- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-NAT命令
本章节下载: 19-NAT命令 (280.42 KB)
目 录
1.1.2 display nat address-group
1.1.16 nat static inbound net-to-net
1.1.18 nat static outbound net-to-net
address命令用来添加一个地址组成员。
undo address命令用来删除一个地址组成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
不存在地址组成员。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。start-address和end-address之间的IP地址数量不能超过256个。
【使用指导】
一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。
同一个NAT地址组中多次执行本命令添加的地址成员不能互相重叠。所有NAT地址组中能够添加的地址成员总数与设备的型号有关,请以设备的实际情况为准。
【举例】
# 在NAT地址组2中添加两个地址组成员。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· nat address-group
display nat address-group命令用来显示NAT地址组配置信息。
【命令】
display nat address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不设置该值,则显示所有地址组。
【举例】
# 显示所有地址组的配置信息。
<Sysname> display nat address-group
NAT address group information:
Totally 5 NAT address groups.
Address group 1:
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Address group 2:
Port range: 1-65535
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group 3:
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group 4:
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group 6:
Port range: 1-65535
Address information:
Start address End address
--- ---
# 显示指定地址组的配置信息。
<Sysname> display nat address-group 1
Address group 1:
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
表1-1 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组信息 |
|
Totally n NAT address groups |
当前有n个地址组 |
|
Address group |
地址组的编号 |
|
Port range |
地址的端口范围 |
|
Block size |
端口块大小。如果未配置,则不显示 |
|
Extended block number |
增量端口块数。如果未配置,则不显示 |
|
Address information |
地址组成员信息 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示”---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示”---” |
【相关命令】
· nat address-group
display nat all命令用来显示所有的NAT配置信息。
【命令】
display nat all
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有的NAT配置信息。
<Sysname> display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group 0:
Port range: 1024-65535
Port block size: 300
Extended block number: 1
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: Vlan-interface300
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
Interface: Vlan-interface301
ACL: 3002 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 202.100.1.1 - 202.100.1.255
Local IP : 192.168.1.0
Netmask : 255.255.255.0
Config status: Active
Local flow-table status: Inactive
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
ACL : 3000
Reversible : Y
Config status: Inactive
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 192.168.1.1 - 192.168.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
ACL : 3002
Config status: Active
Local flow-table status: Inactive
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Config status: Active
Local flow-table status: Inactive
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: Vlan-interface200
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
Static NAT load balancing: Disabled
上述显示信息是目前所有NAT配置信息的集合。由于部分NAT配置(nat address-group、nat inbound、nat outbound、nat static、nat static net-to-net和nat static enable)有自己独立的显示命令,且此处显示信息的格式与各命令对应的显示信息的格式相同的,所以此处不对这些配置的显示字段的含义进行详细解释,如有需要,请参考各独立的显示命令。
表1-2 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组的配置信息,详细字段解释请参见“表1-1” |
|
NAT inbound information: |
入方向动态地址转换的配置信息,详细字段解释请参见“表1-3” |
|
NAT outbound information |
出方向动态地址转换的配置信息,详细字段解释请参见“表1-5” |
|
Static NAT mappings |
静态地址转换的配置信息,详细字段解释请参见“表1-8” |
|
ACL |
引用的ACL编号或名称。如果未配置,则显示“---” |
|
Static NAT load balancing |
是否开启静态NAT在多个CPU上进行负载分担的功能: · Disabled:表示关闭 · Enabled:表示开启 |
display nat inbound命令用来显示NAT入方向动态地址转换的配置信息。
【命令】
display nat inbound
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT入接口动态地址转换的配置信息。
<Sysname> display nat inbound
NAT inbound information:
Totally 2 NAT inbound rules.
Interface: Vlan-interface2
ACL: 2038 Address group: 2 Add route: Y
NO-PAT: Y Reversible: N
Config status: Active
Interface: Vlan-interface3
ACL: 2037 Address group: 1 Add route: Y
NO-PAT: Y Reversible: N
Config status: Inactive
表1-3 display nat inbound命令显示信息描述表
|
字段 |
描述 |
|
NAT inbound information |
NAT入方向动态地址转换的配置信息 |
|
Totally n NAT inbound rules |
当前存在n条入入方向动态地址转换配置 |
|
Interface |
入方向动态地址转换配置所在的接口 |
|
ACL |
引用的ACL编号或名称 |
|
Address group |
入方向动态地址转换使用的地址组 |
|
NO-PAT |
是否使用NO-PAT方式进行地址转换。若其值为“Y”,则表示使用NO-PAT方式;若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则不允许 |
|
Config status |
显示NAT配置的状态 · Active:生效 · Inactive:不生效 |
【相关命令】
· nat inbound
display nat no-pat命令用来显示NAT NO-PAT表项信息。
【命令】
display nat no-pat [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定设备编号,取值只能为1。
【使用指导】
NO-PAT表项记录了动态分配的一对一地址映射关系,该表项有两个作用:
· 保证后续同方向的新连接使用与第一个连接相同的地址转换关系。
· 反方向的新连接可以使用NO-PAT表进行地址转换。
nat inbound和nat outbound配置的NO-PAT方式在转换报文地址之后都需要创建NO-PAT表。这两种配置创建的NO-PAT表类型不同,不能互相使用,因此分成两类进行显示。
【举例】
# 显示指定slot的NAT NO-PAT表项。
<Sysname> display nat no-pat slot 1
Slot 1:
Global IP: 200.100.1.100
Local IP: 192.168.100.100
Reversible: N
Type : Inbound
Local IP: 192.168.100.200
Global IP: 200.100.1.200
Reversible: Y
Type : Outbound
Total entries found: 2
表1-4 display nat no-pat命令显示信息描述表
|
字段 |
描述 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
Type |
NO-PAT表项类型 · Inbound:入方向动态地址转换过程中创建的NO-PAT表项 · Outbound:出方向动态地址转换过程中创建的NO-PAT表项 |
|
Total entries found |
当前查找到的NO-PAT表项的个数 |
【相关命令】
· nat inbound
· nat outbound
display nat outbound命令用来显示出方向动态地址转换的配置信息。
【命令】
display nat outbound
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示出方向动态地址转换的配置信息。
<Sysname> display nat outbound
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: Vlan-interface200
ACL: 2036 Address group: 1 Port-preserved: Y
NO-PAT: N Reversible: N
Config status: Active
Interface: Vlan-interface201
ACL: 2037 Address group: 2 Port-preserved: N
NO-PAT: Y Reversible: Y
Config status: Active
表1-5 display nat outbound命令显示信息描述表
|
字段 |
描述 |
|
NAT outbound information |
出方向动态地址转换的配置信息 |
|
Totally n NAT outbound rules |
当前存在n条出方向动态地址转换 |
|
Interface |
出方向动态地址转换配置所在的接口 |
|
ACL |
引用的IPv4 ACL编号或名称。如果未配置,则显示“---” |
|
Address group |
出方向动态地址转换使用的地址组。如果未配置,则显示“---” |
|
Port-preserved |
PAT方式下,是否尽量不转换端口 |
|
NO-PAT |
是否使用NO-PAT方式进行转换。若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
【相关命令】
· nat outbound
display nat port-block命令用来显示端口块表项。
【命令】
display nat port-block { dynamic | static } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dynamic:显示动态端口块表项。
static:显示静态端口块表项。
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示指定slot上的静态端口块表项。
<Sysname> display nat port-block static slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 100.100.100.111 202.202.100.101 10001-10256 0
--- 100.100.100.112 202.202.100.101 10257-10512 0
--- 100.100.100.113 202.202.100.101 10513-10768 0
vpn012345678 100.100.100.113 202.202.100.101 10769-11024 0
901234567890
1234567
Total entries found: 4
# 显示指定slot上的动态端口块表项。
<Sysname> display nat port-block dynamic slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 101.1.1.12 192.168.135.201 10001-11024 1
Total entries found: 1
表1-6 display nat port-block 命令显示信息描述表
|
字段 |
描述 |
|
Local VPN |
私网IP地址所属VPN实例,“---”表示不属于任何VPN实例 |
|
Local IP |
私网IP地址 |
|
Global IP |
公网IP地址 |
|
Port block |
端口块(起始端口-结束端口) |
|
Connections |
当前使用本端口块中的端口建立的连接数 |
display nat session命令用来显示NAT会话,即经过NAT地址转换处理的会话。
【命令】
display nat session [ source-ip source-ip | destination-ip destination-ip ] [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-ip source-ip:显示指定源地址的会话。source-ip表示源地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip:显示指定目的地址的会话。destination-ip表示目的地址,该地址必须是创建会话的报文的目的地址。
slot slot-number:指定设备编号,取值只能为1。
verbose:显示NAT会话的详细信息。如果不配置则显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有的NAT会话。
【举例】
# 显示NAT会话的详细信息。
<Sysname> display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Vlan-interface100
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Vlan-interface200
State: TCP_SYN_SENT
Application: SSH
Start time: 2022-05-11 10:06:55 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-7 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/VLL ID |
(暂不支持)会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
传输层协议类型 |
|
Inbound interface |
报文的入接口 |
|
State |
会话状态 |
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
当前查找到的会话的总数 |
【相关命令】
· reset nat session
display nat static命令用来显示NAT静态地址转换的配置信息。
【命令】
display nat static
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT静态地址转换的配置信息。
<Sysname> display nat static
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 202.100.1.1 - 202.100.1.255
Local IP : 192.168.1.0
Netmask : 255.255.255.0
Config status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
ACL : 3000
Reversible : Y
Config status: Inactive
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 192.168.1.1 - 192.168.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
ACL : 3002
Config status: Active
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Config status: Active
Local flow-table status: Inactive
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: Vlan-interface200
Config status: Active
表1-8 display nat static命令显示信息描述表
|
字段 |
描述 |
|
Static NAT mappings |
静态地址转换的配置信息 |
|
Totally n inbound static NAT mappings |
当前存在n条入方向静态地址转换的配置 |
|
Totally n outbound static NAT mappings |
当前存在n条出方向静态地址转换的配置 |
|
Net-to-net |
网段到网段的静态地址转换映射 |
|
IP-to-IP |
IP到IP的静态地址转换映射 |
|
Local IP |
内网IP地址或地址范围 |
|
Global IP |
外网IP地址或地址范围 |
|
Netmask |
IP地址掩码 |
|
ACL |
引用的ACL编号或名称。如果未配置,则不显示该字段 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换 如果未配置,则不显示该字段 |
|
Interfaces enabled with static NAT |
静态地址转换在接口下的开启情况 |
|
Totally n interfaces enabled with static NAT |
当前有n个接口开启了静态地址转换 |
|
Interface |
开启静态地址转换功能的接口 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
【相关命令】
· nat static
· nat static enable
display nat statistics命令用来显示NAT统计信息。
【命令】
display nat statistics [ summary ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
summary:显示NAT统计信息的摘要信息。不指定该参数时,显示NAT统计信息的详细信息。
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 显示所有NAT统计信息的详细信息。
<Sysname> display nat statistics
Slot 1:
Total session entries: 100
Total EIM entries: 1
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 10
Total dynamic port block entries: 15
Active static port block entries: 0
Active dynamic port block entries: 0
表1-9 display nat statistics命令显示信息描述表
|
字段 |
描述 |
|
Total session entries |
NAT会话表项个数 |
|
Total EIM entries |
EIM表项个数 |
|
Total inbound NO-PAT entries |
入方向的NO-PAT表项个数 |
|
Total outbound NO-PAT entries |
出方向的NO-PAT表项个数 |
|
Total static port block entries |
当前配置创建的静态端口块表项个数 |
|
Total dynamic port block entries |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块 |
|
Active static port block entries |
当前正在使用的静态端口块表项个数 |
|
Active dynamic port block entries |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
# 显示所有NAT统计信息的概要信息。
<Sysname> display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
1 0 0 0 0 0 0
表1-10 display nat statistics summary命令显示信息描述表
|
字段 |
描述 |
|
Sessions |
NAT会话表项个数 |
|
EIM |
EIM表项个数 |
|
SPB |
当前配置创建的静态端口块表项个数 |
|
DPB |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块 |
|
ASPB |
当前正在使用的静态端口块表项个数 |
|
ADPB |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
nat address-group命令用来创建地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo nat address-group命令用来删除指定的地址组。
【命令】
nat address-group group-id
undo nat address-group group-id
【缺省情况】
不存在地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-id:地址组编号,取值范围为0~65535。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时,其源地址将被转换为地址组成员中的某个地址。
【举例】
# 创建一个地址组,编号为1。
<Sysname> system-view
[Sysname] nat address-group 1
【相关命令】
· address
· display nat address-group
· display nat all
· nat inbound
· nat outbound
nat inbound命令用来配置入方向动态地址转换。
undo nat inbound命令用来删除指定的入方向动态地址转换。
【命令】
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group group-id [ no-pat [ reversible ] ]
undo nat inbound { ipv4-acl-number | name ipv4-acl-name }
【缺省情况】
不存在入方向动态地址转换配置。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。group-id为地址组的编号,取值范围为0~65535。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息。如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,我们将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即,在外网用户主动向内网发起连接并成功触发建立地址转换表项的情况下,允许内网向该外网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
【使用指导】
从配置了入方向地址转换的接口接收到的符合ACL permit规则的报文,会使用地址组group-id中的地址进行源地址转换。
入方向地址转换有两种转换方式:
· PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2)。
· NO-PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果用户配置了reversible,则允许内网通过IP2主动访问外网,对于此类访问报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。
nat inbound命令通常与nat outbound、nat server或nat static配合使用,用于支持在外网侧口上对报文同时进行源和目的转换,即双向NAT。
指定入方向和出方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被nat inbound配置引用后,就不能再被nat outbound配置引用。
· 一个地址组被PAT方式的nat inbound配置引用后,不能再被NO-PAT方式的nat inbound配置引用,反之亦然。
引用ACL时,需要注意的是:
· 在一个接口下,一个ACL只能被一个nat inbound引用。
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示该ACL匹配不上任何报文。
一个接口下可同时配置多条入方向地址转换。
【举例】
# 在接口vlan-interface 10上配置入方向动态地址转换,使用地址组1中的地址进行地址转换,在转换的时候不使用TCP/UDP的端口信息。
[Sysname] interface vlan-interface 10
[Sysname-vlan-interface 10] nat inbound 2001 address-group 1 no-pat
【相关命令】
· display nat all
· display nat inbound
· display nat no-pat
nat outbound命令用来配置出方向动态地址转换。
undo nat outbound命令用来删除指定的出方向动态地址转换。
【缺省情况】
不存在动态地址转换配置。
【命令】
· NO-PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id no-pat [ reversible ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
· PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ port-preserved ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。group-id为地址组的编号,取值范围为0~65535。如果不指定该参数,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息;如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,我们将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即,在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
port-preserved:PAT方式分配端口时尽量不转换端口。
【使用指导】
一般情况下,出方向动态地址转换配置在和外部网络连接的接口上,一个接口下可同时配置多条出方向地址转换。动态地址转换有两种转换方式:
· PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址或该接口的地址(Easy IP方式)进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2);如果同时配置了PAT方式下的地址转换模式为EIM(Endpoint-Independent Mapping),则外网可以通过IP2/port2主动访问内网,NAT设备根据EIM表项转换目的地址和端口(IP2/port2转换为IP1/port1)。
· NO-PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果同时配置了reversible,则允许外网通过IP2主动访问内网,对于此类报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。
指定出方向和入方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被nat outbound配置引用后,不能再被nat inbound引用。
· 一个地址组被PAT方式的nat outbound配置引用后,不能再被NO-PAT方式的nat outbound配置引用,反之亦然。
指定出方向动态地址转换引用的ACL时,需要注意:
· 在一个接口下,一个ACL只能被一个nat outbound引用。
· 不指定ACL编号或名称的情况下,不对转换对象进行限制。
· 对于同一接口下的出方向动态地址转换配置,指定了ACL的配置的优先级高于未指定ACL的配置的优先级;对于指定了ACL的出方向动态地址转换配置,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示该ACL匹配不上任何报文。
【举例】
# 配置ACL 2001,允许对10.110.10.0/24网段的主机报文进行地址转换。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-ipv4-basic-2001] rule deny
[Sysname-acl-ipv4-basic-2001] quit
# 配置地址组1,并添加地址组成员:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] nat address-group 1
[Sysname-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-address-group-1] quit
# 在接口Vlan-interface100上配置出方向动态地址转换,允许对匹配ACL 2001的报文使用地址组1中的地址进行地址转换,且在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] nat outbound 2001 address-group 1
[Sysname-Vlan-interface100] quit
# 如果在接口Vlan-interface100上不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] nat outbound 2001 address-group 1 no-pat
[Sysname-Vlan-interface100] quit
# 如果直接使用接口Vlan-interface100接口的IP地址进行地址转换,可以使用如下的配置。
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] nat outbound 2001
[Sysname-Vlan-interface100] quit
# 内网10.110.10.0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络。如果要在内网用户向外网主动发起访问之后,允许外网用户主动向10.110.10.0/24网段的主机发起访问,并利用已建立的地址转换表项进行反向地址转换,可以使用如下配置。
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] nat outbound 2001 address-group 1 no-pat reversible
【相关命令】
· display nat outbound
nat static enable命令用来开启接口上的NAT静态地址转换功能。
undo nat static enable命令用来关闭接口上的NAT静态地址转换功能。
【命令】
nat static enable
undo nat static enable
【缺省情况】
NAT静态地址转换功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
接口下开启NAT静态地址转换功能后,所有已配置的静态地址转换映射都会在该接口上生效。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向一对一静态地址转换,并且在接口Vlan-interface100上开启静态地址转换功能。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] nat static enable
【相关命令】
· display nat all
· display nat static
· nat static
· nat static net-to-net
nat static inbound命令用来配置入方向一对一静态地址转换映射。
undo nat static inbound命令用来删除指定的入方向一对一静态地址转换映射。
【命令】
nat static inbound global-ip local-ip [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ]
undo nat static inbound global-ip
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
global-ip:外网IP地址。
local-ip:内网IP地址。
acl:指定ACL的编号或名称,本参数用于控制指定源地址的内网主机可以访问外网。
ipv4-acl-number:ACL的编号,取值范围为3000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
【使用指导】
对于从外网到内网的报文,将其源地址global-ip转换为local-ip;对于从内网到外网的报文,将其目的地址local-ip转换为global-ip。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示该ACL匹配不上任何报文。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条入方向静态地址转换映射(包括nat static inbound和nat static inbound net-to-net)。
【举例】
# 配置外网IP地址2.2.2.2到内网IP地址192.168.1.1的入方向静态地址转换。
<Sysname> system-view
[Sysname] nat static inbound 2.2.2.2 192.168.1.1
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static inbound net-to-net命令用来配置入方向网段到网段的静态地址转换映射。
undo nat static inbound net-to-net命令用来删除指定的入方向网段到网段的静态地址转换映射。
【命令】
nat static inbound net-to-net global-start-address global-end-address local local-network { mask-length | mask } [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ]
undo nat static inbound net-to-net global-start-address global-end-address
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
global-start-address global-end-address:外网地址范围,所包含的地址数目不能超过256。global-start-address表示起始地址,global-end-address表示结束地址。global-end-address必须大于或等于global-start-address,如果二者相同,则表示只有一个地址。
local-network:内网网段地址。
mask-length:内网网络地址的掩码长度,取值范围为8~31。
mask:内网网络地址掩码。
acl:指定ACL的编号或名称,本参数用于控制指定源地址的内网主机可以访问外网。
ipv4-acl-number:ACL的编号,取值范围为3000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
【使用指导】
外网网段通过起始地址和结束地址来指定,内网网段通过内网地址和掩码来指定。
对于从外网到内网的报文,使用其源地址匹配外网地址,将源地址转换为内网地址;对于从内网到外网的报文,使用其目的地址匹配内网地址,将目的地址转换为外网地址。
外网结束地址不能大于外网起始地址和内网掩码所决定的网段中的最大IP地址。比如:内网地址配置为2.2.2.0,掩码为255.255.255.0,外网起始地址为1.1.1.100,则外网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网到外网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网到外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示该ACL匹配不上任何报文。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备支持配置多条入方向静态地址转换映射(包括nat static inbound和nat static inbound net-to-net)。
【举例】
# 配置外网网段202.100.1.0/24到内网网段192.168.1.0/24的入方向静态地址转换。
<Sysname> system-view
[Sysname] nat static inbound net-to-net 202.100.1.1 202.100.1.255 local 192.168.1.0 24
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static outbound命令用来配置出方向一对一静态地址转换映射。
undo nat static outbound命令用来删除出方向一对一静态地址转换映射。
【命令】
nat static outbound local-ip global-ip
undo nat static outbound local-ip
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
local-ip:内网IP地址。
global-ip:外网IP地址。
【使用指导】
对于从内网到外网的报文,将其源地址local-ip转换为global-ip;对于从外网到内网的报文,将其目的地址global-ip转换为local-ip。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound和nat static outbound net-to-net)。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static outbound net-to-net命令用来配置出方向网段到网段的静态地址转换映射。
undo nat static outbound net-to-net命令用来删除出方向网段到网段的静态地址转换映射。
【命令】
nat static outbound net-to-net local-start-address local-end-address global global-network { mask-length | mask } [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ]
undo nat static outbound net-to-net local-start-address local-end-address
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
local-start-address local-end-address:内网地址范围,所包含的地址数目不能超过256。local-start-address 表示起始地址,local-end-address表示结束地址。local-end-address必须大于或等于local-start-address,如果二者相同,则表示只有一个地址。
global-network:外网网段地址。
mask-length:外网网络地址的掩码长度,取值范围为8~31。
mask:外网网络地址掩码。
acl:指定ACL的编号或名称,本参数用于控制内网主机可以访问的目的地址。
ipv4-acl-number:ACL的编号,取值范围为3000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
【使用指导】
内网网段通过起始地址和结束地址来指定,外网网段通过外网地址和掩码来指定。
对于从内网到外网的报文,使用其源地址匹配内网地址,将源地址转换为外网地址;对于从外网到内网的报文,使用其目的地址匹配外网地址,将目的地址转换为内网地址。
内网结束地址不能大于内网起始地址和外网掩码所决定的网段中的最大IP地址。比如:外网地址配置为2.2.2.0,掩码为255.255.255.0,内网起始地址为1.1.1.100,则内网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示该ACL匹配不上任何报文。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound和nat static outbound net-to-net)。
【举例】
# 配置内网网段192.168.1.0/24到外网网段2.2.2.0/24的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
# 配置出方向网段到网段的静态地址转换映射,允许内网192.168.1.0/24网段的用户访问外网网段3.3.3.0/24时,使用外网网段2.2.2.0/24中的地址。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24 acl 3001
【相关命令】
· display nat all
· display nat static
· nat static enable
port-block命令用来配置NAT地址组的端口块参数。
undo port-block命令用来恢复缺省情况。
【命令】
port-block block-size block-size [ extended-block-number extended-block-number ]
undo port-block
【缺省情况】
未配置NAT地址组的端口块参数。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【参数】
block-size block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~65535。同一NAT地址组内,该参数的值不能超过port-range参数的值。
extended-block-number extended-block-number:增量端口块数,取值范围为1~5。当分配端口块中的端口资源耗尽(所有端口都被使用)时,如果对应的私网IP地址向公网发起新的连接,则无法从分配端口块中获取端口。此时,如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数,则可以为对应的私网IP地址进行增量端口块分配。一个私网IP地址最多可同时占有1+extended-block-number个端口块。
【使用指导】
端口块动态映射方式下,配置出方向地址转换所引用的NAT地址组中必须配置端口块参数。当某私网IP地址首次向公网发起连接时,从所匹配的NAT地址组中获取一个公网IP地址,从获取的公网IP地址中分配一个动态端口块并创建动态端口块表项(该私网IP地址后续向公网发起连接时,通过私网IP地址查找动态端口块表项),使用公网IP地址进行IP地址转换,并从端口块中动态分配一个端口进行TCP/UDP端口转换。
【举例】
# 配置NAT地址组2的端口块参数,端口块大小为256,增量端口块数为1。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] port-block block-size 256 extended-block-number 1
【相关命令】
· nat address-group
port-range命令用来配置公网IP地址的端口范围。
undo port-range命令用来恢复缺省情况。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情况】
公网IP地址的端口范围为1~65535。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【参数】
start-port-number end-port-number:公网IP地址端口的起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值,避免出现应用协议识别错误的问题。
【使用指导】
在NAT地址组视图下配置端口范围后,该NAT地址组内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内。
在NAT地址组内配置端口范围时,如果地址组配置了端口块参数,端口范围不能小于端口块大小。
【举例】
# 配置NAT地址组1的公网IP地址端口范围为1024~65535。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-range 1024 65535
【相关命令】
· nat address-group
reset nat session命令用来删除NAT会话。
【命令】
reset nat session [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定设备编号,取值只能为1。
【举例】
# 删除指定slot上的NAT会话。
<Sysname> reset nat session slot 1
【相关命令】
· display nat session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
