、tcp和udp。

global：指定服务器向外提供服务的外网信息。

global-address：内部服务器向外提供服务时对外公布的外网IP地址。

global-address1、global-address2：外网IP地址范围，所包含的地址数目不能超过10000。global-address1表示起始地址，global-address2表示结束地址。global-address2必须大于global-address1。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

current-interface：使用当前接口的主用IP地址作为内部服务器的外网地址，即实现Easy IP方式的内部服务器。

interface interface-type interface-number：表示使用指定接口的主用IP地址作为内部服务器的外网地址，即实现Easy IP方式的内部服务器。interface-type interface-number表示接口类型和接口编号。目前只支持Loopback接口。

global-port1、global-port2：外网端口范围，和内部主机的IP地址范围构成一一对应的关系。global-port1表示起始端口，global-port2表示结束端口。global-port2必须大于global-port1，且端口范围中的端口数目不能大于10001。外网端口可输入以下形式：

· 数字：取值范围为1～65535。起始端口和结束端口均支持此形式。

· 协议名称：为1～15个字符的字符串，例如http、telnet等。仅起始端口支持该形式。

inside：指定服务器的内网信息。

local-address1、local-address2：定义一组连续的内网IP地址范围，和外网端口范围构成一一对应的关系。local-address1表示起始地址，local-address2表示结束地址。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。

local-port：内部服务器的内网端口号，可输入以下形式：

· 数字：取值范围为1～65535（FTP数据端口号20除外）。

· 协议名称：为1～15个字符的字符串，例如http、telnet等。

global-port：外网端口号，缺省值以及取值范围的要求和local-port的规定一致。

local-address：服务器的内网IP地址。

vpn-instance global-vpn-instance-name：对外公布的外网地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示对外公布的外网地址不属于任何一个VPN实例。

vpn-instance local-vpn-instance-name：内部服务器所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示内部服务器不属于任何一个VPN实例。

server-group group-id：服务器在内网所属的服务器组。若指定了该参数，则表示要配置一个负载分担内部服务器。group-id表示内部服务器组的编号，取值范围为0～65535。

acl：指定ACL的编号或名称。若指定了该参数，则表示与指定的ACL permit规则匹配的报文才可以使用内部服务器的映射表进行地址转换。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时，将私网地址转换为内部服务器向外提供服务的外网IP地址。

vrrp virtual-router-id：将NAT内部服务器与VRRP备份组绑定。virtual-router-id表示VRRP备份组ID，取值范围为1～255。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

description text：配置NAT内部服务器的描述信息，text为1～63个字符的字符串，区分大小写。

【使用指导】

通过该配置可以利用NAT设备将一些内部网络的服务器提供给外部网络使用，例如内部的Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。这些内部服务器可以位于普通的内网内，也可以位于MPLS VPN实例内。

NAT内部服务器通常配置在NAT设备的外网侧接口上。外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器。当pro-type不是TCP（协议号为6）或UDP（协议号为17）时，用户只能设置内部IP地址与外部IP地址的一一对应的关系，无法设置端口号之间的映射。

NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。

表1-24 NAT内部服务器的地址与端口映射关系

外网	内网
一个外网地址	一个内网地址
一个外网地址、一个端口号	一个内网地址、一个内网端口号
一个外网地址，N个连续的外网端口号	· 一个内网地址，一个内网端口 · N个连续的内网地址，一个内网端口号 · 一个内网地址，N个连续的内网端口号
N个连续的外网地址	· 一个内网地址 · N个连续的内网地址
N个连续的外网地址连续，一个外网端口号	· 一个内网地址，一个内网端口号 · N个连续的内网地址，一个内网端口号 · 一个内网地址，N个连续的内网端口号
一个外网地址，一个外网端口号	一个内部服务器组
一个外网地址，N个连续的外网端口号
N个连续的外网地址，一个外网端口号
外网地址（通过ACL进行匹配）	· 一个内网地址 · 一个内网地址、一个内网端口号

对于同一个接口下配置的NAT服务器，其协议类型、外网地址和外网端口号的组合必须是唯一的，否则认为是配置冲突。本规则同样适用于Easy IP方式的NAT服务器。每个nat server命令下可以配置的NAT内部服务器数目为global-port2与global-port1的差值，即配置多少个外网端口就对应多少个NAT内部服务器。

在VPN组网中，配置NAT内部服务器时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

由于Easy IP方式的NAT内部服务器使用了当前接口或其它接口的IP地址作为它的外网地址，因此强烈建议在配置了Easy IP方式的NAT内部服务器之后，其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址，反之亦然。

对于Easy IP方式的NAT服务器，如果其引用的接口的IP地址发生改变，导致跟现有的其它非Easy IP方式的NAT服务器冲突，则Easy IP方式的NAT服务器配置失效；如果接口地址又修改为不冲突的IP，或者之前与之冲突的NAT服务器被删除，则Easy IP方式的NAT配置重新生效。

在配置负载均衡内部服务器时，若配置一个外网地址，N个连续的外网端口号对应一个内部服务器组，或N个连续的外网地址，一个外网端口号对应一个内部服务器组，则内部服务器组的成员个数不能小于N，即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。

对于基于ACL的内部服务器，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

在支持NAT内部服务器自动分配NAT规则名称的版本上执行配置回滚操作时，如果回滚配置文件中的NAT内部服务器不存在系统为其自动分配的NAT规则名称，会出现回滚失败的错误提示信息。比如，回滚配置文件中的配置为nat server global 112.1.1.1 inside 192.168.20.1，回滚操作完成后的配置为nat server global 112.1.1.1 inside 192.168.20.1 rule ServerRule_10（ServerRule_10为系统自动分配的NAT规则名称），系统会将此配置与回滚文件中的配置进行比较，比较后发现两者不一致，会提示用户回滚失败。这种情况下，相关的命令已下发成功，用户无需处理。

【举例】

# 在接口GigabitEthernet1/2/5/1上配置NAT内部服务器，指定局域网内部的Web服务器的IP地址是10.110.10.10，希望外部通过http://202.110.10.10:8080可以访问Web服务器。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 http

[Sysname-GigabitEthernet1/2/5/1] quit

# 在接口GigabitEthernet1/2/5/1上配置NAT内部服务器，指定MPLS VPN实例vrf10内部的FTP服务器的IP地址是10.110.10.11，希望外部通过ftp://202.110.10.10可以访问FTP服务器。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10

[Sysname-GigabitEthernet1/2/5/1] quit

# 在接口GigabitEthernet1/2/5/1上配置NAT内部服务器，指定一个VPN实例vrf10内部的主机10.110.10.12，希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10

[Sysname-GigabitEthernet1/2/5/1] quit

# 在接口GigabitEthernet1/2/5/1上配置NAT内部服务器，指定一个外部地址202.110.10.10，从端口1001～1100分别映射MPLS VPN实例vrf10内主机10.110.10.1～10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1，202.110.10:1002访问10.110.10.2，依此类推。

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10

# 正确的服务器地址为10.0.0.172，用户配置的错误地址为192.168.0.0/24网段的地址，在接口GigabitEthernet1/2/5/1上配置基于ACL的内部服务器对这部分用户的配置错误进行纠正。

<Sysname> system-view

[Sysname] acl advanced 3000

[Sysname-acl-ipv4-adv-3000] rule 5 permit ip destination 192.168.0.0 0.0.0.255

[Sysname-acl-ipv4-adv-3000] quit

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server global 3000 inside 10.0.0.172

【相关命令】

· display nat all

· display nat server

· nat server-group

1.1.74 nat server rule

nat server rule global destination-ip inside命令用来配置基于对象组的NAT内部服务器。

undo nat server rule命令用来删除基于对象组的NAT内部服务器。

【命令】

nat server rule rule-name global destination-ip object-group-name&<1-5> [ service object-group-name ] inside local-address [ local-port ] [ vrrp virtual-router-id ] [ disable ] [ counting ] [ description text ]

undo nat server rule rule-name

nat server rule rule-name global { destination-ip object-group-name&<1-5> | service object-group-name }

undo nat server rule rule-name global { destination-ip object-group-name&<1-5> | service object-group-name }

【缺省情况】

不存在基于对象组的NAT内部服务器。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name：NAT规则的名称，为1～63个字符的字符串，不区分大小写，不包括“-”、“%”，若要使用“\”或“"”，则必须在输入时使用转义操作符“\”。

global：指定服务器向外提供服务的外网信息。

destination-ip object-group-name&<1-5>：指定内部服务器地址向外提供服务的外网IP地址所属的地址对象组。object-group-name表示地址对象组的名称，为1～5个字符的字符串，不区分大小写，&<1-5>表示前面的参数可以输入1～5次。如果地址对象组的名称中包含空格，则必须在对象组名称两端加双引号，例如"a 1"。

service object-group-name：指定内部服务器向外提供的服务对象组。object-group-name表示服务对象组的名称，为1～31个字符的字符串，不区分大小写。

inside：指定服务器的内网信息。

local-address：服务器的内网IP地址。

local-port：内部服务器的内网端口号，缺省值为0，可输入以下形式：

· 数字：取值范围为1～65535（FTP数据端口号20除外）。

· 协议名称：为1～15个字符的字符串，例如http、telnet等。

vrrp virtual-router-id：将基于对象组的NAT内部服务器与VRRP备份组绑定。virtual-router-id表示VRRP备份组ID，取值范围为1～255。

disable：禁用基于对象组的NAT内部服务器。

counting：NAT转换计数功能，即对每一次首报文地址转换进行计数。

description text：配置NAT内部服务器的描述信息，text为1～63个字符的字符串，区分大小写。

【使用指导】

当存在多条基于对象组的NAT内部服务器规则时，报文会按照配置顺序与这些规则进行匹配，一旦匹配上某条规则便结束匹配过程。不同的基于对象组的NAT内部服务器规则，可以引用相同的地址对象组或服务对象组。

只有创建了基于对象组的NAT内部服务器规则，才能通过nat server rule rule-name global destination-ip object-group-name命令或nat server rule rule-name global service object-group-name命令添加地址对象组或服务对象组，同时需要注意的是：

· 不能通过nat server rule rule-name global destination-ip object-group-name命令添加重复的地址对象组。基于对象组的NAT内部服务器规则中只引用了一个地址对象组时，不能通过undo nat server rule rule-name global destination-ip object-group-name命令删除该地址对象组。

· 如果基于对象组的NAT内部服务器规则中未指定内部服务器向外提供的服务对象组，可以通过nat server rule rule-name global service object-group-name命令指定内部服务器向外提供的服务对象组；否则，无法通过nat server rule rule-name global service object-group-name命令在此规则中指定内部服务器向外提供的服务对象组。

在HA＋VRRP的高可靠性组网中，在HA的主管理设备上配置基于对象组的NAT内部服务器时，需要指定vrrp参数，将NAT内部服务器与靠近外网的VRRP备份组绑定。否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

引用的对象组必须已经存在，否则配置将失败。

引用地址对象组时，仅支持IPv4地址对象组，且地址对象组中不能存在排除的IPv4地址。

引用的服务对象组中，只有服务对象组的协议类型是TCP或UDP时，配置的内部服务器的内网端口号才会生效。

最多可以创建4096条基于对象组的NAT内部服务器规则。

【举例】

# 在接口GigabitEthernet1/2/5/1上配置NAT内部服务器，其引用名称为a1、a2和a3的地址对象组来匹配内部服务器地址向外提供服务的外网IP地址，引用名称为b1的服务对象组来匹配内部服务器向外提供的服务端口。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server rule aaa global destination-ip a1 a2 a3 service b1 inside 1.1.1.1 80

# 在接口GigabitEthernet1/2/5/1上配置NAT内部服务器，其引用名称为a1的地址对象组来匹配内部服务器地址向外提供服务的外网IP地址，之后添加名称为a2、a3地址对象组和名称为b1服务对象组。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server rule aaa global destination-ip a1 inside 1.1.1.1 80

[Sysname-GigabitEthernet1/2/5/1] nat server rule aaa global destination-ip a1 a2 service b1

【相关命令】

· display nat all

· display nat server

1.1.75 nat server rule move

nat server rule move命令用来调整基于ACL内部服务器NAT规则的匹配优先级。

【命令】

nat server rule move nat-rule-name1 { after | before } nat-rule-name2

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【使用指导】

本命令仅对指定了NAT规则名称的基于ACL内部服务器NAT生效。

对于被移动到前面的NAT规则，设备将会优先进行匹配。

【举例】

# 将基于ACL内部服务器NAT规则abc移动到基于ACL内部服务器NAT规则def的前面。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat server rule move abc before def

【相关命令】

· nat server

1.1.76 nat server-group

nat server-group命令用来创建内部服务器组，并进入内部服务器组视图。如果指定的内部服务器组已经存在，则直接进入内部服务器组视图。

undo nat server-group命令用来删除指定的内部服务器组。

【命令】

nat server-group group-id

undo nat server-group group-id

【缺省情况】

不存在内部服务器组。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

group-id：服务器组编号，取值范围为0～65535。

【使用指导】

一个内部服务器组中可以包括多个内部服务器组成员（通过inside ip命令配置）。

【举例】

# 配置一个内部服务器组，编号为1。

<Sysname> system-view

[Sysname] nat server-group 1

【相关命令】

· display nat all

· display nat server-group

· inside ip

· nat server

1.1.77 nat session create-rate enable

nat session create-rate enable命令用来开启新建NAT会话速率的统计功能。

undo nat session create-rate enable命令用来关闭新建NAT会话速率的统计功能。

【命令】

nat session create-rate enable

undo nat session create-rate enable

【缺省情况】

新建NAT会话速率的统计功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

开启新建NAT会话速率的统计功能后，设备会对新建NAT会话的速率进行统计，统计信息可以通过display nat statistics命令查看。

【举例】

# 开启新建NAT会话速率的统计功能。

<Sysname> system-view

[Sysname] nat session create-rate enable

【相关命令】

· display nat statistics

1.1.78 nat static enable

nat static enable命令用来开启接口上的NAT静态地址转换功能。

undo nat static enable命令用来关闭接口上的NAT静态地址转换功能。

【命令】

nat static enable

undo nat static enable

【缺省情况】

NAT静态地址转换功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

接口下开启NAT静态地址转换功能后，所有已配置的静态地址转换映射都会在该接口上生效。

【举例】

# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向一对一静态地址转换，并且在接口GigabitEthernet1/2/5/1上开启静态地址转换功能。

<Sysname> system-view

[Sysname] nat static outbound 192.168.1.1 2.2.2.2

[Sysname] interface gigabitethernet 1/2/5/1

[Sysname-GigabitEthernet1/2/5/1] nat static enable

【相关命令】

· display nat all

· display nat static

· nat static

· nat static net-to-net

1.1.79 nat static inbound

nat static inbound命令用来配置入方向一对一静态地址转换映射。

undo nat static inbound命令用来删除指定的入方向一对一静态地址转换映射。

【命令】

nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

undo nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ]

【缺省情况】

不存在地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

global-ip：外网IP地址。

vpn-instance global-vpn-instance-name：外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示外网IP地址不属于任何一个VPN实例。

local-ip：内网IP地址。

vpn-instance local-vpn-instance-name：内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示内网IP地址不属于任何一个VPN实例。

acl：指定ACL的编号或名称，本参数用于控制指定源地址的内网主机可以访问外网。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从内网主动访问外网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

rule rule-name：NAT规则的名称，取值范围为1～63个字符的字符串，区分大小写，不能包括“\\”、“/”、“:”、“*”、“?”、“\”、“<”、“>”、“|”、“””和“@”。如果不指定该参数，则表示该规则无名称。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

description text：配置入方向静态地址转换的描述信息，text为1～63个字符的字符串，区分大小写。

【使用指导】

对于从外网到内网的报文，将其源地址global-ip转换为local-ip；对于从内网到外网的报文，将其目的地址local-ip转换为global-ip。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从外网到内网的报文都可以使用该配置进行源地址转换；所有从内网到外网的报文都可以使用该配置进行目的地址转换。

· 如果仅指定了ACL，没有指定ACL反向匹配（即没有配置reversible），对于从外网到内网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从内网主动访问外网的报文，不能使用该配置进行目的地址转换。

· 如果既指定了ACL，又指定了ACL反向匹配（即配置了reversible），对于外网到内网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从内网主动访问外网的报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并根据配置转换目的地址，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能使用该配置进行转换，否则不予转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条入方向静态地址转换映射（包括nat static inbound和nat static inbound net-to-net）。

在VPN组网中，配置入方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

对于引用了ACL的入方向一对一静态地址转换映射，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

【举例】

# 配置外网IP地址2.2.2.2到内网IP地址192.168.1.1的入方向静态地址转换。

<Sysname> system-view

[Sysname] nat static inbound 2.2.2.2 192.168.1.1

【相关命令】

· display nat all

· display nat static

· nat static enable

1.1.80 nat static inbound net-to-net

nat static inbound net-to-net命令用来配置入方向网段到网段的静态地址转换映射。

undo nat static inbound net-to-net命令用来删除指定的入方向网段到网段的静态地址转换映射。

【命令】

nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]

undo nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ]

【缺省情况】

不存在地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

global-start-address global-end-address：外网地址范围，所包含的地址数目不能超过256。global-start-address表示起始地址，global-end-address表示结束地址。global-end-address必须大于或等于global-start-address，如果二者相同，则表示只有一个地址。

local-network：内网网段地址。

mask-length：内网网络地址的掩码长度，取值范围为8～31。

mask：内网网络地址掩码。

acl：指定ACL的编号或名称，本参数用于控制指定源地址的内网主机可以访问外网。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从内网主动访问外网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

【使用指导】

外网网段通过起始地址和结束地址来指定，内网网段通过内网地址和掩码来指定。

对于从外网到内网的报文，使用其源地址匹配外网地址，将源地址转换为内网地址；对于从内网到外网的报文，使用其目的地址匹配内网地址，将目的地址转换为外网地址。

外网结束地址不能大于外网起始地址和内网掩码所决定的网段中的最大IP地址。比如：内网地址配置为2.2.2.0，掩码为255.255.255.0，外网起始地址为1.1.1.100，则外网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址，即1.1.1.255。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从外网到内网的报文都可以使用该配置进行源地址转换；所有从内网到外网的报文都可以使用该配置进行目的地址转换。

· 如果仅指定了ACL，没有指定ACL反向匹配（即没有配置reversible），对于从外网到内网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从内网到外网的报文，不能使用该配置进行目的地址转换。

· 如果既指定了ACL，又指定了ACL反向匹配（即配置了reversible），对于外网到内网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从内网到外网的报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并根据配置转换目的地址，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能使用该配置进行转换，否则不予转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备支持配置多条入方向静态地址转换映射（包括nat static inbound和nat static inbound net-to-net）。

在VPN组网中，配置入方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

对于引用了ACL的入方向网段到网段的静态地址转换映射，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

【举例】

# 配置外网网段202.100.1.0/24到内网网段192.168.1.0/24的入方向静态地址转换。

<Sysname> system-view

[Sysname] nat static inbound net-to-net 202.100.1.1 202.100.1.255 local 192.168.1.0 24

【相关命令】

· display nat all

· display nat static

· nat static enable

1.1.81 nat static inbound net-to-net rule move

nat static inbound net-to-net rule move命令用来调整入方向网段到网段静态NAT规则的匹配优先级。

【命令】

nat static inbound net-to-net rule move nat-rule-name1 { after | before } nat-rule-name2

【缺省情况】

入方向网段到网段静态NAT规则的位置决定了匹配的优先级，位置越靠前的NAT规则，其匹配优先级越高。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【举例】

# 将入方向网段到网段静态NAT规则abc移动到入方向网段到网段静态NAT规则def的前面。

<Sysname> system-view

[Sysname] nat static inbound net-to-net rule move abc before def

【相关命令】

· nat static inbound net-to-net

1.1.82 nat static inbound object-group

nat static inbound object-group命令用来配置基于对象组的入方向静态地址转换映射。

undo nat static inbound object-group命令用来删除指定的基于对象组的入方向静态地址转换映射。

【命令】

nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ] [ counting ]

undo nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ]

【缺省情况】

不存在地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group global-object-group-name：外网IPv4地址对象组。global-object-group-name表示IPv4地址对象组的名称，为1～31个字符的字符串，不区分大小写。

vpn-instance global-vpn-instance-name：外网IP地址所属的VPN。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示外网IP地址不属于任何一个VPN。

object-group local-object-group-name：内网IPv4地址对象组。local-object-group-name表示IPv4地址对象组的名称，为1～31个字符的字符串，不区分大小写。

vpn-instance local-vpn-instance-name：内网IP地址所属的VPN。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示内网IP地址不属于任何一个VPN。

acl：指定ACL的编号或名称，本参数用于控制指定访问范围的报文可以使用NAT规则进行地址转换。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从内网主动访问外网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

【使用指导】

外网地址通过外网IPv4地址对象组来指定，内网地址通过内网IPv4地址对象组来指定。

指定引用的object-group时，需要注意：

· 内网IPv4地址对象组和外网IPv4地址对象组内只能存在一个IPv4地址对象。

· 内网IPv4地址对象组内地址数应不小于外网IPv4地址对象组。

· 内网IPv4地址对象组的地址对象不能是地址范围。

· 如果接口上配置的基于地址对象组的入方向静态地址转换所引用的内网IPv4地址对象组中配置了主机对象，那么该主机对象的IP地址不能与该接口的IP地址处于同一网段。

· 引用的IPv4地址对象组中，只能存在一个主机对象（host）或者一个子网对象（subnet），否则引用不生效。

· 引用的地址对象组的子网对象中不能包含排除地址，否则引用不生效。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从外网到内网的报文都可以使用该配置进行源地址转换；所有从内网到外网的报文都可以使用该配置进行目的地址转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条入方向静态地址转换映射（包括nat static inbound、nat static inbound net-to-net和nat static inbound object-group）。

在VPN组网中，配置入方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

【举例】

# 配置外网IP地址2.2.2.2到内网IP地址192.168.1.1基于对象组的入方向静态地址转换。

<Sysname> system-view

[Sysname] object-group ip address global

[Sysname-obj-grp-ip-global] network host address 2.2.2.2

[Sysname-obj-grp-ip-global] quit

[Sysname] object-group ip address local

[Sysname-obj-grp-ip-local] network host address 192.168.1.1

[Sysname-obj-grp-ip-local] quit

[Sysname] nat static inbound object-group global object-group local

【相关命令】

· display nat all

· display nat static

· nat static enable

1.1.83 nat static inbound rule move

nat static inbound rule move命令用来调整入方向一对一静态NAT规则的匹配优先级。

【命令】

nat static inbound rule move nat-rule-name1 { after | before } nat-rule-name2

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【使用指导】

本命令仅对指定了NAT规则名称的入方向一对一静态NAT生效。

对于被移动到前面的NAT规则，设备将会优先进行匹配。

【举例】

# 将入方向一对一静态NAT规则abc移动到入方向一对一静态NAT规则def的前面。

<Sysname> system-view

[Sysname] nat static inbound rule move abc before def

【相关命令】

· nat static inbound

1.1.84 nat static outbound

nat static outbound命令用来配置出方向一对一静态地址转换映射。

undo nat static outbound命令用来删除出方向一对一静态地址转换映射。

【命令】

nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]

undo nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ]

【缺省情况】

不存在任何地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

local-ip：内网IP地址。

global-ip：外网IP地址。

acl：指定ACL的编号或名称，本参数用于控制内网主机可以访问的目的地址。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从外网主动访问内网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

vrrp virtual-router-id：将出方向一对一静态地址转换映射与VRRP备份组绑定。virtual-router-id表示VRRP备份组ID，取值范围为1～255。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

description text：配置出方向静态地址转换的描述信息，text为1～63个字符的字符串，区分大小写。

【使用指导】

对于从内网到外网的报文，将其源地址local-ip转换为global-ip；对于从外网到内网的报文，将其目的地址global-ip转换为local-ip。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从内网到外网的报文都可以使用该配置进行源地址转换；所有从外网到内网的报文都可以使用该配置进行目的地址转换。

· 如果仅指定了ACL，没有指定ACL反向匹配（即没有配置reversible），对于从内网到外网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从外网主动访问内网的报文，不能使用该配置进行目的地址转换。

· 如果既指定了ACL，又指定了ACL反向匹配（即配置了reversible），对于从内网到外网的报文，只有报文符合ACL permit规则，才能使用该配置进行源地址转换；对于从外网主动访问内网的报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并根据配置转换目的地址，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能使用该配置进行转换，否则不予转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条出方向静态地址转换映射（包括nat static outbound和nat static outbound net-to-net）。

在VPN组网中，配置出方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

在HA＋VRRP的高可靠性组网中，在HA的主管理设备上配置出方向一对一静态地址转换映射时，需要指定vrrp参数，将出方向一对一静态地址转换映射与靠近外网的VRRP备份组绑定。否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

对于引用了ACL的出方向一对一静态地址转换映射，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

【举例】

# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向静态地址转换映射。

<Sysname> system-view

[Sysname] nat static outbound 192.168.1.1 2.2.2.2

# 配置出方向静态地址转换映射，允许内网用户192.168.1.1访问外网网段3.3.3.0/24时，使用外网IP地址2.2.2.2。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

[Sysname] nat static outbound 192.168.1.1 2.2.2.2 acl 3001

【相关命令】

· display nat all

· display nat static

· nat static enable

1.1.85 nat static outbound net-to-net

nat static outbound net-to-net命令用来配置出方向网段到网段的静态地址转换映射。

undo nat static outbound net-to-net命令用来删除出方向网段到网段的静态地址转换映射。

【命令】

nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]

undo nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ]

【缺省情况】

不存在任何地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

local-start-address local-end-address：内网地址范围，所包含的地址数目不能超过256。local-start-address表示起始地址，local-end-address表示结束地址。local-end-address必须大于或等于local-start-address，如果二者相同，则表示只有一个地址。

global-network：外网网段地址。

mask-length：外网网络地址的掩码长度，取值范围为8～31。

mask：外网网络地址掩码。

acl：指定ACL的编号或名称，本参数用于控制内网主机可以访问的目的地址。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从外网主动访问内网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

vrrp virtual-router-id：将出方向网段到网段的静态地址转换映射与VRRP备份组绑定。virtual-router-id表示VRRP备份组ID，取值范围为1～255。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

【使用指导】

内网网段通过起始地址和结束地址来指定，外网网段通过外网地址和掩码来指定。

对于从内网到外网的报文，使用其源地址匹配内网地址，将源地址转换为外网地址；对于从外网到内网的报文，使用其目的地址匹配外网地址，将目的地址转换为内网地址。

内网结束地址不能大于内网起始地址和外网掩码所决定的网段中的最大IP地址。比如：外网地址配置为2.2.2.0，掩码为255.255.255.0，内网起始地址为1.1.1.100，则内网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址，即1.1.1.255。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从内网到外网的报文都可以使用该配置进行源地址转换；所有从外网到内网的报文都可以使用该配置进行目的地址转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条出方向静态地址转换映射（包括nat static outbound和nat static outbound net-to-net）。

在VPN组网中，配置出方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

在HA＋VRRP的高可靠性组网中，在HA的主管理设备上配置出方向网段到网段的静态地址转换映射时，需要指定vrrp参数，将出方向网段到网段的静态地址转换映射与靠近外网的VRRP备份组绑定。否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

对于引用了ACL的出方向网段到网段的静态地址转换映射，当NAT规则的匹配优先级相同时，设备将按照ACL名称或ACL编号进行匹配，且ACL名称的优先级高于ACL编号的优先级，具体规则如下：

· 对于ACL名称，设备将根据名称的字符序对NAT规则进行排序，在字符序中的位置越靠前，相应的NAT规则的匹配优先级越高。

· 对于ACL编号，编号越大，优先级越高，设备将优先进行匹配。

【举例】

# 配置内网网段192.168.1.0/24到外网网段2.2.2.0/24的出方向静态地址转换映射。

<Sysname> system-view

[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24

# 配置出方向网段到网段的静态地址转换映射，允许内网192.168.1.0/24网段的用户访问外网网段3.3.3.0/24时，使用外网网段2.2.2.0/24中的地址。

<Sysname> system-view

[Sysname] acl advanced 3001

[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255

[Sysname-acl-ipv4-adv-3001] quit

[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24 acl 3001

【相关命令】

· display nat all

· display nat static

· nat static enable

1.1.86 nat static outbound net-to-net rule move

nat static outbound net-to-net rule move命令用来调整出方向网段到网段静态NAT规则的匹配优先级。

【命令】

nat static outbound net-to-net rule move nat-rule-name1 { after | before } nat-rule-name2

【缺省情况】

出方向网段到网段静态NAT规则的位置决定了匹配的优先级，位置越靠前的NAT规则，其匹配优先级越高。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【举例】

# 将出方向网段到网段静态NAT规则abc移动到出方向网段到网段静态NAT规则def的前面。

<Sysname> system-view

[Sysname] nat static outbound net-to-net rule move abc before def

【相关命令】

· nat static outbound net-to-net

1.1.87 nat static outbound object-group

nat static outbound object-group命令用来配置基于对象组的出方向静态地址转换映射。

undo nat static outbound object-group命令用来删除指定基于对象组的出方向静态地址转换映射。

【命令】

nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ disable ] [ counting ]

undo nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ]

【缺省情况】

不存在地址转换映射。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group local-object-group-name：内网IPv4地址对象组。local-object-group-name表示IPv4地址对象组的名称，为1～31个字符的字符串，不区分大小写。

object-group global-object-group-name：外网IPv4地址对象组。global-object-group-name表示IPv4地址对象组的名称，为1～31个字符的字符串，不区分大小写。

acl：指定ACL的编号或名称，本参数用于控制指定访问范围的报文可以使用NAT规则进行地址转换。

ipv4-acl-number：ACL的编号，取值范围为2000～3999。

name ipv4-acl-name：ACL的名称，为1～63个字符的字符串，不区分大小写，必须以英文字母a～z或A～Z开头。为避免混淆，ACL的名称不允许使用英文单词all。

reversible：表示从外网主动访问内网的报文必须通过ACL反向匹配，才能使用该配置进行目的地址转换。

vrrp virtual-router-id：将基于对象组的出方向静态地址转换映射与VRRP备份组绑定。virtual-router-id表示VRRP备份组ID，取值范围为1～255。

disable：表示禁用该地址转换映射。如果不指定该参数，则地址转换映射处于启用状态。

counting：开启NAT转换计数功能，即对每一次首报文地址转换进行计数。

【使用指导】

内网地址通过内网IPv4地址对象组来指定，外网地址通过外网IPv4地址对象组来指定。

指定引用的object-group时，需要注意：

· 内网IPv4地址对象组和外网IPv4地址对象组内只能存在一个IPv4地址对象。

· 内网IPv4地址对象组内地址数应不大于外网IPv4地址对象组。

· 外网IPv4地址对象组的地址对象不能是地址范围。

· 基于地址对象组的出方向静态地址转换引用的IPv4地址对象组中，只能存在一个主机对象（host）或者一个子网对象（subnet），否则引用不生效。

· 引用的地址对象组的子网对象中不能包含排除地址，否则引用不生效。

指定引用的ACL时，需要注意：

· 如果没有指定ACL，则所有从内网到外网的报文都可以使用该配置进行源地址转换；所有从外网到内网的报文都可以使用该配置进行目的地址转换。

如果接口下既配置了NAT动态地址转换，又配置了NAT静态地址转换，则优先使用静态地址转换。

设备可支持配置多条出方向静态地址转换映射（包括nat static outbound、nat static outbound net-to-net和nat static outbound object-group）。

在VPN组网中，配置出方向静态地址转换时需要指定vpn-instance参数，且VPN实例的名称必须与该接口关联的VPN实例一致。

在HA＋VRRP的高可靠性组网中，在HA的主管理设备上配置基于对象组的出方向静态地址转换映射时，需要指定vrrp参数，将基于对象组的出方向静态地址转换映射与靠近外网的VRRP备份组绑定。否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

【举例】

# 配置基于对象组的出方向静态地址转换映射，允许内网用户192.168.1.1访问外网网段3.3.3.0/24时，使用外网IP地址2.2.2.2。

<Sysname> system-view

[Sysname] object-group ip address global

[Sysname-obj-grp-ip-global] network host address 2.2.2.2

[Sysname-obj-grp-ip-global] quit

[Sysname] object-group ip address local

[Sysname-obj-grp-ip-local] network host address 192.168.1.1

[Sysname-obj-grp-ip-local] quit

[Sysname] nat static outbound object-group local object-group global

【相关命令】

· display nat all

· display nat static

1.1.88 nat static outbound rule move

nat static outbound rule move命令用来调整出方向一对一静态NAT规则的匹配优先级。

【命令】

nat static outbound rule move nat-rule-name1 { after | before } nat-rule-name2

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

nat-rule-name1：要移动的NAT规则的名称。

after：将nat-rule-name1移动到nat-rule-name2后面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值＋1。

before：将nat-rule-name1移动到nat-rule-name2前面，nat-rule-name2的匹配优先级的值不变，nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值－1。

nat-rule-name2：要移动的NAT规则的名称。

【使用指导】

本命令仅对指定了NAT规则名称的出方向一对一静态NAT生效。

对于被移动到前面的NAT规则，设备将会优先进行匹配。

【举例】

# 将出方向一对一静态NAT规则abc移动到出方向一对一NAT规则def的前面。

<Sysname> system-view

[Sysname] nat static outbound rule move abc before def

【相关命令】

· nat static outbound

1.1.89 nat timestamp delete

nat timestamp delete命令用来开启对TCP SYN和SYN ACK报文中时间戳的删除功能。

undo nat timestamp delete命令用来恢复缺省情况。

【命令】

nat timestamp delete [ vpn-instance vpn-instance-name ]

undo nat timestamp delete [ vpn-instance vpn-instance-name ]

【缺省情况】

不对TCP SYN和SYN ACK报文中的时间戳进行删除处理。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

vpn-instance vpn-instance-name：表示TCP SYN和SYN ACK报文所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。若未指定本参数，则表示TCP SYN和SYN ACK报文属于公网。

【使用指导】

开启本功能后，未指定VPN参数时，系统会把动态地址转换后的公网上TCP SYN和SYN ACK报文中的时间戳删除；指定VPN参数时，系统会把动态地址转换后的指定VPN中TCP SYN和SYN ACK报文中的时间戳删除。

在PAT方式的动态地址转换（即接口上配置了nat inbound或nat outbound命令）组网环境中，若服务器上同时开启了tcp_timestams和tcp_tw_recycle功能，则Client与Server之间可能会出现无法建立TCP连接的现象。

为了解决以上问题，可在服务器上关闭tcp_tw_recycle功能或在设备上开启对TCP SYN和SYN ACK报文中时间戳的删除功能。

多次执行本命令，可为不同VPN中的报文开启此功能。

【举例】

# 开启对公网上TCP SYN和SYN ACK报文中时间戳的删除功能。

<Sysname> system-view

[Sysname] nat timestamp delete

# 开启对名称为aa的VPN中TCP SYN和SYN ACK报文中时间戳的删除功能。

<Sysname> system-view

[Sysname] nat timestamp delete vpn-instance aa

【相关命令】

· nat outbound

· nat inbound

1.1.90 outbound-interface

outbound-interface命令用来指定NAT规则的出接口。

undo outbound-interface命令用来恢复缺省情况。

【命令】

outbound-interface interface-type interface-number

undo outbound-interface

【缺省情况】

未指定NAT规则的出接口。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

interface-type interface-number：指定出接口的接口类型和接口编号。

【使用指导】

配置本命令后，将对接口出方向上的报文应用NAT规则。

【举例】

# 将名为aaa的NAT规则的出接口指定为GigabitEthernet1/2/5/2。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] outbound-interface gigabitethernet 1/2/5/2

【相关命令】

· display nat all

· display nat policy

1.1.91 port-block

port-block命令用来配置NAT地址组的端口块参数。

undo port-block命令用来恢复缺省情况。

【命令】

port-block block-size block-size [ extended-block-number extended-block-number ]

undo port-block

【缺省情况】

未配置NAT地址组的端口块参数。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

context-admin

【参数】

block-size block-size：端口块大小，即一个端口块中所包含的端口数，取值范围为1～65535。同一NAT地址组内，该参数的值不能超过port-range参数的值。

extended-block-number extended-block-number：增量端口块数，取值范围为1～5。当分配端口块中的端口资源耗尽（所有端口都被使用）时，如果对应的私网IP地址向公网发起新的连接，则无法从分配端口块中获取端口。此时，如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数，则可以为对应的私网IP地址进行增量端口块分配。一个私网IP地址最多可同时占有1＋extended-block-number个端口块。

【使用指导】

端口块动态映射方式下，配置出方向地址转换所引用的NAT地址组中必须配置端口块参数。当某私网IP地址首次向公网发起连接时，从所匹配的NAT地址组中获取一个公网IP地址，从获取的公网IP地址中分配一个动态端口块并创建动态端口块表项（该私网IP地址后续向公网发起连接时，通过私网IP地址查找动态端口块表项），使用公网IP地址进行IP地址转换，并从端口块中动态分配一个端口进行TCP/UDP端口转换。

【举例】

# 配置NAT地址组2的端口块参数，端口块大小为256，增量端口块数为1。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] port-block block-size 256 extended-block-number 1

【相关命令】

· nat address-group

1.1.92 port-range

port-range命令用来配置公网IP地址的端口范围。

undo port-range命令用来恢复缺省情况。

【命令】

port-range start-port-number end-port-number

undo port-range

【缺省情况】

公网IP地址的端口范围为1～65535。

【视图】

NAT地址组视图

NAT端口块组视图

【缺省用户角色】

network-admin

context-admin

【参数】

start-port-number end-port-number：公网IP地址端口的起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值，避免出现应用协议识别错误的问题。

【使用指导】

在NAT地址组（或NAT端口块组）视图下配置端口范围后，该NAT地址组（或NAT端口块组）内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内。

在NAT端口块组内配置端口范围时，端口范围不能小于端口块大小。在NAT地址组内配置端口范围时，如果地址组配置了端口块参数，则端口范围也不能小于端口块大小。

【举例】

# 配置NAT地址组1的公网IP地址端口范围为1024～65535。

<Sysname> system-view

[Sysname] nat address-group 1

[Sysname-address-group-1] port-range 1024 65535

# 配置NAT端口块组1的公网IP地址端口范围为30001～65535。

<Sysname> system-view

[Sysname] nat port-block-group 1

[Sysname-port-block-group-1] port-range 30001 65535

【相关命令】

· nat address-group

· nat port-block-group

1.1.93 probe

probe命令用来指定NAT地址组中地址成员的检测方法。

undo probe命令用来取消NAT地址组中地址成员的检测方法。

【命令】

probe template-name

undo probe template-name

【缺省情况】

未指定NAT地址组中地址成员的检测方法。

【视图】

NAT地址组视图

【缺省用户角色】

network-admin

context-admin

【参数】

template-name：检测方法所使用的NQA模板名称，为1～32个字符的字符串，不区分大小写。

【使用指导】

NAT地址池检测功能用于检测NAT地址组中地址的可用性，是通过在地址池中引用NQA模板来实现的，详细过程如下：

(1) 引用NQA探测模板后，设备会周期性的向NQA模板中指定的目的地址依次发送探测报文，其中探测报文的源IP地址是地址池中的IP地址。

(2) 若设备没有收到NQA探测应答报文，则将探测报文的源IP地址从地址池中排除，暂时禁止该IP地址用于地址转换。

(3) 被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测，如果收到回应报文，则允许该IP地址重新用于地址转换。

可通过重复执行本命令为NAT地址组配置多个NQA探测模板。当配置多个NQA探测模板时，只要有一个NQA探测模板探测成功，则表示该地址可用于地址转换。

本功能仅对用于出方向地址转换的地址成员的可用性进行检测。不对通过exclude-ip命令配置的禁止用于地址转换的IP地址的可用性进行检测。

请使用nqa template命令创建检测方法所使用的NQA模板，但该模板不能配置源IP地址。

【举例】

# 创建ICMP类型的NQA模板t4，并将其指定为NAT地址组1的检测方法。

<Sysname> system-view

[Sysname] nqa template icmp t4

[Sysname-nqatplt-icmp-t4] quit

[Sysname] nat address-group 1

[Sysname-lb-lgroup-lg] probe t4

【相关命令】

· display nat probe address-group

· exclude-ip

· nqa template（网络管理和监控命令参考/NQA）

1.1.94 reset nat count statistics

reset nat count statistics命令用来清除NAT转换计数信息。

【命令】

reset nat count statistics { all | dynamic | global-policy | server | static | static-port-block }

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

all：清除所有NAT转换计数信息。

dynamic：清除所有动态NAT转换计数信息。

global-policy：清除全局NAT转换计数信息。

server：清除NAT server转换计数信息。

static：清除所有静态NAT转换计数信息。

static-port-block：清除NAT444端口块静态映射转换计数信息。

【举例】

# 清除所有静态NAT转换计数信息。

<Sysname> reset nat count statistics all

【相关命令】

· display nat inbound

· display nat outbound

· display nat outbound port-block-group

· display nat port-block

· display nat static

· display nat server

1.1.95 reset nat session

reset nat session命令用来删除NAT会话。

【命令】

reset nat session [ chassis chassis-number slot slot-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

context-admin

【参数】

chassis chassis-number slot slot-number：删除指定成员设备上指定单板的NAT会话，chassis-number表示设备在IRF中的成员编号，slot-number表示单板所在的槽位号。如果不指定该参数，则表示删除所有成员设备的所有单板上的NAT会话。

【举例】

# 删除指定slot上的NAT会话。

<Sysname> reset nat session chassis 1 slot 1

【相关命令】

· display nat session

1.1.96 rule move（接口NAT策略视图）

rule move命令用来修改NAT规则的优先级顺序。

【命令】

rule move rule-name1 { after | before } [ rule-name2 ]

【视图】

接口NAT策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name1：待移动的NAT规则的名称，为1～63个字符的字符串，不区分大小写。

after：将待移动规则后置，即将规则rule-name1移动到规则rule-name2后面。

before：将待移动规则前置，即将规则rule-name1移动到规则rule-name2前面。

rule-name2：待移动的NAT规则的参照规则，为1～63个字符的字符串，不区分大小写。如果不指定本参数，那么：

· NAT规则的移动方式为after时，rule-name1将被排到优先级最低的位置。

· NAT规则的移动方式为before时，rule-name1将被排到优先级最高的位置。

【使用指导】

通过本命令只能调整已经存在的NAT规则的优先级顺序。

【举例】

# 将接口NAT策略中的NAT规则aaa移动到NAT规则bbb前。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule move aaa before bbb

1.1.97 rule move（全局NAT策略视图）

rule move命令用来修改NAT规则的优先级顺序。

【命令】

rule move rule-name1 [ type { nat | nat64 | nat66 } ] { after | before } [ rule-name2 [ type { nat | nat64 | nat66 } ] ]

【视图】

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name1：待移动的NAT规则的名称，为1～63个字符的字符串，不区分大小写。

type：指定待移动的NAT规则的类型。

nat：NAT类型的规则。

nat64：NAT64类型的规则。

nat66：NAT66类型的规则。

after：将待移动规则后置，即将规则rule-name1移动到规则rule-name2后面。

before：将待移动规则前置，即将规则rule-name1移动到规则rule-name2前面。

rule-name2：待移动的NAT规则的参照规则，为1～63个字符的字符串，不区分大小写。如果不指定本参数，那么：

· NAT规则的移动方式为after时，rule-name1将被排到优先级最低的位置。

· NAT规则的移动方式为before时，rule-name1将被排到优先级最高的位置。

【使用指导】

通过本命令只能调整已经存在的NAT规则的优先级顺序。

使用本命令调整NAT规则的优先级顺序时，可以不指定规则类型。若指定了规则类型，建议指定准确的类型。

执行本命令调整NAT规则的优先级顺序时需确保所有包含目的地址转换动作的NAT规则均位于仅包含源地址转换动作的NAT规则之前：

· 不能将包含目的地址转换动作的NAT规则移动到仅包含源地址转换动作的NAT规则之后。

· 不能将仅包含源地址转换动作的NAT规则移动到包含目的地址转换动作的NAT规则之前。

【举例】

【相关命令】

· display nat all

· display nat policy

1.1.98 rule name

rule name命令用来创建NAT规则，并进入NAT规则视图。如果指定的NAT规则已经存在，则直接进入NAT规则视图。

undo rule name命令用来删除指定的NAT规则。

【命令】

rule name rule-name

undo rule name rule-name

【缺省情况】

不存在NAT规则。

【视图】

接口NAT策略视图

【缺省用户角色】

network-admin

context-admin

【参数】

rule-name：表示NAT规则的名称，为1～63个字符的字符串，不区分大小写，不能包括“-”、“%”，若要使用“\”或“"”，则必须在输入时使用转义操作符“\”。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如“xxx xxx”。

【使用指导】

创建、移动或改变NAT规则的类型时，需要注意：

· NAT规则的匹配优先级由配置顺序决定，先配置的优先级高。可以通过rule move命令移动规则的位置来调整规则的配置顺序。实际生效的匹配顺序可通过display nat policy命令查看。

· 不能通过重复执行rule name rule-name type命令改变NAT规则的类型。如需修改，请先通过undo rule name命令删除NAT规则，再执行rule name rule-name type命令。

· 接口NAT策略下，最多可以创建4096条NAT规则。

【举例】

# 在接口NAT策略中配置名为aaa的NAT规则，并进入该NAT规则视图。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa]

【相关命令】

· display nat all

· display nat policy

· rule move

1.1.99 service

service命令用来配置NAT规则引用的服务对象组。

undo service命令用来删除NAT规则引用的服务对象组。

【命令】

service object-group-name

undo service [ object-group-name ]

【缺省情况】

NAT规则中不存在服务对象组。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

object-group-name：指定NAT规则引用的服务对象组，object-group-name表示服务对象组的名称，为1～31个字符的字符串，不区分大小写。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如“xxx xxx”。

【使用指导】

设备会使用NAT规则中的过滤条件对经过本设备的报文进行过滤，NAT设备仅对匹配过滤条件的报文进行地址转换。

本命令与action snat命令配合使用时，将在NAT设备的出接口方向进行源IP地址转换。本命令与action snat命令、action dnat命令配合使用时，将在NAT设备的入接口方向同时进行源IP地址和目的IP转换。

引用的服务对象组必须已经存在，否则配置将失败。

执行undo service命令时可以不指定任何参数，表示删除此规则引用的所有服务对象组。

同一NAT规则下可引用多个服务对象组，最多不能超过256个。

【举例】

# 在接口NAT策略中配置NAT规则aaa引用名为service1、service2和service3的服务对象组。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] service service1

[Sysname-nat-policy-rule-aaa] service service2

[Sysname-nat-policy-rule-aaa] service service3

【相关命令】

· display nat all

· display nat policy

· object-group（安全命令参考/对象组）

1.1.100 source-ip

source-ip命令用来配置NAT规则中用于匹配报文源IP地址的过滤条件。

undo source-ip命令用来删除NAT规则中用于匹配报文源IP地址的过滤条件。

【命令】

接口NAT策略下的NAT规则视图下NAT类型的规则视图：

source-ip ipv4-object-group-name

undo source-ip [ ipv4-object-group-name ]

【缺省情况】

NAT规则中不存在用于匹配报文源IP地址的过滤条件。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-object-group-name：指定NAT规则引用的源地址对象组，ipv4-object-group-name表示源IPv4地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如“xxx xxx”。

ipv6-object-group-name：指定NAT规则引用的源IPv6地址对象组，ipv6-object-group-name表示源IPv6地址对象组的名称，为1～63个字符的字符串，不区分大小写，且不能为字符串any。如果该字符串中包含空格，需要在字符串的首末添加英文格式的引号，形如“xxx xxx”。

host ipv4-address：指定NAT规则中用于匹配报文源IPv4地址的IPv4地址，ipv4-address表示报文源IPv4地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

host ipv6-address：指定NAT规则中用于匹配报文源IPv6地址的IPv6地址，ipv6-address表示报文源IPv6地址。

subnet subnet-ip v4-address mask-length：指定NAT规则引用的IPv4网段。subnet-ip v4-address表示网段IPv4地址；mask-length表示该网段掩码长度，取值可以为8、16或范围为24～31之间的整数。

subnet ipv6-prefix prefix-length：指定NAT规则引用的IPv6地址前缀。ipv6-prefix表示IPv6地址前缀；prefix-length表示前缀长度，取值范围为1～128。

【使用指导】

配置本命令后，NAT设备将使用该过滤条件中的IP地址对报文进行过滤，只有源IP地址与过滤条件匹配的报文才会被NAT设备进行地址转换。

引用地址对象组时，需要注意：

· 引用的地址对象组必须已经存在，否则配置将失败。

· 引用的地址对象组中的对象必须通过如下方式创建，否则引用地址对象的配置将失败：

¡ [ object-id ] network host address ip-address

¡ [ object-id ] network subnet ip-address { mask-length | mask }

¡ [ object-id ] network range ip-address1 ip-address2

关于以上命令的详细介绍，请参见“安全命令参考”中的“对象组”。

执行undo source-ip命令时若不指定任何参数，表示删除此规则中所有用于匹配报文源IP地址的过滤条件。

同一NAT规则下配置过滤条件时，需要注意：

· 同一NAT规则下可引用多个源地址对象组，最多不能超过256个。

· 同一个NAT64类型的规则中配置多个过滤条件时，后配置的过滤条件中的IP地址类型必须与先配置的过滤条件中的IP地址类型一致，例如先配置了source-ip host 192.168.1.1，接下来配置了source-ip host 100::1，那么source-ip host 100::1配置失败。请根据实际应用场景规划配置。

· 同一个NAT规则视图下的source-ip命令、source-ip host命令以及source-ip subnet命令相互覆盖。

【举例】

# 在接口NAT策略中配置NAT规则aaa引用名为srcIP1、srcIP2和srcIP3的源地址对象组。

<Sysname> system

[Sysname] nat policy

[Sysname-nat-policy] rule name aaa

[Sysname-nat-policy-rule-aaa] source-ip srcip1

[Sysname-nat-policy-rule-aaa] source-ip srcip2

[Sysname-nat-policy-rule-aaa] source-ip srcip3

【相关命令】

· display nat all

· display nat policy

· object-group（安全命令参考/对象组）

1.1.101 source-zone

source-zone命令用来配置作为NAT规则过滤条件的源安全域。

undo source-zone命令用来删除作为NAT规则过滤条件的源安全域。

【命令】

source-zone source-zone-name

undo source-zone [ source-zone-name ]

【缺省情况】

NAT规则中不存在源安全域过滤条件。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

source-zone-name：源安全域的名称，为1～31个字符的字符串，不区分大小写，且不能为字符串any。作为规则过滤条件的源安全域可以不存在，但要使配置生效，必须通过security-zone name命令创建安全域。关于安全域的详细介绍，请参见“安全配置指导”中的“安全域”。

【使用指导】

配置本命令后，NAT设备将使用该过滤条件中的IP地址对报文进行过滤，只有源安全域与过滤条件匹配的报文才会被NAT设备进行地址转换。

不能通过重复执行本命令修改作为NAT规则过滤条件的源安全域。如需修改作为NAT规则过滤条件的源安全域，请先通过undo source-zone命令删除作为NAT规则过滤条件的源安全域，再执行source-zone命令。

使用undo命令时若不指定任何参数，则表示删除此规则中所有源安全域类型的过滤条件。

仅全局NAT策略中的NAT规则视图下支持配置本命令。

最多支持将16个源安全域作为NAT规则的过滤条件。

【举例】

# 配置作为NAT规则rule1过滤条件的源安全域为trust。

<Sysname> system-view

[Sysname] nat global-policy

[Sysname-nat-global-policy] rule name rule1

[Sysname-nat-global-policy-rule-rule1] source-zone trust

【相关命令】

· security-zone name（安全命令参考/安全域）

1.1.102 vrf

vrf命令用来配置NAT规则中用于匹配报文所属VPN实例的过滤条件。

undo vrf命令用来删除NAT规则中用于匹配报文所属VPN实例的过滤条件。

【命令】

vrf vrf-name

undo vrf

【缺省情况】

NAT规则中不存在用于匹配报文所属VPN实例的过滤条件。

【视图】

NAT规则视图

【缺省用户角色】

network-admin

context-admin

【参数】

vrf-name：表示MPLS L3VPN的VPN实例的名称，为1～31个字符的字符串，区分大小写。

【使用指导】

本命令与action snat命令配合使用时，工作机制如下：

(1) NAT设备做源地址转换时，将报文所属的VPN实例作为一个过滤条件。对于通过过滤条件的报文，NAT设备根据action snat中的转换规则进行地址转换，并在建立的NAT映射表中记录VPN信息。

(2) 当外部网络服务器回应内部主机时，根据已经建立的NAT映射表，NAT设备进行地址转换，并将转后的报文转发给内部主机。

本命令与action dnat命令配合使用时，工作机制如下：

(1) NAT设备做目的地址转换时，将报文所属的VPN实例作为一个过滤条件。对于通过过滤条件的报文，NAT设备根据action dnat中的转换规则进行地址转换，并在建立的NAT映射表中记录VPN信息。

(2) 当内部服务器回应外部网络主机时，根据已经建立的NAT映射表，NAT设备进行地址转换，并将转换后的报文转发给外部网络主机。

仅全局NAT策略中的NAT规则视图下支持配置本命令。

多次执行本命令，最后一次执行的命令生效。

【举例】

# 在NAT规则rule1中配置vpn1作为匹配报文所属VPN实例的过滤条件。

<sysname> system-view

[sysname] nat global-policy

[sysname-nat-global-policy] rule name rule1

[sysname-nat-global-policy-rule-rule1] vrf vpn1

【相关命令】

· action dnat

· action snat

1.1.103 vrrp vrid（接口NAT）

vrrp vrid命令用来将NAT地址组或NAT端口块组与VRRP备份组绑定。

undo vrrp vrid命令用来恢复缺省情况。

【命令】

vrrp vrid virtual-router-id

undo vrrp vrid

【缺省情况】

NAT地址组或NAT端口块组未绑定任何VRRP备份组。

【视图】

NAT地址组视图

NAT端口块组视图

【缺省用户角色】

network-admin

context-admin

【参数】

virtual-router-id：表示VRRP备份组ID，取值范围为1～255。

【使用指导】

在HA＋VRRP的高可靠性组网中，使用NAT地址组/NAT端口块组的源IP地址转换配置会将转换后的公网IP地址下发到地址管理。然后，主、备设备均会向同一局域网内所有节点通告公网IP与自身物理接口MAC地址的对应关系。导致与HA直连的上行三层设备可能会将下行报文发送给HA中的Backup设备，从而影响业务的正常运行。

为了避免上述情况的发生，需要将NAT地址组/NAT端口块组与VRRP备份组绑定。执行绑定操作后，仅Master设备收到对转换后IP地址的ARP请求后，才会发送ARP响应报文进行回应，响应报文中携带的MAC地址为此VRRP备份组的虚拟MAC地址，使得与HA直连的上行三层设备只会将下行报文发送给HA中的Master设备，保证业务的正常运行。

重复执行本命令，最后一次执行的命令生效。

【举例】

# 在NAT地址组2绑定VRRP备份组1。

<Sysname> system-view

[Sysname] nat address-group 2

[Sysname-address-group-2] vrrp vrid 1

【相关命令】

· display nat address-group

· display nat port-block-group

· nat address-group

· nat port-block-group

· vrrp vrid（高可靠性命令参考/高可靠性）

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

百业灵犀

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

05-NAT命令参考

目录

01-NAT命令

1 NAT

1.1 NAT配置命令

1.1.2 action dnat（NAT64类型规则视图）

1.1.3 action dnat（NAT66类型规则视图）

1.1.4 action dnat（NAT类型的规则视图）

1.1.5 action snat（NAT64类型规则视图）

1.1.6 action snat（NAT66类型规则视图）

1.1.7 action snat（NAT类型的规则视图）

1.1.53 nat log enable