- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-NAT命令
本章节下载: 01-NAT命令 (741.08 KB)
目 录
1.1.3 blade-load-sharing-group
1.1.8 display nat address-group
1.1.12 display nat easy-ip failover-group port-range
1.1.18 display nat outbound port-block-group
1.1.19 display nat periodic-statistics
1.1.22 display nat port-block-group
1.1.23 display nat port-block-usage
1.1.24 display nat probe address-group
1.1.26 display nat server-group
1.1.43 nat link-switch recreate-session
1.1.49 nat log port-block usage threshold
1.1.50 nat log port-block-assign
1.1.51 nat log port-block-withdraw
1.1.54 nat outbound ds-lite-b4
1.1.55 nat outbound easy-ip failover-group
1.1.56 nat outbound easy-ip port-range
1.1.57 nat outbound port-block-group
1.1.59 nat periodic-statistics enable
1.1.60 nat periodic-statistics interval
1.1.62 nat port-block global-share enable
1.1.63 nat port-block synchronization enable
1.1.65 nat redirect reply-route
1.1.70 nat session create-rate enable
1.1.71 nat static blade-load-sharing-group
1.1.74 nat static inbound net-to-net
1.1.75 nat static inbound object-group
1.1.76 nat static inbound rule move
1.1.78 nat static outbound net-to-net
1.1.79 nat static outbound object-group
1.1.80 nat static outbound rule move
1.1.81 nat static-load-balance enable
1.1.87 reset nat count statistics
1.1.88 reset nat dynamic-load-balance
1.1.89 reset nat periodic-statistics
1.1.91 reset nat static-load-balance
action命令用来配置NAT规则中的地址转换方式。
undo action命令用来删除NAT规则中配置的地址转换方式。
【命令】
Easy IP方式:
action easy-ip
NO-NAT方式:
action no-nat
NO-PAT方式:
action address-group { group-id | name group-name } no-pat [ reversible ]
PAT方式:
action address-group { group-id | name group-name } [ port-preserved ]
【缺省情况】
未配置NAT规则中的地址转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-group:指定地址转换使用的地址组。
group-id:地址组的编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,区分大小写。
easy-ip:使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
no-nat:不对符合NAT规则中匹配条件的报文进行地址转换,也不使用其他优先级较低的NAT规则进行地址转换。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息。
reversible:表示NO-PAT方式下允许反向地址转换。即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
port-preserved:PAT方式下分配端口时尽量不转换端口。如果不指定本参数,则允许并接受PAT方式下分配端口时转换端口。
【使用指导】
PAT方式仅支持TCP、UDP、UDPLITE和ICMP查询报文。
一个地址组被PAT方式的NAT规则引用后,不能再被NO-PAT方式的相同的NAT规则引用,反之亦然。
创建了数量较多的NAT规则后,如果希望对某些符合NAT规则中匹配条件的报文不进行地址转换,可以指定no-nat参数。
【举例】
# 将NAT规则aaa的地址转换方式指定为PAT方式,并使用编号为0的地址组。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] action address-group 0
# 将NAT规则aaa的地址转换方式指定为NO-PAT方式,并使用编号为0的地址组。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] action address-group 0 no-pat
# 将NAT规则aaa的地址转换方式指定为Easy IP方式。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] action easy-ip
# 将NAT规则aaa的地址转换方式指定为NO-NAT方式。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] action no-nat
【相关命令】
· display nat all
· display nat policy
· nat address-group
address命令用来添加一个地址组成员。
undo address命令用来删除一个地址组成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
不存在地址组成员。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个NAT地址组是多个地址组成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址。
一个地址组成员所包含的地址数目不能超过65535。
各地址组成员的IP地址段不能互相重叠。
在多形态防火墙设备上,配置的所有地址组成员包含的地址总数不能少于安全引擎(或安全插卡)的数量。
【举例】
# 在NAT地址组2中添加两个地址组成员。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· nat address-group
blade-load-sharing-group命令用来为NAT地址组指定负载分担组。
undo blade-load-sharing-group命令用来恢复缺省情况。
【命令】
blade-load-sharing-group group-name
undo blade-load-sharing-group
【缺省情况】
没有为NAT地址组指定负载分担组。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:负载分担组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
指定负载分担组后,动态NAT配置(包括动态地址转换和动态NAT444的配置)将流量引到指定负载分担组上。
指定的负载分担组必须已经存在。
【举例】
# 为NAT地址组1指定名字为Blade4fw1的负载分担组。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] blade-load-sharing-group Blade4fw1
block-size命令用来设置端口块大小。
undo block-size命令用来恢复缺省情况。
【命令】
block-size block-size
undo block-size
【缺省情况】
一个端口块中包含256个端口。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~max_number。其中max_number为65535。
【使用指导】
在一个端口块组中,需要根据私网IP地址个数,以及公网IP地址个数及其端口范围,确定一个合理的端口块大小值。端口块大小值不能超过公网地址的端口范围值。
【举例】
# 配置端口块组1的端口块大小为1024。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] block-size 1024
【相关命令】
· nat port-block-group
description命令用来配置NAT规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
NAT规则未配置任何描述信息。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示NAT规则的描述信息,为1~63个字符的字符串,区分大小写。
【举例】
# 配置NAT规则描述信息为“This is a nat rule of abc policy”。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] description This is a nat rule of abc policy
destination-ip命令用来配置NAT规则中用于匹配报文目的IP地址的过滤条件。
undo destination-ip命令用来删除NAT规则中用于匹配报文目的IP地址的过滤条件。
【命令】
destination-ip object-group-name
undo destination-ip [ object-group-name ]
【缺省情况】
NAT规则中不存在用于匹配报文目的IP地址的过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:指定NAT规则引用的目的地址对象组,object-group-name表示目的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。使用undo命令时若不指定此参数,则表示删除此规则引用的所有地址对象组。
【使用指导】
引用的地址对象组必须已经存在,否则配置将失败。
执行undo destination-ip命令时可以不指定任何参数,表示删除此规则中所有用于匹配报文源IP地址的过滤条件。
同一NAT规则可引用多个目的地址对象组,最多不能超过256个。同一NAT规则中可配置多个进行匹配报文目的IP地址的配置,匹配报文目的IP地址最多不能超过256个。
destination-ip object-group-name命令和destination-ip host ip-address命令相互覆盖,即后执行的配置覆盖之前的配置。
【举例】
# 在接口NAT策略中配置NAT规则aaa引用名为desIP1、desIP2和desIP3的目的地址对象组作为匹配报文目的IP地址的过滤条件。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] destination-ip desIP1
[Sysname-nat-policy-rule-aaa] destination-ip desIP2
[Sysname-nat-policy-rule-aaa] destination-ip desIP3
【相关命令】
· display nat all
· display nat policy
· object-group(安全命令参考/对象组)
disable命令用来禁用NAT规则。
undo disable命令用来启用NAT规则。
【命令】
disable
undo disable
【缺省情况】
NAT规则处于启用状态。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
配置本命令后,相应的NAT规则将不再生效,但是不会将此NAT规则删除,可通过display nat policy命令查看其生效状态。如果不再需要此NAT规则,需要执行undo rule name命令才能将其删除。
【举例】
# 禁用NAT规则aaa中的地址转换规则。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] disable
【相关命令】
· display nat all
· display nat policy
display nat address-group命令用来显示NAT地址组配置信息。
【命令】
display nat address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不设置该值,则显示所有地址组。
【举例】
# 显示所有地址组的配置信息。
<Sysname> display nat address-group
NAT address group information:
Totally 5 NAT address groups.
Address group ID: 1 Address group name: a
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Exclude address information:
Start address End address
202.110.10.11 202.110.10.12
Address group ID: 2
Port range: 1-65535
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group ID: 3
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group ID: 4
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group ID: 6
Port range: 1-65535
Address information:
Start address End address
--- ---
# 显示指定地址组的配置信息。
<Sysname> display nat address-group 1
Address group ID: 1 Address group name: a
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
表1-1 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组信息 |
|
Totally n NAT address groups |
当前有n个地址组 |
|
Address group ID |
地址组的编号 |
|
Address group name |
地址组名称。如果未配置,则不显示该字段 |
|
Port range |
地址的端口范围 |
|
Port block size |
端口块大小。如果未配置,则不显示 |
|
Extended block number |
增量端口块数。如果未配置,则不显示 |
|
Address information |
地址组成员信息 |
|
Exclude address information |
地址组成员中禁止用于地址转换的成员信息 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示“---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示“---” |
【相关命令】
· nat address-group
display nat alg用来显示所有协议类型的NAT ALG功能的开启状态。
【命令】
display nat alg
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示所有协议类型的NAT ALG功能的开启状态。
<Sysname> display nat alg
NAT ALG:
DNS : Enabled
FTP : Disabled
H323 : Disabled
ICMP-ERROR : Disabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Disabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
表1-2 display nat alg命令显示信息描述表
|
字段 |
描述 |
|
Enabled |
协议的NAT ALG功能处于开启状态 |
|
Disabled |
协议的NAT ALG功能处于关闭状态 |
【相关命令】
· display nat all
display nat all命令用来显示所有的NAT配置信息。
【命令】
display nat all
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示所有的NAT配置信息。(独立运行模式)
<Sysname> display nat all
NAT address group information:
Totally 5 NAT address groups.
Address group 1:
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Exclude address information:
Start address End address
--- ---
Address group 2:
Port range: 1-65535
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Exclude address information:
Start address End address
--- ---
Address group 3:
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Exclude address information:
Start address End address
--- ---
Address group 4:
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Exclude address information:
Start address End address
--- ---
Address group 6:
Port range: 1-65535
Address information:
Start address End address
--- ---
Exclude address information:
Start address End address
--- ---
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
NAT policy information:
Totally 1 NAT policy rules.
Rule name: rule1
Description : first rule
Routing-interface : GigabitEthernet1/0/2
SrcIP object group : srcObj1
SrcIP object group : srcObj2
SrcIP object group : srcObj3
DestIP object group : desObj1
DestIP object group : desObj2
DestIP object group : desObj3
Service object group : serviceObj1
Service object group : serviceObj2
Service object group : serviceObj3
Action
Address group ID: 2 Address group name: a
NO-PAT: Y
Reversible: N
Port-preserved: N
Config status: Active
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: GigabitEthernet1/0/1
ACL: 2038
Address group ID: 2
Add route: Y NO-PAT: Y Reversible: N
VPN instance: vpn_nat
Rule name: abcdefg
Priority: 1000
Config status: Active
Global flow-table status: Active
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2036
Address group ID: 1
Port-preserved: Y NO-PAT: N Reversible: N
Rule name: cdefg
Priority: 1001
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: address group, and ACL.
Global flow-table status: Active
Interface: GigabitEthernet1/0/2
ACL: 2037
Address group ID: 1
Port-preserved: N NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Rule name: blue
Priority: 1002
Config status: Active
Global flow-table status: Active
NAT internal server information (object-group):
Totally 1 object-group-based NAT server rules.
Rule name: aaa
Interface: GigabitEthernet1/0/1
Local IP/Port: 1.1.1.1/80
DestIP Object group: abc
NAT counting : 0
Config status : Active
NAT internal server information:
Totally 5 internal servers.
Interface: GigabitEthernet1/0/1
Global ACL : 2000
Local IP/port : 192.168.10.1/23
Rule name : cdefgab
Priority : 1000
NAT counting : 0
Config status : Active
Interface: GigabitEthernet1/0/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
ACL : 2000
Rule name : green
NAT counting : 0
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/4
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Rule name : blue
NAT counting : 0
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
ACL : 3000
Rule name : white
NAT counting : 0
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
192.168.0.26/23 (Connections: 10)
192.168.0.27/23 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn3
Rule name : black
NAT counting : 0
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 2.2.2.1 – 2.2.2.255
Local IP : 1.1.1.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Rule name : pink
Priority : 1000
Config status: Active
Global flow-table status: Active
Local flow-table status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
ACL : 2001
Reversible : Y
Rule name : yellow
Priority : 1000
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Local flow-table status: Active
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
ACL : 2000
Reversible : Y
Rule name : grey
Priority : 1000
Config status: Active
Global flow-table status: Active
Local flow-table status: Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
ACL: : 2001
Reversible : Y
Rule name : orange
Priority : 10000
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Local flow-table status: Active
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/4
Config status: Active
Interface: GigabitEthernet1/0/5
Service card : ---
Config status: Active
NAT DNS mappings:
Totally 2 NAT DNS mappings.
Domain name : www.server.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : www.service.com
Global IP : ---
Global port : 12
Protocol : TCP(6)
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
NAT logging:
Log enable : Enabled(ACL 2000)
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Enabled(10 minutes)
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NO-PAT IP usage : Disabled
NAT hairpinning:
Totally 2 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/0/4
Config status: Active
Interface: GigabitEthernet1/0/5
Config status: Active
NAT mapping behavior:
Mapping mode : Endpoint-Independent
ACL : 2050
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
PPTP : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SIP : Enabled
SQLNET : Enabled
TFTP : Enabled
XDMCP : Disabled
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 ---
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: GigabitEthernet1/0/2
port-block-group: 2
Rule name: stone
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/2
port-block-group: 10
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
Global flow-table status: Active
Local flow-table status: Active
NAT link-switch recreate-session: Disabled
上述显示信息是目前所有NAT配置信息的集合。由于部分NAT配置(nat address-group、nat server-group、nat inbound、nat outbound、nat server、nat static、nat static net-to-net、nat static enable、nat dns-map、nat log、nat port-block-group和nat outbound port-block-group)有自己独立的显示命令,且此处显示信息的格式与各命令对应的显示信息的格式相同的,所以此处不对这些配置的显示字段的含义进行详细解释,如有需要,请参考各独立的显示命令。下面的表格将给出相关显示命令的参见信息并仅解释nat hairpin enable、nat mapping-behavior和nat alg配置的显示字段的含义。
表1-3 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组的配置信息,详细字段解释请参见“表1-1” |
|
NAT server group information |
NAT内部服务器组的配置信息,详细字段解释请参见“表1-19” |
|
NAT inbound information: |
入方向动态地址转换的配置信息,详细字段解释请参见“表1-7” |
|
NAT outbound information |
出方向动态地址转换的配置信息,详细字段解释请参见“表1-10” |
|
NAT internal server information |
NAT内部服务器的配置信息,详细字段解释请参见“表1-18” |
|
NAT policy information |
NAT策略的配置信息,详细字段解释请参见“表1-13” |
|
Static NAT mappings |
静态地址转换的配置信息,详细字段解释请参见“表1-21” |
|
NAT DNS mappings |
NAT DNS mapping的配置信息,详细字段解释请参见“表1-4” |
|
NAT logging |
NAT日志功能的配置信息,详细字段解释请参见“表1-8” |
|
NAT hairpinning |
NAT hairpin功能 |
|
Totally n interfaces enabled NAT hairpinning |
当前有n个接口开启NAT hairpin功能 |
|
Interface |
开启NAT hairpin功能的接口 |
|
Rule name |
NAT规则的名称 |
|
Priority |
NAT规则的匹配优先级 |
|
Config status |
显示NAT hairpin配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示NAT hairpin配置不生效的原因 · Service card not specified:没有指定提供NAT处理的业务板 |
|
NAT mapping behavior |
PAT方式下的地址转换模式 · Endpoint-Independent:表示不关心对端地址和端口 · Address and Port-Dependent:表示关心对端地址和端口 |
|
ACL |
引用的ACL编号或名称。如果未配置,则显示“---” |
|
Config status |
显示NAT mapping behavior配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示NAT mapping behavior配置不生效的原因 · The following items don't exist or aren't effective: ACL:引用的ACL不存在 |
|
Global flow-table status |
针对Global地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Local flow-table status |
针对Local地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for flow-table inactive status |
当下发流表的状态为Inactive时,显示流表不生效的原因 其中,Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败 |
|
NAT ALG |
各协议的NAT ALG功能开启信息 |
|
NAT port block group information |
NAT端口块组的配置信息,详细字段解释请参见“表1-15” |
|
NAT outbound port block group information |
NAT444端口块静态映射的配置信息,详细字段解释请参见“表1-11” |
|
NAT link-switch recreate-session |
是否开启主备链路切换后的NAT会话重建功能: · Disabled:表示关闭 · Enabled:表示开启 |
display nat dns-map命令用来显示NAT DNS mapping配置信息。
【命令】
display nat dns-map
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
Totally 2 NAT DNS mappings.
Domain name : www.server.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : www.service.com
Global IP : ---
Global port : 12
Protocol : TCP(6)
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
表1-4 display nat dns-map命令显示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping配置信息 |
|
Totally n NAT DNS mappings |
当前有n条DNS mapping配置 |
|
Domain name |
DNS域名 |
|
Global IP |
外网地址。如果配置使用的是Easy IP方式,则此处显示指定的接口的地址。“---”表示接口下未配置外网地址 |
|
Global port |
外网端口号 |
|
Protocol |
协议名称以及协议编号 |
|
Config status |
显示DNS mapping配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示DNS mapping配置不生效的原因 · The following items don't exist or aren't effective: interface IP address:引用的接口未配置IP地址 |
【相关命令】
· nat dns-map
display nat easy-ip failover-group port-range命令用来显示Easy IP方式动态地址转换的备份组的端口范围信息。
【命令】
display nat easy-ip failover-group port-range
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示Easy IP方式动态地址转换的备份组的端口范围信息。
<Sysname> display nat easy-ip failover-group port-range
Failover group Port range Channel ID
AutoBackupf0000821 1025 to 22528 0
AutoBackupf0000019 22529 to 44031 0
AutoBackupf0000017 44032 to 65535 0
表1-5 display nat easy-ip port命令显示信息描述表
|
字段 |
描述 |
|
Failover group |
备份组的名称,名称中包含字符串AutoBackup的备份组为自动备份组,其他情况为手动备份组 |
|
Port range |
备份组的端口范围 |
|
Channel ID |
备份组的通道编号 |
【相关命令】
· nat outbound easy-ip port-range
display nat eim命令用来显示NAT EIM表项信息。
【命令】
(独立运行模式)
display nat eim [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat eim [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定单板上的EIM表项信息,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有单板上的EIM表项信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的EIM表项信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有成员设备的所有单板上的EIM表项信息。(IRF模式)
cpu cpu-number:显示指定CPU上的EIM表项信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
EIM三元组表项是报文在进行Endpoint-Independent Mapping方式的PAT转换时创建的,它记录了内网和外网的转换关系(内网地址和端口<-->NAT地址和端口),该表项有以下两个作用:
· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。
· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。
【举例】
# 显示指定slot上的NAT EIM表项信息。(独立运行模式)
<Sysname> display nat eim slot 1
Slot 1:
Local IP/port: 192.168.100.100/1024
Global IP/port: 200.100.1.100/2048
Local VPN: vpn1
Global VPN: vpn2
Protocol: TCP(6)
Local IP/port: 192.168.100.200/2048
Global IP/port: 200.100.1.200/4096
Protocol: UDP(17)
Total entries found: 2
表1-6 display nat eim命令显示信息描述表
|
字段 |
描述 |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Protocol |
协议名称以及协议编号 |
|
Total entries found |
当前查找到的EIM表项的个数 |
【相关命令】
· nat mapping-behavior
· nat outbound
display nat inbound命令用来显示NAT入方向动态地址转换的配置信息。
【命令】
display nat inbound
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT入接口动态地址转换的配置信息。(独立运行模式)
<Sysname> display nat inbound
NAT inbound information:
Totally 2 NAT inbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2038
Address group ID: 2
Add route: Y NO-PAT: Y Reversible: N
VPN instance: vpn1
Rule name: abcd
Priority: 1000
NAT counting: 0
Config status: Active
Global flow-table status: Active
Interface: GigabitEthernet1/0/3
ACL: 2037
Address group ID: 1
Add route: Y NO-PAT: Y Reversible: N
Rule name: eif
Priority: 1001
NAT counting: 0
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
表1-7 display nat inbound命令显示信息描述表
|
字段 |
描述 |
|
NAT inbound information |
NAT入方向动态地址转换的配置信息 |
|
Totally n NAT inbound rules |
当前存在n条入入方向动态地址转换配置 |
|
Interface |
入方向动态地址转换配置所在的接口 |
|
ACL |
引用的ACL编号或名称 |
|
Address group ID |
入方向动态地址转换使用的地址组 |
|
Address group name |
入方向动态地址转换使用的地址组名称。如果未配置,则不显示该字段 |
|
Add route |
是否添加路由。若其值为“Y”,则表示有报文命中此项入接口动态地址转换配置时,设备会自动添加一条路由;若其值为“N”,则不添加 |
|
NO-PAT |
是否使用NO-PAT方式进行地址转换。若其值为“Y”,则表示使用NO-PAT方式;若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则不允许 |
|
VPN instance |
地址组所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Rule name |
NAT规则的名称 |
|
Priority |
NAT规则的匹配优先级 |
|
NAT counting |
NAT入方向动态地址转换的计数信息 |
|
Config status |
显示NAT配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示NAT入方向动态地址转换的配置不生效的原因 · The following items don't exist or aren't effective:以下一个或多个配置项不存在或不生效 ¡ local VPN:地址组所属的VPN实例不存在或不生效 ¡ address group:地址组不存在或不生效 ¡ ACL:ACL不存在或不生效 |
|
Global flow-table status |
针对Global地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for flow-table inactive status |
当下发流表的状态为Inactive时,显示流表不生效的原因 其中,Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败 |
【相关命令】
· nat inbound
display nat log命令用来显示NAT日志功能的配置信息。
【命令】
display nat log
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT日志功能的配置信息。
<Sysname> display nat log
NAT logging:
Log enable : Enabled(ACL 2000)
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Enabled(10 minutes)
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
表1-8 display nat log命令显示信息描述表
|
字段 |
描述 |
|
NAT logging |
NAT日志功能的配置信息 |
|
Log enable |
NAT日志开关的开启情况。如果NAT日志开关处于开启状态,且指定了ACL,则同时显示指定的ACL编号或名称 |
|
Flow-begin |
NAT会话新建日志开关的开启情况 |
|
Flow-end |
NAT会话删除日志开关的开启情况 |
|
Flow-active |
NAT活跃流日志开关的开启情况以及阈值信息。如果NAT活跃流日志开关处于开启状态,则同时显示配置的生成活跃流日志的时间间隔(单位为分) |
|
Port-block-assign |
端口块分配的NAT444用户日志开关的开启情况 |
|
Port-block-withdraw |
端口块回收的NAT444用户日志开关的开启情况 |
|
Alarm |
NAT444告警信息日志开关的开启情况 |
【相关命令】
· nat log enable
· nat log flow-active
· nat log flow-begin
display nat no-pat命令用来显示NAT NO-PAT表项信息。
【命令】
(独立运行模式)
display nat no-pat [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat no-pat [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定单板上的NO-PAT表项信息,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有单板上的NO-PAT表项信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的NO-PAT表项信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有成员设备的所有单板上的NO-PAT表项信息。(IRF模式)
cpu cpu-number:显示指定CPU上的NO-PAT表项信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
NO-PAT表项记录了动态分配的一对一地址映射关系,该表项有两个作用:
· 保证后续同方向的新连接使用与第一个连接相同的地址转换关系。
· 反方向的新连接可以使用NO-PAT表进行地址转换。
nat inbound和nat outbound配置的NO-PAT方式在转换报文地址之后都需要创建NO-PAT表。这两种配置创建的NO-PAT表类型不同,不能互相使用,因此分成两类进行显示。
【举例】
# 显示指定slot的NAT NO-PAT表项。(独立运行模式)
<Sysname> display nat no-pat slot 1
Slot 1:
Global IP: 200.100.1.100
Local IP: 192.168.100.100
Global VPN: vpn2
Local VPN: vpn1
Reversible: N
Type : Inbound
Local IP: 192.168.100.200
Global IP: 200.100.1.200
Reversible: Y
Type : Outbound
Total entries found: 2
表1-9 display nat no-pat命令显示信息描述表
|
字段 |
描述 |
|
Global IP |
外网IP地址 |
|
Local IP |
内网IP地址 |
|
Local VPN |
内网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
Type |
NO-PAT表项类型 · Inbound:入方向动态地址转换过程中创建的NO-PAT表项 · Outbound:出方向动态地址转换过程中创建的NO-PAT表项 |
|
Total entries found |
当前查找到的NO-PAT表项的个数 |
【相关命令】
· nat inbound
· nat outbound
display nat outbound命令用来显示出方向动态地址转换的配置信息。
【命令】
display nat outbound
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示出方向动态地址转换的配置信息。(独立运行模式)
<Sysname> display nat outbound
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: GigabitEthernet1/0/1
ACL: 2036
Address group ID: 1
Port-preserved: Y NO-PAT: N Reversible: N
Rule name: abefg
Priority: 1000
NAT counting: 0
Config status: Active
Global flow-table status: Active
Interface: GigabitEthernet1/0/2
ACL: 2037
Address group ID: 2
Port-preserved: N NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Rule name: cdefg
Priority: 1001
NAT counting: 0
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Interface: GigabitEthernet1/0/1
DS-Lite B4 ACL: 2100
Address group ID: 2
Port-preserved: N NO-PAT: N Reversible: N
Priority: 0
NAT counting: 0
Config status: Active
表1-10 display nat outbound命令显示信息描述表
|
字段 |
描述 |
|
NAT outbound information |
出方向动态地址转换的配置信息 |
|
Totally n NAT outbound rules |
当前存在n条出方向动态地址转换 |
|
Interface |
出方向动态地址转换配置所在的接口 |
|
ACL |
引用的IPv4 ACL编号或名称。如果未配置,则显示“---” |
|
DS-Lite B4 ACL |
DS-Lite B4引用的IPv6 ACL编号或名称 |
|
Address group ID |
出方向动态地址转换使用的地址组编号。如果未配置,则显示“---” |
|
Address group name |
出方向动态地址转换使用的地址组名称。如果未配置,则不显示该字段 |
|
Port-preserved |
PAT方式下,是否尽量不转换端口。若其值为“Y”,则表示PAT方式下分配端口时尽量不转换端口;若其值为“N”,则允许并接受PAT方式下分配端口时转换端口 |
|
NO-PAT |
是否使用NO-PAT方式进行转换。若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
VPN instance |
地址组所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Rule name |
NAT规则的名称 |
|
Priority |
NAT规则的匹配优先级 |
|
NAT counting |
出方向动态地址转换的计数信息 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因 · The following items don't exist or aren't effective:以下一个或多个配置项不存在或不生效 ¡ global VPN:地址组所属的VPN实例不存在或不生效 ¡ interface IP address:接口地址不存在或不生效 ¡ address group:地址组不存在或不生效 ¡ ACL:ACL不存在或不生效 · NAT address conflicts:NAT地址冲突 |
|
Global flow-table status |
针对Global地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for flow-table inactive status |
当下发流表状态为Inactive时,显示流表不生效的原因 其中,Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败 |
【相关命令】
· nat outbound
display nat outbound port-block-group命令用来显示NAT444端口块静态映射的配置信息。
【命令】
display nat outbound port-block-group
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT444端口块静态映射的配置信息。
<Sysname> display nat outbound port-block-group
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: GigabitEthernet1/0/2
port-block-group: 2
VPN instance: vpna
Rule name: abcdefg
NAT counting: 0
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/2
port-block-group: 10
VPN instance: vpna
Rule name: abcfg
NAT counting: 0
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
Global flow-table status: Active
Local flow-table status: Active
表1-11 display nat outbound port-block-group 命令显示信息描述表
|
字段 |
描述 |
|
NAT outbound port block group information |
NAT444端口块静态映射的配置信息 |
|
Totally n outbound port block group items |
当前存在n条NAT444端口块静态映射配置 |
|
Interface |
NAT444端口块静态映射配置所在的接口 |
|
port-block-group |
端口块组编号 |
|
VPN instance |
端口块组所属的MPLS L3VPN的VPN实例名称。如果该接口没有绑定任何VPN实例,则不显示该字段 |
|
Rule name |
NAT规则的名称 |
|
NAT counting |
NAT444端口块静态映射的计数信息 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因 · The following items don't exist or aren't effective: port block group:配置中端口块组不存在或不生效 |
|
Global flow-table status |
针对Global地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Local flow-table status |
针对Local地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for flow-table inactive status |
当下发流表的状态为Inactive时,显示流表不生效的原因 其中,Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败 |
【相关命令】
· nat outbound port-block-group
display nat periodic-statistics命令用来显示NAT定时统计功能的计数信息。
【命令】
(独立运行模式)
display nat periodic-statistics { address-group [ group-id | name group-name ] | ip global-ip } [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat periodic-statistics { address-group [ group-id | name group-name ] | ip global-ip } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
address-group:显示指定地址组的NAT定时统计功能的计数信息。
group-id:地址组的编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
ip global-ip:显示指定IP地址的NAT定时统计功能的计数信息。global-ip表示地址组成员的IP地址。
slot slot-number:显示指定单板上NAT定时统计功能的计数信息,slot-number表示单板所在槽位号。如果不指定该参数,则显示所有单板上的NAT定时统计功能的统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的NAT定时统计功能的计数信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则显示所有成员设备的所有单板上NAT定时统计功能的计数信息。(IRF模式)
cpu cpu-number:显示指定CPU上的NAT定时统计功能的计数信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
显示指定地址组的NAT定时统计功能的计数信息时,如果不指定group-id和name参数,则显示所有地址组的NAT定时统计功能的计数信息。
【举例】
# 显示指定slot上所有地址组的NAT定时统计功能的计数信息。(独立运行模式)
<Sysname> display nat periodic-statistics address-group slot 1
Slot 1:
Totally 1 NAT address groups.
Address group ID: 1 Address group name: abc
NAT sessions : 10
NAT port-block assign failures : 0
# 显示指定slot上地址组成员IP地址为202.38.6.12的NAT定时统计功能的计数信息。(独立运行模式)
<Sysname> display nat periodic-statistics ip 202.38.6.12 slot 1
Slot 1:
Global IP: 202.38.6.12
NAT sessions : 10
NAT port-block assign failures : 0
表1-12 display nat periodic-statistics命令显示信息描述表
|
字段 |
描述 |
|
Address group ID |
地址组编号。如果指定的地址组不存在,则显示为“---” |
|
Totally n NAT address groups |
当前有n个地址组 |
|
Address group name |
地址组名称。如果未配置,则不显示该字段 |
|
Global IP |
地址组成员的IP地址。如果指定的地址组成员的IP地址不存在,则显示为“---” |
|
NAT sessions |
地址组会话计数 |
|
NAT port-block assign failures |
端口块分配冲突计数 |
【相关命令】
· nat periodic-statistics enable
· nat periodic-statistics interval
· reset nat periodic-statistics
display nat policy命令用来显示NAT策略的配置信息。
【命令】
display nat policy
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT策略的配置信息。
<Sysname> display nat policy
NAT policy information:
Totally 1 NAT policy rules.
Rule name: rule1
Description : first rule
Outbound-interface : GigabitEthernet1/0/2
SrcIP object group : srcObj1
SrcIP object group : srcObj2
SrcIP object group : srcObj3
DestIP object group : desObj1
DestIP object group : desObj2
DestIP object group : desObj3
Service object group : serviceObj1
Service object group : serviceObj2
Service object group : serviceObj3
Action
Address group ID: 2 Address group name: a
NO-PAT: Y
Reversible: N
Port-preserved: N
NAT counting : 0
Config status: Active
表1-13 display nat policy命令显示信息描述表
|
字段 |
描述 |
|
NAT policy information |
NAT策略的配置信息 |
|
Totally n NAT policy rules |
当前存在n条NAT规则 |
|
Rule name |
NAT规则的名称 |
|
Description |
NAT规则的描述信息 |
|
Outbound-interface |
应用NAT规则的出方向接口 |
|
SrcIP object group |
NAT规则引用的源地址对象组 |
|
DestIP object group |
NAT规则引用的目的地址对象组 |
|
Service object group |
NAT规则引用的服务对象组 |
|
Action |
NAT规则的转换方式 |
|
Easy-IP |
使用Easy IP方式进行地址转换 |
|
NO-NAT |
不进行地址转换 |
|
Address group ID |
NAT规则使用的地址组编号。如果未配置,则不显示该字段 |
|
Address group name |
NAT规则使用的地址组名称。如果未配置,则不显示该字段 |
|
NO-PAT |
是否使用NO-PAT方式进行地址转换。若其值为“Y”,则表示使用NO-PAT方式;若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则不允许 |
|
Port-preserved |
PAT方式下,是否尽量不转换端口。若其值为“Y”,则表示PAT方式下分配端口时尽量不转换端口;若其值为“N”,则允许并接受PAT方式下分配端口时转换端口 |
|
NAT counting |
接口NAT地址转换的计数信息 |
|
Config status |
显示NAT策略配置的状态 · Active:表示生效 · Inactive:表示不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因: · No interface is configured or exists:未配置应用NAT规则的接口或接口不存在 · The interface doesn't have an address:应用NAT规则的接口未指定IP地址 · No action:未配置NAT规则中的地址转换方式 · The NAT configuration is disabled:NAT规则中的地址转换映射被禁用 · The address-group doesn't have an address or doesn't exist:地址组不存在或地址组中不存在地址成员 |
display nat port-block命令用来显示端口块表项。
【命令】
(独立运行模式)
display nat port-block { dynamic [ address-group { group-id | name group-name } ] [ ds-lite-b4 ] | static [ port-block-group group-id ] } [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat port-block { dynamic [ address-group { group-id | name group-name } ] [ ds-lite-b4 ] | static [ port-block-group group-id ] } [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
dynamic:显示动态端口块表项。
address-group:显示指定地址组的端口块表项。如果不指定该参数,则显示所有地址组的端口块表项信息。
group-id:地址组的编号,取值范围为0~65535 。
name group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
ds-lite-b4:显示基于DS-Lite B4地址的端口块表项。
static:显示静态端口块表项。
port-block-group group-id:显示指定NAT端口块组的端口块表项。group-id为NAT端口块组的编号,取值范围为0~65535。如果不指定该参数,则显示所有NAT端口块组的端口块表项信息。
slot slot-number:显示指定单板上的端口块表项信息,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有单板上的端口块表项信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的端口块表项信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有成员设备的所有单板上的端口块表项信息。(IRF模式)
cpu cpu-number:显示指定CPU上的端口块表项信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示指定slot上的静态端口块表项。(独立运行模式)
<Sysname> display nat port-block static slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 100.100.100.111 202.202.100.101 10001-10256 0
--- 100.100.100.112 202.202.100.101 10257-10512 0
--- 100.100.100.113 202.202.100.101 10513-10768 0
--- 100.100.100.113 202.202.100.101 10769-11024 0
Total entries found: 4
# 显示指定slot上的动态端口块表项。(独立运行模式)
<Sysname> display nat port-block dynamic slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 101.1.1.12 192.168.135.201 10001-11024 1
Total entries found: 1
# 显示指定slot上的基于DS-Lite B4地址的端口块表项。(独立运行模式)
<Sysname> display nat port-block dynamic ds-lite-b4 slot 1
Slot 1:
Local VPN DS-Lite B4 addr Global IP Port block Connections
--- 2000::2 192.168.135.201 10001-11024 1
Total entries found: 1
表1-14 display nat port-block 命令显示信息描述表
|
字段 |
描述 |
|
Local VPN |
私网IP地址所属VPN实例,“---”表示不属于任何VPN实例 |
|
Local IP |
私网IP地址 |
|
DS-Lite B4 addr |
DS-Lite B4设备的IPv6地址 |
|
Global IP |
公网IP地址 |
|
Port block |
端口块(起始端口-结束端口) |
|
Connections |
当前使用本端口块中的端口建立的连接数 |
display nat port-block-group命令用来显示NAT端口块组配置信息。
【命令】
display nat port-block-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:端口块组的编号,取值范围为0~65535。如果不设置该值,则显示所有端口块组的配置信息。
【举例】
# 显示所有端口块组的配置信息。
<Sysname> display nat port-block-group
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 ---
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
# 显示端口块组1的配置信息。
<Sysname> display nat port-block-group 1
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
表1-15 display nat port-block-group 命令显示信息描述表
|
字段 |
描述 |
|
NAT port block group information |
NAT端口块组信息 |
|
Totally n NAT port block groups |
当前有n个端口块组 |
|
Port block group |
端口块组的编号 |
|
Port range |
公网地址的端口范围 |
|
Block size |
端口块大小 |
|
Local IP address information |
私网IP地址成员信息 |
|
Global IP pool information |
公网IP地址成员信息 |
|
Start address |
私网/公网IP地址成员的起始IP地址。如果未配置,则显示“---” |
|
End address |
私网/公网IP地址成员的成员结束IP地址。如果未配置,则显示“---” |
|
VPN instance |
私网IP地址成员所属的VPN实例。如果未配置,则显示“---” |
【相关命令】
· nat port-block-group
display nat port-block-usage命令用来显示动态NAT444地址组中端口块的使用率。
【命令】
(独立运行模式)
display nat port-block-usage [ address-group group-id ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat port-block-usage [ address-group group-id ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
address-group group-id:显示某一指定地址组的端口块使用率。group-id表示地址组编号,取值范围为0~65535。若不指定该参数,则显示所有地址组的端口块使用率。
slot slot-number:显示指定单板上动态NAT444地址组中端口块的使用率,slot-number表示单板所在槽位号。若不指定该参数,则显示所有单板上动态NAT444地址组中端口块的使用率。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上动态NAT444地址组中端口块的使用率,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有成员设备动态NAT444地址组中端口块的使用率。(IRF模式)
cpu cpu-number:显示指定CPU上动态NAT444地址组中端口块的使用率,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示指定slot上动态NAT444地址组中端口块的使用率。(独立运行模式)
<Sysname> display nat port-block-usage slot 1
Slot 1:
Address group 0 on channel 0:
Total port block entries :10
Active port block entries:9
Current port block usage :90%
Total NAT address groups found: 1
表1-16 display nat port-block-usage命令显示信息描述表
|
字段 |
描述 |
|
CPU |
CPU编号 |
|
Address group |
地址组的编号 |
|
channel |
FPGA(Field-Programmable Gate Array,现场可编程门阵列)编号 |
|
Total port block entries |
地址组中端口块总数 |
|
Active port block entries |
地址组中已分配端口块数 |
|
Current port block usage |
地址组中当前端口块使用率 |
|
Total NAT address groups found |
当前地址组的个数 |
display nat probe address-group命令用来显示NAT地址组中地址成员的检测信息。
【命令】
display nat probe address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不指定本参数,则显示所有地址组中地址成员的检测信息。
【使用指导】
该命令显示的排除地址只包括NQA模板检测得到的不可用于NAT转换的地址,不包含exclude-ip命令配置的排除地址。
【举例】
# 显示所有地址组中地址成员的检测信息。
<Sysname> display nat probe address-group
Address group ID: 1
Address-group name: dududu1
Address-group probe status: Partial available
Detected IP count: 5
Excluded IP count: 4
IP address Excluded Excluded time
1.1.1.1 YES 2017/12/26 09:30:39
1.1.1.2 YES 2017/12/26 09:30:39
1.1.1.3 YES 2017/12/26 09:30:39
1.1.1.4 YES 2017/12/26 09:30:39
1.1.1.5 NO ----
Address group ID: 2
Address-group name: dududu2
Address-group probe status: Partial available
Detected IP count: 5
Excluded IP count: 4
IP address Excluded Excluded time
2.1.1.1 YES 2017/12/26 09:31:39
2.1.1.2 YES 2017/12/26 09:31:39
2.1.1.3 YES 2017/12/26 09:31:39
2.1.1.4 YES 2017/12/26 09:31:39
2.1.1.5 NO ----
# 显示编号为1的NAT地址组的检测信息。
<Sysname> display nat probe address-group 1
Address group ID: 1
Address-group name: dududu
Address-group probe status: Partial available
Detected IP count: 5
Excluded IP count: 4
IP address Excluded Excluded time
1.1.1.1 YES 2017/12/26 09:30:39
1.1.1.2 YES 2017/12/26 09:30:39
1.1.1.3 YES 2017/12/26 09:30:39
1.1.1.4 YES 2017/12/26 09:30:39
1.1.1.5 NO ----
表1-17 display nat probe address-group命令显示信息描述表
|
字段 |
描述 |
|
Address group ID |
地址组编号 |
|
Address group name |
地址组名称。如果没有配置,则不显示该字段 |
|
Address-group probe status |
地址池检测状态,取值如下: · Inactive:未开启地址检测功能 · In progress:地址检测中 · All available:地址组中地址全部可用 · Partial available:地址组中地址部分可用 · None available:地址组中地址全部不可用 |
|
Detected IP count |
检测的IP地址个数 |
|
Excluded IP count |
地址组中不能用于地址转换的IP地址的个数 |
|
IP address |
地址组中的地址成员 |
|
Excluded |
地址组中的地址是否被排除,取值如下: · YES:表示地址组中的IP地址被排除,不能用于地址转换 · NO:表示地址组中的IP地址未被排除,可以用于地址转换 |
|
Excluded time |
地址组中的IP地址被排除的时间 |
【相关命令】
· exclude-ip
· probe
display nat server命令用来显示NAT内部服务器的配置信息。
【命令】
display nat server
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT内部服务器的信息。(独立运行模式)
<Sysname> display nat server
NAT internal server information (object-group):
Totally 1 object-group-based NAT server rules.
Rule name: aaa
Interface: Vlan-interface1
Local IP/Port: 1.1.1.1/80
DestIP Object group: a1
NAT counting : 0
Config status : Active
NAT internal server information:
Totally 5 internal servers.
Interface: GigabitEthernet1/0/1
Global ACL : 2000
Local IP/port : 192.168.10.1/23
Rule name : cdefgab
Priority : 1000
NAT counting : 0
Config status : Active
Interface: GigabitEthernet1/0/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
Rule name : ace
NAT counting : 0
Config status : Inactive
Reasons for inactive status:
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/4
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Rule name : abcdef
NAT counting : 0
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Rule name : cdefg
NAT counting : 0
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
Interface: GigabitEthernet1/0/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
1.1.1.1/21 (Connections: 10)
192.168.100.200/80 (Connections: 20)
Rule name : white
NAT counting : 0
Config status : Active
Global flow-table status: Active
Local flow-table status: Active
表1-18 display nat server命令显示信息描述表
|
字段 |
描述 |
|
NAT internal server information (object-group) |
基于对象组的NAT内部服务器的配置信息 |
|
Totally n object-group-based NAT server rules |
当前存在n条基于对象组的NAT内部服务器的配置 |
|
Rule name |
NAT规则的名称 |
|
NAT internal server information |
NAT内部服务器的配置信息 |
|
Totally n internal servers |
当前存在n条内部服务器配置 |
|
Interface |
内部服务器配置所在的接口 |
|
Protocol |
内部服务器的协议编号以及协议名称 |
|
Global IP/port |
内部服务器的外网地址/端口号 · Global IP可以是单个地址,也可以是一个连续的地址段。如果使用Easy IP方式,则此处显示指定的接口的地址;如果接口下未配置地址,则Global IP显示为“---” · port可以是单个端口,也可以是一个连续的端口段。如果指定的协议没有端口的概念,则port显示为“---” |
|
Local IP/port |
对于普通内部服务器和基于对象组的内部服务器,显示服务器的内网地址/端口号 · Local IP可以是单个地址,也可以是一个连续的地址段 · port可以是单个端口,也可以是一个连续的端口段。如果指定的协议没有端口的概念,则port显示为“---” 对于负载分担内部服务器,显示内部服务器组编号以及服务器组成员的IP地址、端口和连接数 |
|
DestIP Object group |
NAT规则引用的目的地址对象组 |
|
Service Object group |
NAT规则引用的服务对象组 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
ACL |
引用的ACL编号或名称。如果未配置,则不显示该字段 |
|
Rule name |
NAT规则的名称 |
|
NAT counting |
NAT内部服务器地址转换的计数信息 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示NAT内部服务器的配置不生效的原因 · The following items don't exist or aren't effective:以下一个或多个配置项不存在或不生效 ¡ local VPN:内网地址所属的VPN实例不存在或不生效 ¡ global VPN:外网地址所属的VPN实例不存在或不生效 ¡ interface IP address:接口地址不存在或不生效 ¡ server group:服务器组不存在或不生效 ¡ ACL:ACL不存在或不生效 · Server configuration conflicts:NAT内部服务器配置冲突 · NAT address conflicts:NAT地址冲突 |
|
Global flow-table status |
针对Global地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Local flow-table status |
针对Local地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for flow-table inactive status |
当下发流表的状态为Inactive时,显示流表不生效的原因 其中,Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败 |
【相关命令】
· nat server
display nat server-group命令用来显示NAT内部服务器组的配置信息。
【命令】
display nat server-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:NAT内部服务器组的编号,取值范围为0~65535。如果不指定该参数,则显示所有内部服务器组。
【举例】
# 显示所有NAT内部服务器组的配置信息。
<Sysname> display nat server-group
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
# 显示指定NAT内部服务器组的配置信息。
<Sysname> display nat server-group 1
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
表1-19 display nat server-group命令显示信息描述表
|
字段 |
描述 |
|
NAT server group information |
NAT内部服务器组信息 |
|
Totally n NAT server groups |
当前有n个内部服务器组 |
|
Group Number |
内部服务器组的编号 |
|
Inside IP |
内部服务器组成员在内网的IP地址。如果未配置,则显示“---” |
|
Port |
内部服务器组成员在内网的端口。如果未配置,则显示“---” |
|
Weight |
内部服务器组成员的权重值。如果未配置,则显示“---” |
【相关命令】
· nat server-group
display nat session命令用来显示NAT会话,即经过NAT地址转换处理的会话。
【命令】
(独立运行模式)
display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
(IRF模式)
display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
responder:表示以响应方的信息筛选显示NAT会话表项。若不指定该参数时,则以发起方的信息筛选显示NAT会话表项。
source-ip source-ip:显示指定源地址的会话。source-ip表示源地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip:显示指定目的地址的会话。destination-ip表示目的地址,该地址必须是创建会话的报文的目的地址。
vpn-instance vpn-instance-name:显示指定目的VPN实例的会话。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须是报文中携带的VPN实例。如果不指定该参数,则显示目的IP不属于任何VPN实例的会话。
slot slot-number:显示指定单板上的NAT会话,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有单板上的NAT会话(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的NAT会话,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有成员设备的所有单板上的NAT会话。(IRF模式)
cpu cpu-number:显示指定CPU上的NAT会话,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示NAT会话的详细信息。如果不配置则显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有的NAT会话。
【举例】
# 显示指定slot上NAT会话的详细信息。(独立运行模式)
<Sysname> display nat session slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Rule ID: -/-/-
Rule name:
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-20 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方的会话信息 |
|
Responder |
响应方的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN instance/VLAN ID/Inline ID |
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
传输层协议类型,包括:DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
报文的入接口 |
|
Source security zone |
源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
|
State |
会话状态 |
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
Rule ID |
安全策略规则的ID |
|
Rule name |
安全策略规则的名称 |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
当前查找到的会话的总数 |
【相关命令】
· reset nat session
display nat static命令用来显示NAT静态地址转换的配置信息。
【命令】
display nat static
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT静态地址转换的配置信息。(独立运行模式)
<Sysname> display nat static
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 1.1.1.1 - 1.1.1.255
Local IP : 2.2.2.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Rule name : adefg
Priority : 1000
NAT counting : 0
Config status: Active
Local flow-table status: Active
Global flow-table status:
Interface GigabitEthernet1/0/2 : Active
Interface GigabitEthernet1/0/3 : Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
ACL : 2001
Reversible : Y
Rule name : abefg
Priority : 1000
NAT counting : 0
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Local flow-table status: Active
Global flow-table status:
Interface GigabitEthernet1/0/2 : Inactive
Reasons for flow-table inactive status:
The item is not ready to perform the operation.
Interface GigabitEthernet1/0/3 : Inactive
Reasons for flow-table inactive status:
The item is not ready to perform the operation.
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
ACL : 2000
Reversible : Y
Rule name : abcd
Priority : 1000
NAT counting : 0
Config status: Active
Local flow-table status: Active
Global flow-table status:
Interface GigabitEthernet1/0/2 : Active
Interface GigabitEthernet1/0/3 : Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
ACL: : 2000
Rule name : defg
Priority : 1000
NAT counting : 0
Reversible : Y
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Local flow-table status: Active
Global flow-table status:
Interface GigabitEthernet1/0/2 : Inactive
Reasons for flow-table inactive status:
The item is not ready to perform the operation.
Interface GigabitEthernet1/0/3 : Inactive
Reasons for flow-table inactive status:
The item is not ready to perform the operation.
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/2
Config status: Active
表1-21 display nat static命令显示信息描述表
|
字段 |
描述 |
|
Static NAT mappings |
静态地址转换的配置信息 |
|
Totally n inbound static NAT mappings |
当前存在n条入方向静态地址转换的配置 |
|
Totally n outbound static NAT mappings |
当前存在n条出方向静态地址转换的配置 |
|
Net-to-net |
网段到网段的静态地址转换映射 |
|
IP-to-IP |
IP到IP的静态地址转换映射 |
|
Local IP |
内网IP地址或地址范围 |
|
Global IP |
外网IP地址或地址范围 |
|
Netmask |
IP地址掩码 |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
ACL |
引用的ACL编号或名称。如果未配置,则不显示该字段 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换 如果未配置,则不显示该字段 |
|
Interfaces enabled with static NAT |
静态地址转换在接口下的开启情况 |
|
Totally n interfaces enabled with static NAT |
当前有n个接口开启了静态地址转换 |
|
Interface |
开启静态地址转换功能的接口 |
|
Rule name |
NAT规则的名称 |
|
Priority |
NAT规则的匹配优先级 |
|
NAT counting |
静态地址转换的计数信息 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示静态地址转换的配置不生效的原因 · The following items don't exist or aren't effective:以下一个或多个配置项不存在或不生效 ¡ local VPN:内网地址所属的VPN实例不存在或不生效 ¡ global VPN:外网地址所属的VPN实例不存在或不生效 ¡ ACL:ACL不存在或不生效 · NAT address conflicts:NAT地址冲突 |
|
Local flow-table status |
针对Local地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Global flow-table status |
针对Global地址下发流表的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for flow-table inactive status |
当下发流表的状态为Inactive时,显示流表不生效的原因 其中,Not enough resources are available to complete the operation表示因为资源不足导致下发流表失败 |
【相关命令】
· nat static enable
· nat static inbound
· nat static inbound net-to-net
· nat static inbound object-group
· nat static outbound
· nat static outbound net-to-net
· nat static outbound object-group
display nat statistics命令用来显示NAT统计信息。
【命令】
(独立运行模式)
display nat statistics [ summary ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat statistics [ summary ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
summary:显示NAT统计信息的摘要信息。不指定该参数时,显示NAT统计信息的详细信息。
slot slot-number:显示指定单板上的NAT统计信息,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有单板上的NAT统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的NAT统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有成员设备的所有单板上的NAT统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的NAT统计信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有NAT统计信息的详细信息。(独立运行模式)
<Sysname> display nat statistics
Slot 1:
Total session entries: 100
Session creation rate: 0
Total EIM entries: 1
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 10
Total dynamic port block entries: 15
Active static port block entries: 0
Active dynamic port block entries: 0
表1-22 display nat statistics命令显示信息描述表
|
字段 |
描述 |
|
Total session entries |
NAT会话表项个数 |
|
Session creation rate |
新建NAT会话的速率,单位为每秒个 |
|
Total EIM entries |
EIM表项个数 |
|
Total inbound NO-PAT entries |
入方向的NO-PAT表项个数 |
|
Total outbound NO-PAT entries |
出方向的NO-PAT表项个数 |
|
Total static port block entries |
当前配置创建的静态端口块表项个数 |
|
Total dynamic port block entries |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块 |
|
Active static port block entries |
当前正在使用的静态端口块表项个数 |
|
Active dynamic port block entries |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
# 显示所有NAT统计信息的概要信息。(独立运行模式)
<Sysname> display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
2 0 0 0 1572720 0 0
表1-23 display nat statistics summary命令显示信息描述表
|
字段 |
描述 |
|
Sessions |
NAT会话表项个数 |
|
EIM |
EIM表项个数 |
|
SPB |
当前配置创建的静态端口块表项个数 |
|
DPB |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块 |
|
ASPB |
当前正在使用的静态端口块表项个数 |
|
ADPB |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
exclude-ip命令用来配置禁止用于地址转换的IP地址。
undo exclude-ip命令用来恢复禁止用于地址转换的IP地址。
【命令】
exclude-ip start-address end-address
undo exclude-ip start-address end-address
【缺省情况】
不存在被禁止用于地址转换的IP地址。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
NAT地址组中,某些地址成员不能用做地址转换时,可以使用该命令将其禁止。
多次执行exclude-ip命令,最多可以配置100个不用于地址转换的地址范围,各地址范围间的地址不能重叠。每个不用于地址转换的地址范围中,最多包含4096个地址。
【举例】
# 配置NAT地址组2中禁止用于地址转换的IP地址为:10.1.1.2,10.1.1.3~10.1.1.5。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] exclude-ip 10.1.1.2 10.1.1.2
[Sysname-address-group-2] exclude-ip 10.1.1.3 10.1.1.5
【相关命令】
· address
failover-group命令用来为NAT地址组指定备份组。
undo failover-group命令用来恢复缺省情况。
【命令】
failover-group group-name [ channel channel-id ]
undo failover-group
【缺省情况】
没有为NAT地址组指定备份组。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:备份组的名称,为1~63个字符的字符串,区分大小写。该备份组必须已经存在。
channel channel-id:指定备份组的通道。channel-id为通道的编号,取值范围为0~1,缺省值为0。
【使用指导】
配置该命令后,设备会将需要进行动态NAT(包括动态地址转换和动态NAT444)的流量引到指定的备份组通道进行处理。
NAT地址组中同时指定备份组和负载分担组(通过blade-load-sharing-group命令配置)时,备份组中的安全引擎必须是负载分担组中的安全引擎。
如果设备上创建了手动备份组,则只能为NAT地址组指定手动备份组,不允许再指定自动备份组。
【举例】
# 为NAT地址组指定名称为nat-failover的备份组,通道编号为0。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] failover-group nat-failover channel 0
【相关命令】
· blade-load-sharing-group
global-ip-pool命令用来添加一个公网地址成员。
undo global-ip-pool命令用来删除一个公网地址成员。
【命令】
global-ip-pool start-address end-address
undo global-ip-pool start-address
【缺省情况】
不存在公网地址成员。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:公网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
在NAT444端口块静态映射中,端口基于公网地址成员的IP地址为私网地址成员的IP地址分配端口块。一个公网IP地址可对应的端口块个数,由端口块组配置的公网地址端口范围和端口块大小决定(端口范围除以端口块大小)。
一个端口块组内,一次添加的公网地址成员的数量不能超过255个,且各公网地址成员之间的IP地址不能重叠。
不同端口块组间的公网地址成员的IP地址可以重叠,但要保证在有地址重叠时端口范围不重叠。
【举例】
# 在端口块组1中添加一个公网地址成员,IP地址从202.10.1.1到202.10.1.10。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] global-ip-pool 202.10.1.1 202.10.1.10
【相关命令】
· nat port-block-group
inside ip命令用来添加一个内部服务器组成员。
undo inside ip命令用来删除一个内部服务器组成员。
【命令】
inside ip inside-ip port port-number [ weight weight-value ]
undo inside ip inside-ip port port-number
【缺省情况】
内部服务器组内没有内部服务器组成员。
【视图】
内部服务器组视图
【缺省用户角色】
network-admin
context-admin
【参数】
inside-ip:内部服务器组成员的IP地址。
port port-number:内部服务器组成员提供服务的端口号,取值范围为1~65535(FTP数据端口号20除外)。
weight weight-value:内部服务器组成员的权重。weight-value表示权值,取值范围为1~1000,缺省值为100。
【使用指导】
内部服务器组成员按照权重比例对外提供服务,权重值越大的内部服务器组成员对外提供服务的比重越大。
【举例】
# 为内部服务器组1添加一个内部服务器组成员,其IP地址为10.1.1.2,服务端口号为30。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.1.1.2 port 30
【相关命令】
· nat server-group
local-ip-address命令用来添加一个私网地址成员。
undo local-ip-address命令用来删除一个私网地址成员。
【命令】
local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
undo local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在私网地址成员。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:私网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址。
vpn-instance vpn-instance-name:私网地址成员所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示私网地址成员不属于任何一个VPN实例。
【使用指导】
私网地址成员的IP地址作为端口块的使用者,基于端口块组配置的公网地址成员的IP地址为其分配端口块。在一个端口块组内,一个私网IP地址只分配一个端口块。
同一个端口块组内,可配置多个私网地址成员:
· 属于同一VPN实例的各私网地址成员之间的IP地址不能重叠。
· 不属于任何VPN实例的私网地址成员之间的IP地址不能重叠。
不同端口块组内,执行本命令且指定相同的VPN实例时,配置的私网地址成员的IP地址不要重叠,否则可能导致无法正确处理NAT业务。
如果一个端口块组中的私网地址总数超过可分配的端口块总数(端口范围除以端口块大小),则在进行NAT444端口块静态映射时,超出部分的私网地址将无法分配到端口块。
【举例】
# 在端口块组1中添加一个私网地址成员,IP地址从172.16.1.1到172.16.1.255,所属VPN实例为vpn1。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] local-ip-address 172.16.1.1 172.16.1.255 vpn-instance vpn1
【相关命令】
· nat port-block-group
nat address-group命令用来创建地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo nat address-group命令用来删除指定的地址组。
【命令】
nat address-group group-id [ name group-name ]
undo nat address-group group-id
【缺省情况】
不存在地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:地址组编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,区分大小写。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时,其源地址将被转换为地址组成员中的某个地址。
【举例】
# 创建一个地址组,编号为1,名称为abc。
<Sysname> system-view
[Sysname] nat address-group 1 abc
【相关命令】
· address
· display nat address-group
· display nat all
· nat inbound
· nat outbound
nat alg命令用来开启指定或所有协议类型的NAT ALG功能。
undo nat alg命令用来关闭指定或所有协议类型的NAT ALG功能。
【命令】
nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
undo nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
【缺省情况】
DNS、FTP、ICMP差错报文、PPTP、RTSP协议类型的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有可指定的协议的ALG功能。
dns:表示DNS协议的ALG功能。
ftp:表示FTP协议的ALG功能。
h323:表示H323协议的ALG功能。
icmp-error:表示ICMP差错控制报文的ALG功能。
ils:表示ILS(Internet Locator Service,互联网定位服务)协议的ALG功能。
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议的ALG功能。
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议的ALG功能。
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议的ALG功能。
rsh:表示RSH(Remote Shell,远程外壳)协议的ALG功能。
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议的ALG功能。
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议的ALG功能。
sip:表示SIP(Session Initiation Protocol,会话初始协议)协议的ALG功能。
sqlnet:表示SQLNET协议的ALG功能。
tftp:表示TFTP协议的ALG功能。
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议的ALG功能。
【使用指导】
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换,以保证后续数据连接的正确建立。
【举例】
# 开启FTP协议的ALG功能。
<Sysname> system-view
[Sysname] nat alg ftp
【相关命令】
· display nat all
nat dns-map命令用来配置一条域名到内部服务器的映射。
undo nat dns-map命令用来删除一条域名到内部服务器的映射。
【命令】
nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port
undo nat dns-map domain domain-name
【缺省情况】
不存在域名到内部服务器的映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain domain-name:指定内部服务器的合法域名。domain-name表示内部服务器的域名,由“.”分隔的字符串组成(如aabbcc.com),每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”。
protocol pro-type:指定内部服务器的协议类型。pro-type表示具体的协议类型,取值为tcp或udp。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。global-ip表示外网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号,可输入的形式如下:
数字:取值范围为1~65535。协议名称:为1~15个字符的字符串,例如ftp、telnet等。
【使用指导】
NAT的DNS mapping功能需要和内部服务器配合使用,主要应用于DNS服务器在外网,应用服务器在内网(在NAT设备上有对应的nat server配置),内网用户需要通过域名访问内网应用服务器的场景。NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
设备可支持配置多条域名到内部服务器的映射。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.server.com,对外的IP地址为202.112.0.1,服务端口号为12345。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port 12345
【相关命令】
· display nat all
· display nat dns-map
· nat server
nat flow-redirect命令用来开启NAT生成OpenFlow流表的功能。
undo nat flow-redirect命令用来关闭NAT生成OpenFlow流表的配置。
【命令】
nat flow-redirect { all | dynamic | server | static | static-port-block } *
undo nat flow-redirect { all | dynamic | server | static | static-port-block } *
【缺省情况】
NAT生成OpenFlow流表的功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:动态NAT(包括动态地址转换和动态NAT444)、NAT server、静态地址转换和静态NAT444生成OpenFlow流表的控制开关。
dynamic:动态NAT(包括动态地址转换和动态NAT444)生成OpenFlow流表的控制开关。
server:NAT server生成OpenFlow流表的控制开关。
static:静态地址转换生成OpenFlow流表功能的控制开关。
static-port-block:静态NAT444生成OpenFlow流表的控制开关。
【使用指导】
如果开启该功能,则新的NAT转换配置会生成OpenFlow流表,已经存在的NAT转换配置会补充生成OpenFlow流表。
如果关闭该功能,则新的NAT转换配置不会再生成OpenFlow流表,已存在的NAT转换配置生成的OpenFlow流表会被删除,从而可能造成流量中断。
【举例】
# 开启静态地址转换生成OpenFlow流表的功能。
<Sysname> system-view
[Sysname] nat flow-redirect static
nat hairpin enable命令用来开启NAT hairpin功能。
undo nat hairpin enable用来关闭NAT hairpin功能。
【命令】
nat hairpin enable
undo nat hairpin enable
【缺省情况】
NAT hairpin功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
NAT hairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求,需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。
NAT hairpin功能与内部服务器配合工作时,仅支持与通过如下方式配置的内部服务器配合使用,并且使用如下方式配置内部服务器时,必须通过protocol参数指定协议类型,否则NAT hairpin功能不生效。
· 1.1.66 (1)普通内部服务器。
· 1.1.66 (2)负载均衡内部服务器。
【举例】
# 在GigabitEthernet1/0/1接口下开启NAT hairpin功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat hairpin enable
【相关命令】
· display nat all
· nat outbound
· nat server
· nat static outbound
nat icmp-error reply命令用来开启NAT转换失败时发送ICMP差错报文功能。
undo nat icmp-error reply命令用来恢复缺省情况。
【命令】
nat icmp-error reply
undo nat icmp-error reply
【缺省情况】
NAT转换失败不发送ICMP差错报文。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,设备在NAT转换失败时,不发送ICMP差错报文,既可以减少网络上的无用报文,节约带宽,还可以避免将设备IP地址暴露在公网侧。
使用traceroute功能时,需要用到ICMP差错报文,需要开启发送ICMP差错报文的功能。
【举例】
# 开启设备在NAT转换失败时,发送ICMP差错报文功能。
<Sysname> system-view
[Sysname] nat icmp-error reply
nat inbound命令用来配置入方向动态地址转换。
undo nat inbound命令用来删除指定的入方向动态地址转换。
【命令】
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
undo nat inbound { ipv4-acl-number | name ipv4-acl-name }
【缺省情况】
不存在入方向动态地址转换配置。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group:指定地址转换使用的地址组。
group-id:地址组的编号,取值范围为0~65535。
group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance vpn-instance-name:指定地址组中的地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示地址组中的地址不属于任何一个VPN实例。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息。如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,我们将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即,在外网用户主动向内网发起连接并成功触发建立地址转换表项的情况下,允许内网向该外网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
add-route:为转换后的地址添加路由表,其目的地址是转换后的地址,出接口为进行地址转换的接口,下一跳为该报文转换前的源地址。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
description text:配置入方向动态地址转换的描述信息,text为1~63个字符的字符串,不区分大小写。
counting:NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
从配置了入方向地址转换的接口接收到的符合ACL permit规则的报文,会使用地址组group-id中的地址进行源地址转换。
入方向地址转换有两种转换方式:
· PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2)。
· NO-PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果用户配置了reversible,则允许内网通过IP2主动访问外网,对于此类访问报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。
nat inbound命令通常与nat outbound、nat server或nat static配合使用,用于支持在外网侧口上对报文同时进行源和目的转换,即双向NAT。
指定入方向和出方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被nat inbound配置引用后,就不能再被nat outbound配置引用。
· 一个地址组被PAT方式的nat inbound配置引用后,不能再被NO-PAT方式的nat inbound配置引用,反之亦然。
add-route参数不能应用在内网与外网地址重叠的组网场景中。在其他组网场景中:
· 如果指定了add-route参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址。
· 如果没有指定add-route参数,则用户需要在设备上手工添加路由。由于自动添加路由表项速度较慢,通常建议手工添加路由。
在一个接口下,一个ACL只能被一个nat inbound引用。
一个接口下可同时配置多条入方向地址转换。
在VPN组网中,配置入方向动态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于入方向动态地址转换,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置ACL 2001,允许对VPN实例vpn10内10.110.10.0/24网段的主机进行地址转换。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit vpn-instance vpn10 source 10.110.10.0 0.0.0.255
[Sysname-acl-ipv4-basic-2001] rule deny
[Sysname-acl-ipv4-basic-2001] quit
# 配置MPLS L3VPN的VPN实例vpn10。
[Sysname] ip vpn-instance vpn10
[Sysname-vpn-instance-vpn10] route-distinguisher 100:001
[Sysname-vpn-instance-vpn10] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance-vpn10] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance-vpn10] quit
# 配置地址组1,并添加地址组成员:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] nat address-group 1
[Sysname-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-address-group-1] quit
# 在接口GigabitEthernet1/0/1上配置入方向动态地址转换,使用地址组1中的地址进行地址转换,在转换的时候不使用TCP/UDP的端口信息,且需要添加路由。同时指定该入方向动态NAT规则的名称为abc,匹配优先级为0。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat inbound 2001 address-group 1 vpn-instance vpn10 no-pat add-route rule abc priority 0
【相关命令】
· display nat all
· display nat inbound
· display nat no-pat
nat inbound rule move命令用来调整入方向动态NAT规则的匹配优先级。
【命令】
nat inbound rule move nat-rule-name1 { after | before } nat-rule-name2
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
nat-rule-name1:要移动的NAT规则的名称。
after:将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。
before:将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。
nat-rule-name2:要移动的NAT规则的名称。
【使用指导】
本命令仅对指定了NAT规则名称的入方向动态NAT生效。
对于被移动到前面的NAT规则,设备将会优先进行匹配。
【举例】
# 将入方向动态NAT规则abc移动到入方向动态NAT规则def的前面。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat inbound rule move abc before def
【相关命令】
· nat inbound
nat link-switch recreate-session命令用来开启主备链路切换后的NAT会话重建功能。
undo nat link-switch recreate-session命令用来关闭主备链路切换后的NAT会话重建功能。
【命令】
nat link-switch recreate-session
undo nat link-switch recreate-session
【缺省情况】
主备链路切换后的NAT会话重建功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
广域网双出口组网环境中,分别在两个出接口下配置出方向动态地址转换(不同接口下的出方向动态地址转换引用不同的地址组),如果出接口所属的安全域不同,那么NAT设备的处理机制不同,具体如下:
· 如果将两个出接口加入不同的安全域,当某条出口链路发生故障触发链路切换时,NAT设备会删除原来的会话表项,从而触发流量重新匹配NAT设备上的NAT配置,并重新建立NAT会话,保证用户访问外网的业务不受影响。
· 如果将两个出接口加入同一个安全域,当某条出口链路发生故障触发链路切换时,NAT设备不会删除原来的会话表项,流量与原来的会话表项匹配导致用户无法访问外网。为了避免该问题的发生,请开启本功能,保证用户业务的可用性。
【举例】
# 开启主备链路切换触发NAT设备重新建立NAT会话的开关。
<Sysname> system-view
[Sysname] nat link-switch recreate-session
【相关命令】
· display nat all
nat log alarm命令用来开启NAT告警信息日志功能。
undo nat log alarm命令用来关闭NAT告警信息日志功能。
【命令】
nat log alarm
undo nat log alarm
【缺省情况】
NAT告警信息日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在NAT地址转换中,如果可为用户分配的NAT资源用尽,后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。本命令用来在NAT资源用尽时输出告警日志。在NO-PAT动态映射中,NAT资源是指公网IP地址;在EIM模式的PAT动态映射中,NAT资源是指公网IP地址和端口;在NAT444地址转换中,NAT资源是指公网IP、端口块和端口块中的端口。
NAT444端口块动态映射方式中,如果配置了增量端口块分配,则当首次分配的端口块中的端口用尽时,并不输出日志;只有当增量端口块中的端口也都用尽时,才会输出日志。
对于NAT告警日志,在配置NAT告警信息日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT告警信息日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。
只有开启NAT日志功能(通过nat log enable命令)之后,NAT告警信息日志功能才能生效。
【举例】
# 开启NAT告警信息日志功能。
<Sysname> system-view
[Sysname] nat log alarm
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log enable命令用来开启NAT日志功能。
undo nat log enable用来关闭NAT日志功能。
【命令】
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat log enable
【缺省情况】
NAT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定ACL的编号或名称。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【使用指导】
必须开启NAT日志功能,NAT会话日志功能(包括NAT新建会话、NAT删除会话和NAT活跃流的日志功能)、NAT444用户日志功能(包括NAT444端口块分配和NAT444端口块回收的日志功能)和NAT告警信息日志功能才能生效。
acl参数只对NAT会话日志功能有效,对其他NAT日志功能无效。如果指定了ACL,则只有符合ACL permit规则的数据流才有可能触发输出NAT会话日志;如果没有指定ACL,则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。
【举例】
# 开启NAT日志功能。
<Sysname> system-view
[Sysname] nat log enable
【相关命令】
· display nat all
· display nat log
· nat log alarm
· nat log flow-active
· nat log flow-begin
· nat log flow-end
· nat log port-block-assign
· nat log port-block-withdraw
nat log flow-active命令用来开启NAT活跃流日志功能,并设置生成活跃流日志的时间间隔。
undo nat log flow-active命令用来关闭NAT活跃流的日志功能。
【命令】
nat log flow-active time-value
undo nat log flow-active
【缺省情况】
NAT活跃流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:表示触发输出NAT活跃流日志的时间间隔,取值范围为10~120,单位为分钟。
【使用指导】
对于一些长时间没有断开的NAT会话(即活跃流),如果需要定期记录其连接情况,则可以通过活跃流日志功能来实现。
开启NAT活跃流日志功能后,对于NAT活跃流,每经过指定的时间间隔,设备就会记录一次NAT日志。
只有开启NAT日志功能之后,活跃流日志功能才能生效。
【举例】
# 开启NAT活跃流日志功能,并设置输出NAT活跃流日志的时间间隔为10分钟。
<Sysname> system-view
[Sysname] nat log flow-active 10
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-begin命令用来开启NAT新建会话的日志功能,即新建NAT会话时,输出NAT日志。
undo nat log flow-begin命令用来关闭NAT新建会话的日志功能。
【命令】
nat log flow-begin
undo nat log flow-begin
【缺省情况】
NAT新建会话的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有开启NAT日志功能之后,NAT新建会话的日志功能才能生效。
【举例】
# 开启NAT新建会话的日志功能。
<Sysname> system-view
[Sysname] nat log flow-begin
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-end命令用来开启NAT删除会话的日志功能。
undo nat log flow-end命令用来关闭NAT删除会话的日志功能。
【命令】
nat log flow-end
undo nat log flow-end
【缺省情况】
NAT删除会话的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有开启NAT日志功能之后,NAT删除会话的日志功能才能生效。
【举例】
# 开启NAT删除会话的日志功能。
<Sysname> system-view
[Sysname] nat log flow-end
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block usage threshold命令用来配置动态NAT444端口块使用率的阈值。
undo nat log port-block usage threshold命令用来恢复缺省情况。
【命令】
nat log port-block usage threshold threshold-value
undo nat log port-block usage threshold
【缺省情况】
动态NAT444的端口块使用率的阈值为90%。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:端口使用率的阈值,为百分比数值,取值范围为40~100。
【使用指导】
创建动态端口块表项时,若端口块的使用率大于阈值,系统会输出告警日志。
【举例】
# 配置动态NAT444端口块使用率的阈值为60%。
<Sysname> system-view
[Sysname] nat log port-block usage threshold 60
nat log port-block-assign命令用来开启端口块分配的NAT444用户日志功能。
undo nat log port-block-assign命令用来关闭端口块分配的NAT444用户日志功能。
【命令】
nat log port-block-assign
undo nat log port-block-assign
【缺省情况】
端口块分配的NAT444用户日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志。
端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志。
只有开启NAT日志功能之后,端口块分配的NAT444用户日志功能才能生效。
【举例】
# 开启端口块分配的NAT444用户日志功能。
<Sysname> system-view
[Sysname] nat log port-block-assign
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block-withdraw命令用来开启端口块回收的NAT444用户日志功能。
undo nat log port-block-withdraw命令用来关闭端口块回收的NAT444用户日志功能。
【命令】
nat log port-block-withdraw
undo nat log port-block-withdraw
【缺省情况】
端口块回收的NAT444用户日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志。
端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志。
只有开启NAT日志功能之后,端口块回收的NAT444用户日志功能才能生效。
【举例】
# 开启端口块回收的NAT444用户日志功能。
<Sysname> system-view
[Sysname] nat log port-block-withdraw
【相关命令】
· display nat all
· display nat log
· nat log enable
nat mapping-behavior命令用来配置PAT方式出方向动态地址转换的模式。
undo nat mapping-behavior命令用来恢复缺省情况。
【命令】
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat mapping-behavior endpoint-independent
【缺省情况】
PAT出方向动态方式地址转换的模式为Address and Port-Dependent Mapping。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定ACL的编号或名称,用于控制需要遵守指定地址转换模式的报文范围。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【使用指导】
PAT方式出方向动态地址转换支持两种模式:
· Endpoint-Independent Mapping(不关心对端地址和端口的转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口的转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,由于相同的源地址和源端口号不要求被转换为相同的外部地址和端口号,所以通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。并且NAT网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但是不便于位于不同NAT网关之后的主机间进行互访。
该配置只对出方向动态地址转换的PAT方式起作用。入方向动态地址转换的PAT方式的转换模式始终为 Address and Port-Dependent Mapping。
如果配置了acl参数,则表示只有符合ACL permit规则的报文才采用Endpoint-Independent Mapping模式进行地址转换;如果没有配置acl参数,则表示所有的报文都采用Endpoint-Independent Mapping模式进行地址转换。
【举例】
# 对所有报文都以Endpoint-Independent Mapping模式进行地址转换。
<Sysname> system-view
[Sysname] nat mapping-behavior endpoint-independent
# 仅对FTP和HTTP报文才以Endpoint-Independent Mapping模式进行地址转换,其它报文采用Address and Port-Dependent Mapping模式进行地址转换。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 21
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] nat mapping-behavior endpoint-independent acl 3000
【相关命令】
· nat outbound
· display nat eim
nat outbound命令用来配置出方向动态地址转换。
undo nat outbound命令用来删除指定的出方向动态地址转换。
【缺省情况】
不存在动态地址转换配置。
【命令】
· NO-PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
· PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。如果不指定该参数,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
group-id:地址组的编号,取值范围为0~65535。
group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance vpn-instance-name:指定地址组中的地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN中的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示地址组中的地址不属于任何一个VPN实例。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息;如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,我们将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即,在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
port-preserved:PAT方式分配端口时尽量不转换端口。port-preserved参数对NAT444端口块动态映射无效。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,缺省值为4294967295。优先级的数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
description text:配置出方向动态地址转换的描述信息,text为1~63个字符的字符串,不区分大小写。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
一般情况下,出方向动态地址转换配置在和外部网络连接的接口上,一个接口下可同时配置多条出方向地址转换。动态地址转换有两种转换方式:
· PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址或该接口的地址(Easy IP方式)进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2);如果同时配置了PAT方式下的地址转换模式为EIM(Endpoint-Independent Mapping),则外网可以通过IP2/port2主动访问内网,NAT设备根据EIM表项转换目的地址和端口(IP2/port2转换为IP1/port1)。
· NO-PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果同时配置了reversible,则允许外网通过IP2主动访问内网,对于此类报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。NAT444端口块动态映射不支持该方式。
指定出方向和入方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被nat outbound配置引用后,不能再被nat inbound引用。
· 一个地址组被PAT方式的nat outbound配置引用后,不能再被NO-PAT方式的nat outbound配置引用,反之亦然。
· 如果PAT方式的nat outbound所引用的地址组中配置了端口块参数,则将对匹配的报文进行NAT444端口块动态映射。port-preserved参数对NAT444端口块动态映射无效。
指定出方向动态地址转换引用的ACL时,需要注意:
· 在一个接口下,一个ACL只能被一个nat outbound引用。
· 配置多条出方向动态地址转换时,只有一个nat outbound可以不引用ACL。
· 不指定ACL编号或名称的情况下,不对转换对象进行限制。
· 对于同一接口下的出方向动态地址转换配置,指定了ACL的配置的优先级高于未指定ACL的配置的优先级;对于指定了ACL的出方向动态地址转换配置,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
在VPN组网中,配置出方向动态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于引用了ACL的出方向动态地址转换,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置ACL 2001,允许对10.110.10.0/24网段的主机报文进行地址转换。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-ipv4-basic-2001] rule deny
[Sysname-acl-ipv4-basic-2001] quit
# 配置地址组1,并添加地址组成员:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] nat address-group 1
[Sysname-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-address-group-1] quit
# 在接口GigabitEthernet1/0/1上配置出方向动态地址转换,允许对匹配ACL 2001的报文使用地址组1中的地址进行地址转换,且在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001 address-group 1
[Sysname-GigabitEthernet1/0/1] quit
# 如果在接口GigabitEthernet1/0/1上不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001 address-group 1 no-pat
[Sysname-GigabitEthernet1/0/1] quit
# 如果直接使用接口GigabitEthernet1/0/1接口的IP地址进行地址转换,可以使用如下的配置。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001
[Sysname-GigabitEthernet1/0/1] quit
# 内网10.110.10.0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络。如果要在内网用户向外网主动发起访问之后,允许外网用户主动向10.110.10.0/24网段的主机发起访问,并利用已建立的地址转换表项进行反向地址转换,可以使用如下配置。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound 2001 address-group 1 no-pat reversible
【相关命令】
· display nat eim
· display nat outbound
· nat mapping-behavior
nat outbound ds-lite-b4命令用来配置DS-Lite B4端口块映射。
undo nat outbound ds-lite-b4命令用来删除指定的DS-Lite B4端口块映射。
【命令】
nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id
undo nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name }
【缺省情况】
不存在DS-Lite B4端口块映射。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-acl-number:用于匹配B4设备IPv6地址的IPv6 ACL编号,取值范围为2000~2999。
name ipv6-acl-name:用于匹配B4设备IPv6地址的IPv6 ACL名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。group-id为地址组的编号,取值范围为0~65535 。目前仅支持端口块动态映射方式的地址组,因此指定的NAT地址组中必须配置端口块参数,否则配置不生效。
【使用指导】
在使用DS-Lite隧道技术实现通过IPv6网络连接IPv4网络的组网环境下,DS-Lite B4端口块映射配置在NAT444网关设备连接外部网络的接口上,通常用于在NAT444网关设备已知B4设备或DS-Lite主机的IPv6地址的情况下为DS-Lite用户提供NAT地址转换。
通过在NAT网关设备上配置DS-Lite B4地址转换,可以实现基于端口块的公网IP地址复用,使一个DS-Lite B4 IPv6地址在一个时间段内独占一个公网IP地址的某个端口块。
【举例】
# 配置IPv6 ACL 2100,允许对2000::/64网段的主机报文进行地址转换。
<Sysname> system-view
[Sysname] acl ipv6 basic 2100
[Sysname-acl-ipv6-basic-2100] rule permit source 2000::/64
[Sysname-acl-ipv6-basic-2100] quit
# 配置地址组1,并添加地址组成员:202.110.10.10~202.110.10.12。
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] address 202.110.10.10 202.110.10.12
# 配置地址组1的端口块参数,端口块大小为256。
[Sysname-nat-address-group-1] port-block block-size 256
[Sysname-nat-address-group-1] quit
# 在接口GigabitEthernet1/0/1上配置DS-Lite B4端口块映射,允许对匹配IPv6 ACL 2100的报文使用地址组1中的地址进行地址转换。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound ds-lite-b4 2100 address-group 1
【相关命令】
· display nat outbound
nat outbound easy-ip failover-group命令用来配置Easy IP方式的地址转换使用的备份组。
undo nat outbound easy-ip failover-group命令用来恢复缺省情况。
【命令】
nat outbound easy-ip failover-group group-name [ channel channel-id ]
undo nat outbound easy-ip failover-group
【缺省情况】
未配置Easy IP方式的地址转换使用的备份组。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:备份组的名称,为1~63个字符的字符串,区分大小写。该备份组必须已经存在。
channel channel-id:指定备份组的通道。channel-id为通道的编号,取值范围为0~1,缺省值为0。
【使用指导】
配置该命令后,设备会将需要进行动态地址转换的流量引到指定的备份组通道进行处理。
如果设备上创建了手动备份组,则只能指定手动备份组,不允许再指定自动备份组。
如果在接口视图下配置了nat outbound easy-ip failover-group命令,并在系统视图下配置了nat outbound easy-ip port-range命令,那么后者的配置将失效。
【举例】
# 在接口GigabitEthernet1/0/1上配置Easy IP方式的地址转换使用名称为nat-failover的备份组。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound easy-ip failover-group nat-failover
【相关命令】
· blade-load-sharing-group
· display nat outbound
· nat outbound easy-ip port-range
nat outbound easy-ip port-range命令用来配置Easy IP方式地址转换的备份组的端口范围。
undo nat outbound easy-ip port-range命令用来删除Easy IP方式地址转换的备份组的端口范围。
【命令】
nat outbound easy-ip port-range mask-value mask-length failover-group group-name [ channel channel-id ]
undo nat outbound easy-ip port-range mask-value mask-length failover-group group-name [ channel channel-id ]
【缺省情况】
没有配置Easy IP方式动态地址转换的备份组的端口范围。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
mask-value:表示端口范围的高位掩码值,取值范围为0~31。一个端口掩码值只能分配给一个备份组。
mask-length:表示掩码位数,取值范围为1~5。
failover-group group-name:指定备份组的名称。group-name表示备份组的名称,为1~63个字符的字符串,区分大小写。如果设备上创建了手动备份组,则只能指定手动备份组,不允许再指定自动备份组。
channel channel-id:指定备份组的通道。channel-id为通道的编号,取值范围为0~1。如果不指定该参数,缺省使用channel 0。
【使用指导】
接口上使用Easy IP方式做出方向动态地址转换业务时,若使用了多备份组进行业务处理,可能会出现多个备份组使用同一接口地址进行转换后端口冲突的情况,为了避免该情况的发生,请为不同的备份组划分不同的端口范围。
通过将不同的端口掩码值和掩码位数组合与不同的备份组绑定,可以保证不同备份组占用不同的端口范围。对于端口范围的高位掩码值和掩码位数与端口号范围的转换关系如下:
(1) 首先将端口范围的高位掩码值和掩码位数转换为对应的二进制,如高位掩码值为2,掩码位数为5,转换为二进制则表示为00010;
(2) 然后将16位二进制数的低位进行填充:
a. 全部填充为0,即可得到端口范围的最小值;
b. 全部填充为1,即可得到端口范围的最大值。
(3) 将得到的二进制的最小值和最大值转换为十进制即可得到端口号范围。
例如高位掩码值为2,掩码位数为5,则对应的端口号范围二进制表示为0001000000000000~0001011111111111,转换为十进制即4096~6143。
为了保证所有备份组的端口不会有重复,要求一个端口掩码只能属于一个备份组,且所有的掩码位数要保持一致,因此最多可分成32组端口范围。
不同的端口掩码可以属于同一个备份组,但是属于同一个备份组的端口掩码不能超过两个。
如果在接口视图下配置了nat outbound easy-ip failover-group命令,并在系统视图下配置了nat outbound easy-ip port-range命令,那么后者的配置将失效。
需要配置QoS策略,将接口上的流量重定向到不同的备份组上进行处理。关于流量重定向的详细介绍,请参见“ACL和QoS配置指导”中的“QoS”。
【举例】
# 配置Easy IP方式地址转换的备份组nat-failover的端口范围高位掩码值为1、掩码位数为3,表示端口范围为8192~16383。
<Sysname> system-view
[Sysname] nat outbound easy-ip port-range 1 3 failover-group nat-failover
【相关命令】
· display nat easy-ip failover-group port-range
· failover group(可靠性命令参考/备份组)
· nat outbound easy-ip failover-group
nat outbound port-block-group命令用来配置NAT444端口块静态映射。
undo nat outbound port-block-group命令用来删除指定的NAT444端口块静态映射配置。
【命令】
nat outbound port-block-group group-id [ rule rule-name ] [ counting ]
undo nat outbound port-block-group group-id
【缺省情况】
不存在NAT444端口块静态映射配置。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:端口块组的编号,取值范围为0~65535。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
该配置在接口下引用指定的端口块组,根据端口块组内的配置数据,按照固定的算法为每个私网IP地址分配一个静态端口块并创建静态端口块表项。当某私网IP地址向公网发起连接时,通过该私网IP地址查找静态端口块表项,使用表项中记录的公网IP地址进行地址转换,并从对应的端口块中动态分配一个端口进行TCP/UDP端口转换。
一个接口下可以配置多条基于不同端口块组的NAT444端口块静态映射。
IRF组网环境下,还需要通过命令ip fast-forwarding load-sharing配置负载分担,否则会导致端口分配冲突。
【举例】
# 在接口GigabitEthernet1/0/1的出方向上配置基于端口组1的NAT444端口块静态映射。同时指定该NAT444端口块静态映射规则的名称为abc。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound port-block-group 1 rule abc
【相关命令】
· display nat all
· display nat outbound port-block-group
· display nat port-block
· nat port-block-group
nat outbound rule move命令用来调整出方向动态NAT规则的匹配优先级。
【命令】
nat outbound rule move nat-rule-name1 { after | before } nat-rule-name2
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
nat-rule-name1:要移动的NAT规则的名称。
after:将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。
before:将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。
nat-rule-name2:要移动的NAT规则的名称。
【使用指导】
本命令仅对指定了NAT规则名称的出方向动态NAT生效。
对于被移动到前面的NAT规则,设备将会优先进行匹配。
【举例】
# 将出方向动态NAT规则abc移动到出方向动态NAT规则def的前面。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat outbound rule move abc before def
【相关命令】
· nat outbound
nat periodic-statistics enable命令用来开启NAT定时统计功能。
undo nat periodic-statistics enable命令用来关闭NAT定时统计功能。
【命令】
nat periodic-statistics enable
undo nat periodic-statistics enable
【缺省情况】
NAT定时统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,NAT将按照一定的时间间隔对每个地址组中的会话数目和端口块分配冲突计数进行统计。
使用本功能可能会占用较多的CPU资源,当CPU资源紧张时,可将其关闭。
【举例】
# 开启NAT定时统计功能。
<Sysname> system-view
[Sysname] nat periodic-statistics enable
【相关命令】
· nat periodic-statistics interval
nat periodic-statistics interval命令用来配置NAT定时统计功能的时间间隔。
undo nat periodic-statistics interval命令用来恢复缺省情况。
【命令】
nat periodic-statistics interval interval
undo nat periodic-statistics interval
【缺省情况】
NAT定时统计功能的时间间隔为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:指定NAT定时统计功能的时间间隔,取值范围为180~604800,单位为秒。
【使用指导】
如果将NAT定时统计功能的时间间隔调小,可能会占用较多的CPU资源。通常情况下,建议使用缺省值。
【举例】
# 设置NAT定时统计功能的时间间隔为500秒。
<Sysname> system-view
[Sysname] nat periodic-statistics interval 500
【相关命令】
· nat periodic-statistics enable
nat policy命令用来创建NAT策略,并进入NAT策略视图。如果指定的NAT策略已经存在,则直接进入NAT策略视图。
undo nat policy命令用来删除NAT策略及NAT策略视图下的所有配置。
【命令】
nat policy
undo nat policy
【缺省情况】
不存在NAT策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
NAT策略根据报文的源IP地址、目的IP地址和携带的服务类型对多个接口的地址转换进行控制。NAT策略中可以包含多条NAT规则,设备通过NAT规则引用的对象组识别出特定的报文,并根据预先设定的动作类型对其进行地址转换。
NAT策略目前仅支持动态地址转换,其优先级高于接口下的动态地址转换。
【举例】
# 创建NAT策略,并进入NAT策略视图。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy]
【相关命令】
· display nat all
· display nat policy
· rule name
nat port-block global-share enable命令用来开启端口块全局共享功能。
undo nat port-block global-share enable命令用来关闭端口块全局共享功能。
【命令】
nat port-block global-share enable
undo nat port-block global-share enable
【缺省情况】
端口块全局共享功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在已配置NAT444端口块动态映射的情况下,当同一个源IP地址的报文从不同出接口进行NAT地址转换时,可能会分配到不同的端口块。如果需要使同一个源IP地址分配到相同的端口块,请开启端口块全局共享功能。
【举例】
# 开启端口块全局共享功能。
<Sysname> system-view
[Sysname] nat port-block global-share enable
【相关命令】
· port-block
nat port-block synchronization enable命令用来开启NAT444业务热备份功能。
undo nat port-block synchronization enable命令用来关闭NAT444业务热备份功能。
【命令】
nat port-block synchronization enable
undo nat port-block synchronization enable
【缺省情况】
NAT444业务热备份功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在业务热备份环境中,通过开启NAT444业务热备份功能,可以实现主备切换后动态NAT444端口块表项一致。
【举例】
# 开启NAT444业务热备份功能。
<Sysname> system-view
[Sysname] nat port-block synchronization enable
nat port-block-group命令用来创建NAT端口块组,并进入NAT端口块组视图。如果指定的NAT端口块组已经存在,则直接进入NAT端口块组视图。
undo nat port-block-group命令用来删除指定的NAT端口块组。
【命令】
nat port-block-group group-id
undo nat port-block-group group-id
【缺省情况】
不存在NAT端口块组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:NAT端口块组的编号,取值范围为0~65535。
【使用指导】
创建的NAT端口块组用于配置NAT444端口块静态映射。一个端口块组中包含如下内容:
· 一个或多个私网地址成员,通过local-ip-address命令配置。
· 一个或多个公网地址成员,通过global-ip-pool命令配置。
· 公网地址的端口范围,通过port-range命令配置。
· 端口块大小,通过block-size命令配置。
在进行NAT444端口块静态映射时,系统根据相应端口块组的配置计算出私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。
【举例】
# 创建一个NAT端口块组,编号为1。
<Sysname>system-view
[Sysname]nat port-block-group 1
[Sysname-port-block-group-1]
【相关命令】
· block-size
· display nat all
· display nat port-block-group
· global-ip-pool
· local-ip-address
· nat outbound port-block-group
· port-range
nat redirect reply-route enable命令用来开启反向报文的重定向功能。
undo nat redirect reply-route enable命令用来关闭反向报文的重定向功能。
【命令】
nat redirect reply-route enable
undo nat redirect reply-route enable
【缺省情况】
反向报文的重定向功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
通过在设备的出接口开启反向报文的重定向功能,使出接口收到反向报文后查询NAT会话表项,根据NAT会话表项记录的信息将反向报文的目的IP地址进行NAT地址转换,从而使反向报文通过接收正向报文的隧道发送出去。
【举例】
# 开启接口GigabitEthernet1/0/1上的反向报文的重定向功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat redirect reply-route enable
nat server命令用来配置NAT内部服务器,即定义内部服务器的外网地址和端口与内网地址和端口的映射表项。
undo nat server命令用来删除指定的内部服务器配置。
【命令】
· 外网地址单一,未使用外网端口或外网端口单一
nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ] [ rule rule-name ] [ disable ] [ description text ] [ counting ]
undo nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外网地址单一,外网端口连续
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] [ counting ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ]
· 外网地址连续,未使用外网端口或外网端口单一
nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] [ counting ]
undo nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外网地址连续,外网端口单一
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside local-address local-port1 local-port2 [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] [ counting ]
undo nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ]
nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] [ counting ]
undo nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ]
(3) 基于ACL的内部服务器
nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
undo nat server global { ipv4-acl-number | name ipv4-acl-name }
【缺省情况】
不存在内部服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol pro-type:指定协议类型。只有当协议类型是TCP、UDP协议时,配置的内部服务器才能带端口参数。如果不指定协议类型,则表示对所有协议类型的报文都生效。pro-type可输入以下形式:
· 数字:取值范围为1~255。
· 协议名称:取值包括icmp、tcp和udp。
global:指定服务器向外提供服务的外网信息。
global-address:内部服务器向外提供服务时对外公布的外网IP地址。
global-address1、global-address2:外网IP地址范围,所包含的地址数目不能超过10000。global-address1表示起始地址,global-address2表示结束地址。global-address2必须大于global-address1。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
current-interface:使用当前接口的主用IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。
interface interface-type interface-number:表示使用指定接口的主用IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。interface-type interface-number表示接口类型和接口编号。目前只支持Loopback接口。
global-port1、global-port2:外网端口范围,和内部主机的IP地址范围构成一一对应的关系。global-port1表示起始端口,global-port2表示结束端口。global-port2必须大于global-port1,且端口范围中的端口数目不能大于10000。外网端口可输入以下形式:
· 数字:取值范围为1~65535。起始端口和结束端口均支持此形式。
· 协议名称:为1~15个字符的字符串,例如http、telnet等。仅起始端口支持该形式。
inside:指定服务器的内网信息。
local-address1、local-address2:定义一组连续的内网IP地址范围,和外网端口范围构成一一对应的关系。local-address1表示起始地址,local-address2表示结束地址。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
local-port:内部服务器的内网端口号,可输入以下形式:
· 数字:取值范围为1~65535(FTP数据端口号20除外)。
· 协议名称:为1~15个字符的字符串,例如http、telnet等。
global-port:外网端口号,缺省值以及取值范围的要求和local-port的规定一致。
local-address:服务器的内网IP地址。
vpn-instance global-vpn-instance-name:对外公布的外网地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示对外公布的外网地址不属于任何一个VPN实例。
vpn-instance local-vpn-instance-name:内部服务器所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内部服务器不属于任何一个VPN实例。
server-group group-id:服务器在内网所属的服务器组。若指定了该参数,则表示要配置一个负载分担内部服务器。group-id表示内部服务器组的编号,取值范围为0~65535。
acl:指定ACL的编号或名称。若指定了该参数,则表示与指定的ACL permit规则匹配的报文才可以使用内部服务器的映射表进行地址转换。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时,将私网地址转换为内部服务器向外提供服务的外网IP地址。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
description text:配置NAT内部服务器的描述信息,text为1~63个字符的字符串,不区分大小写。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
通过该配置可以利用NAT设备将一些内部网络的服务器提供给外部网络使用,例如内部的Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。这些内部服务器可以位于普通的内网内,也可以位于MPLS VPN实例内。
NAT内部服务器通常配置在NAT设备的外网侧接口上。外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器。当pro-type不是TCP(协议号为6)或UDP(协议号为17)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号之间的映射。
NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。
表1-24 NAT内部服务器的地址与端口映射关系
|
外网 |
内网 |
|
一个外网地址 |
一个内网地址 |
|
一个外网地址、一个端口号 |
一个内网地址、一个内网端口号 |
|
一个外网地址,N个连续的外网端口号 |
· 一个内网地址,一个内网端口 · N个连续的内网地址,一个内网端口号 · 一个内网地址,N个连续的内网端口号 |
|
N个连续的外网地址 |
· 一个内网地址 · N个连续的内网地址 |
|
N个连续的外网地址连续,一个外网端口号 |
· 一个内网地址,一个内网端口号 · N个连续的内网地址,一个内网端口号 · 一个内网地址,N个连续的内网端口号 |
|
一个外网地址,一个外网端口号 |
一个内部服务器组 |
|
一个外网地址,N个连续的外网端口号 |
|
|
N个连续的外网地址,一个外网端口号 |
|
|
外网地址(通过ACL进行匹配) |
· 一个内网地址 · 一个内网地址、一个内网端口号 |
对于同一个接口下配置的NAT服务器,其协议类型、外网地址和外网端口号的组合必须是唯一的,否则认为是配置冲突。本规则同样适用于Easy IP方式的NAT服务器。每个nat server命令下可以配置的NAT内部服务器数目为global-port2与global-port1的差值,即配置多少个外网端口就对应多少个NAT内部服务器。
在VPN组网中,配置NAT内部服务器时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
由于Easy IP方式的NAT内部服务器使用了当前接口或其它接口的IP地址作为它的外网地址,因此强烈建议在配置了Easy IP方式的NAT内部服务器之后,其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址,反之亦然。
对于Easy IP方式的NAT服务器,如果其引用的接口的IP地址发生改变,导致跟现有的其它非Easy IP方式的NAT服务器冲突,则Easy IP方式的NAT服务器配置失效;如果接口地址又修改为不冲突的IP,或者之前与之冲突的NAT服务器被删除,则Easy IP方式的NAT配置重新生效。
在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。
配置基于ACL的内部服务器时,ACL规则中不支持引用对象组。
对于基于ACL的内部服务器,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
在支持NAT内部服务器自动分配NAT规则名称的版本上执行配置回滚操作时,如果回滚配置文件中的NAT内部服务器不存在系统为其自动分配的NAT规则名称,会出现回滚失败的错误提示信息。比如,回滚配置文件中的配置为nat server global 112.1.1.1 inside 192.168.20.1,回滚操作完成后的配置为nat server global 112.1.1.1 inside 192.168.20.1 rule 内部服务器规则_10(内部服务器规则_10为系统自动分配的NAT规则名称),系统会将此配置与回滚文件中的配置进行比较,比较后发现两者不一致,会提示用户回滚失败。这种情况下,相关的命令已下发成功,用户无需处理。
【举例】
# 在接口GigabitEthernet1/0/1上配置NAT内部服务器,指定局域网内部的Web服务器的IP地址是10.110.10.10,希望外部通过http://202.110.10.10:8080可以访问Web服务器。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 http
[Sysname-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet1/0/1上配置NAT内部服务器,指定MPLS VPN实例vrf10内部的FTP服务器的IP地址是10.110.10.11,希望外部通过ftp://202.110.10.10可以访问FTP服务器。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
[Sysname-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet1/0/1上配置NAT内部服务器,指定一个VPN实例vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
[Sysname-GigabitEthernet1/0/1] quit
# 在接口GigabitEthernet1/0/1上配置NAT内部服务器,指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN实例vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 正确的服务器地址为10.0.0.172,用户配置的错误地址为192.168.0.0/24网段的地址,在接口GigabitEthernet1/0/1上配置基于ACL的内部服务器对这部分用户的配置错误进行纠正。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 5 permit ip destination 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server global 3000 inside 10.0.0.172
【相关命令】
· display nat all
· display nat server
· nat server-group
nat server rule global destination-ip inside命令用来配置基于对象组的NAT内部服务器。
undo nat server rule命令用来删除基于对象组的NAT内部服务器。
【命令】
nat server rule rule-name global destination-ip object-group-name&<1-5> [ service object-group-name ] inside local-address [ local-port ] [ disable ] [ description text ] [ counting ]
undo nat server rule rule-name
nat server rule rule-name global { destination-ip object-group-name&<1-5> | service object-group-name }
undo nat server rule rule-name global { destination-ip object-group-name&<1-5> | service object-group-name }
【缺省情况】
不存在基于对象组的NAT内部服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name:NAT规则的名称,为1~63个字符的字符串,不区分大小写,不包括“-”、“%”,若要使用“\”或“"”,则必须在输入时使用转义操作符“\”。
global:指定服务器向外提供服务的外网信息。
destination-ip object-group-name&<1-5>:指定内部服务器地址向外提供服务的外网IP地址所属的地址对象组。object-group-name表示地址对象组的名称,为1~5个字符的字符串,不区分大小写,&<1-5>表示前面的参数可以输入1~5次。如果地址对象组的名称中包含空格,则必须在对象组名称两端加双引号,例如"a 1"。
service object-group-name:指定内部服务器向外提供的服务对象组。object-group-name表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。
inside:指定服务器的内网信息。
local-address:服务器的内网IP地址。
local-port:内部服务器的内网端口号,缺省值为0,可输入以下形式:
· 数字:取值范围为1~65535(FTP数据端口号20除外)。
· 协议名称:为1~15个字符的字符串,例如http、telnet等。
disable:禁用基于对象组的NAT内部服务器。
description text:配置NAT内部服务器的描述信息,text为1~63个字符的字符串,不区分大小写。
counting:NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
当存在多条基于对象组的NAT内部服务器规则时,报文会按照配置顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。不同的基于对象组的NAT内部服务器规则,可以引用相同的地址对象组或服务对象组。
只有创建了基于对象组的NAT内部服务器规则,才能通过nat server rule rule-name global destination-ip object-group-name命令或nat server rule rule-name global service object-group-name命令添加地址对象组或服务对象组,同时需要注意的是:
· 不能通过nat server rule rule-name global destination-ip object-group-name命令添加重复的地址对象组。基于对象组的NAT内部服务器规则中只引用了一个地址对象组时,不能通过undo nat server rule rule-name global destination-ip object-group-name命令删除该地址对象组。
· 如果基于对象组的NAT内部服务器规则中未指定内部服务器向外提供的服务对象组,可以通过nat server rule rule-name global service object-group-name命令指定内部服务器向外提供的服务对象组;否则,无法通过nat server rule rule-name global service object-group-name命令在此规则中指定内部服务器向外提供的服务对象组。
引用的对象组必须已经存在,否则配置将失败。
引用地址对象组时,仅支持IPv4地址对象组,且地址对象组中不能存在排除的IPv4地址。
引用的服务对象组中,只有服务对象组的协议类型是TCP或UDP时,配置的内部服务器的内网端口号才会生效。
最多可以创建4096条基于对象组的NAT内部服务器规则。
【举例】
# 在接口GigabitEthernet1/0/1上配置NAT内部服务器,其引用名称为a1、a2和a3的地址对象组来匹配内部服务器地址向外提供服务的外网IP地址,引用名称为b1的服务对象组来匹配内部服务器向外提供的服务端口。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server rule aaa global destination-ip a1 a2 a3 service b1 inside 1.1.1.1 80
# 在接口GigabitEthernet1/0/1上配置NAT内部服务器,其引用名称为a1的地址对象组来匹配内部服务器地址向外提供服务的外网IP地址,之后添加名称为a2、a3地址对象组和名称为b1服务对象组。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server rule aaa global destination-ip a1 inside 1.1.1.1 80
[Sysname-GigabitEthernet1/0/1] nat server rule aaa global destination-ip a1 a2 service b1
【相关命令】
· display nat all
· display nat server
nat server rule move命令用来调整基于ACL内部服务器NAT规则的匹配优先级。
【命令】
nat server rule move nat-rule-name1 { after | before } nat-rule-name2
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【参数】
nat-rule-name1:要移动的NAT规则的名称。
after:将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。
before:将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。
nat-rule-name2:要移动的NAT规则的名称。
【使用指导】
本命令仅对指定了NAT规则名称的基于ACL内部服务器NAT生效。
对于被移动到前面的NAT规则,设备将会优先进行匹配。
【举例】
# 将基于ACL内部服务器NAT规则abc移动到基于ACL内部服务器NAT规则def的前面。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat server rule move abc before def
【相关命令】
· nat server
nat server-group命令用来创建内部服务器组,并进入内部服务器组视图。如果指定的内部服务器组已经存在,则直接进入内部服务器组视图。
undo nat server-group命令用来删除指定的内部服务器组。
【命令】
nat server-group group-id
undo nat server-group group-id
【缺省情况】
不存在内部服务器组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:服务器组编号,取值范围为0~65535。
【使用指导】
一个内部服务器组中可以包括多个内部服务器组成员(通过inside ip命令配置)。
【举例】
# 配置一个内部服务器组,编号为1。
<Sysname> system-view
[Sysname] nat server-group 1
【相关命令】
· display nat all
· display nat server-group
· inside ip
· nat server
nat session create-rate enable命令用来开启新建NAT会话速率的统计功能。
undo nat session create-rate enable命令用来关闭新建NAT会话速率的统计功能。
【命令】
nat session create-rate enable
undo nat session create-rate enable
【缺省情况】
新建NAT会话速率的统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启新建NAT会话速率的统计功能后,设备会对新建NAT会话的速率进行统计,统计信息可以通过display nat statistics命令查看。
【举例】
# 开启新建NAT会话速率的统计功能。
<Sysname> system-view
[Sysname] nat session create-rate enable
【相关命令】
· display nat statistics
nat static blade-load-sharing-group命令用来为静态NAT指定负载分担组。
undo nat static blade-load-sharing-group命令用来恢复缺省情况。
【命令】
nat static blade-load-sharing-group group-name
undo nat static blade-load-sharing-group
【缺省情况】
没有为静态NAT指定负载分担组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:负载分担组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
指定负载分担组后,静态NAT配置(包括静态地址转换、NAT server和静态NAT444的配置)将流量引到指定负载分担组上。
指定的负载分担组必须已经存在。
【举例】
# 为静态NAT指定名字为Blade4fw-m90001的负载分担组。
<Sysname> system-view
[Sysname] nat static blade-load-sharing-group Blade4fw-m90001
nat static enable命令用来开启接口上的NAT静态地址转换功能。
undo nat static enable命令用来关闭接口上的NAT静态地址转换功能。
【命令】
nat static enable
undo nat static enable
【缺省情况】
NAT静态地址转换功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
接口下开启NAT静态地址转换功能后,所有已配置的静态地址转换映射都会在该接口上生效。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向一对一静态地址转换,并且在接口GigabitEthernet1/0/1上开启静态地址转换功能。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat static enable
【相关命令】
· display nat all
· display nat static
· nat static
· nat static net-to-net
nat static inbound命令用来配置入方向一对一静态地址转换映射。
undo nat static inbound命令用来删除指定的入方向一对一静态地址转换映射。
【命令】
nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]
undo nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ]
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
global-ip:外网IP地址。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
local-ip:内网IP地址。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
acl:指定ACL的编号或名称,本参数用于控制指定源地址的内网主机可以访问外网。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\\”、“/”、“:”、“*”、“?”、“\”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
对于从外网到内网的报文,将其源地址global-ip转换为local-ip;对于从内网到外网的报文,将其目的地址local-ip转换为global-ip。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条入方向静态地址转换映射(包括nat static inbound和nat static inbound net-to-net)。
在VPN组网中,配置入方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于引用了ACL的入方向一对一静态地址转换映射,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置外网IP地址2.2.2.2到内网IP地址192.168.1.1的入方向静态地址转换。
<Sysname> system-view
[Sysname] nat static inbound 2.2.2.2 192.168.1.1
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static inbound net-to-net命令用来配置入方向网段到网段的静态地址转换映射。
undo nat static inbound net-to-net命令用来删除指定的入方向网段到网段的静态地址转换映射。
【命令】
nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]
undo nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ]
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
global-start-address global-end-address:外网地址范围,所包含的地址数目不能超过255。global-start-address表示起始地址,global-end-address表示结束地址。global-end-address必须大于或等于global-start-address,如果二者相同,则表示只有一个地址。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
local-network:内网网段地址。
mask-length:内网网络地址的掩码长度,取值范围为8~31。
mask:内网网络地址掩码。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
acl:指定ACL的编号或名称,本参数用于控制指定源地址的内网主机可以访问外网。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
外网网段通过起始地址和结束地址来指定,内网网段通过内网地址和掩码来指定。
对于从外网到内网的报文,使用其源地址匹配外网地址,将源地址转换为内网地址;对于从内网到外网的报文,使用其目的地址匹配内网地址,将目的地址转换为外网地址。
外网结束地址不能大于外网起始地址和内网掩码所决定的网段中的最大IP地址。比如:内网地址配置为2.2.2.0,掩码为255.255.255.0,外网起始地址为1.1.1.100,则外网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网到外网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网到外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备支持配置多条入方向静态地址转换映射(包括nat static inbound和nat static inbound net-to-net)。
在VPN组网中,配置入方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于引用了ACL的入方向网段到网段的静态地址转换映射,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置外网网段202.100.1.0/24到内网网段192.168.1.0/24的入方向静态地址转换。
<Sysname> system-view
[Sysname] nat static inbound net-to-net 202.100.1.1 202.100.1.255 local 192.168.1.0 24
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static inbound object-group命令用来配置基于对象组的入方向静态地址转换映射。
undo nat static inbound object-group命令用来删除指定的基于对象组的入方向静态地址转换映射。
【命令】
nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ] [ counting ]
undo nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ]
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group global-object-group-name:外网IPv4地址对象组。global-object-group-name表示IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN。
object-group local-object-group-name:内网IPv4地址对象组。local-object-group-name表示IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN。
acl:指定ACL的编号或名称,本参数用于控制指定访问范围的报文可以使用NAT规则进行地址转换。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
外网地址通过外网IPv4地址对象组来指定,内网地址通过内网IPv4地址对象组来指定。
对于从外网到内网的报文,使用其源地址匹配外网地址,将源地址转换为内网地址;对于从内网到外网的报文,使用其目的地址匹配内网地址,将目的地址转换为外网地址。
指定引用的object-group时,需要注意:
· 内网IPv4地址对象组和外网IPv4地址对象组内只能存在一个IPv4地址对象。
· 内网IPv4地址对象组内地址数应不小于外网IPv4地址对象组。
· 内网IPv4地址对象组的地址对象不能是地址范围。
· 如果接口上配置的基于地址对象组的入方向静态地址转换所引用的内网IPv4地址对象组中配置了主机对象,那么该主机对象的IP地址不能与该接口的IP地址处于同一网段。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条入方向静态地址转换映射(包括nat static inbound、nat static inbound net-to-net和nat static inbound object-group)。
在VPN组网中,配置入方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
基于地址对象组的入方向静态地址转换引用的IPv4地址对象组中,只能存在一个主机对象(host)或者一个子网对象(subnet),否则引用不生效。
【举例】
# 配置外网IP地址2.2.2.2到内网IP地址192.168.1.1基于对象组的入方向静态地址转换。
<Sysname> system-view
[Sysname] object-group ip address global
[Sysname-obj-grp-ip-global] network host address 2.2.2.2
[Sysname-obj-grp-ip-global] quit
[Sysname] object-group ip address local
[Sysname-obj-grp-ip-local] network host address 192.168.1.1
[Sysname-obj-grp-ip-local] quit
[Sysname] nat static inbound object-group global object-group local
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static inbound rule move命令用来调整入方向一对一静态NAT规则的匹配优先级。
【命令】
nat static inbound rule move nat-rule-name1 { after | before } nat-rule-name2
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
nat-rule-name1:要移动的NAT规则的名称。
after:将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。
before:将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。
nat-rule-name2:要移动的NAT规则的名称。
【使用指导】
本命令仅对指定了NAT规则名称的入方向一对一静态NAT生效。
对于被移动到前面的NAT规则,设备将会优先进行匹配。
【举例】
# 将入方向一对一静态NAT规则abc移动到入方向一对一静态NAT规则def的前面。
<Sysname> system-view
[Sysname] nat static inbound rule move abc before def
【相关命令】
· nat static inbound
nat static outbound命令用来配置出方向一对一静态地址转换映射。
undo nat static outbound命令用来删除出方向一对一静态地址转换映射。
【命令】
nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]
undo nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ]
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
local-ip:内网IP地址。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
global-ip:外网IP地址。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
acl:指定ACL的编号或名称,本参数用于控制内网主机可以访问的目的地址。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
对于从内网到外网的报文,将其源地址local-ip转换为global-ip;对于从外网到内网的报文,将其目的地址global-ip转换为local-ip。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound和nat static outbound net-to-net)。
在VPN组网中,配置出方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于引用了ACL的出方向一对一静态地址转换映射,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
# 配置出方向静态地址转换映射,允许内网用户192.168.1.1访问外网网段3.3.3.0/24时,使用外网IP地址2.2.2.2。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound 192.168.1.1 2.2.2.2 acl 3001
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static outbound net-to-net命令用来配置出方向网段到网段的静态地址转换映射。
undo nat static outbound net-to-net命令用来删除出方向网段到网段的静态地址转换映射。
【命令】
nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ]
undo nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ]
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
local-start-address local-end-address:内网地址范围,所包含的地址数目不能超过255。local-start-address 表示起始地址,local-end-address表示结束地址。local-end-address必须大于或等于local-start-address,如果二者相同,则表示只有一个地址。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
global-network:外网网段地址。
mask-length:外网网络地址的掩码长度,取值范围为8~31。
mask:外网网络地址掩码。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
acl:指定ACL的编号或名称,本参数用于控制内网主机可以访问的目的地址。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
内网网段通过起始地址和结束地址来指定,外网网段通过外网地址和掩码来指定。
对于从内网到外网的报文,使用其源地址匹配内网地址,将源地址转换为外网地址;对于从外网到内网的报文,使用其目的地址匹配外网地址,将目的地址转换为内网地址。
内网结束地址不能大于内网起始地址和外网掩码所决定的网段中的最大IP地址。比如:外网地址配置为2.2.2.0,掩码为255.255.255.0,内网起始地址为1.1.1.100,则内网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound和nat static outbound net-to-net)。
在VPN组网中,配置出方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
对于引用了ACL的出方向网段到网段的静态地址转换映射,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 配置内网网段192.168.1.0/24到外网网段2.2.2.0/24的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
# 配置出方向网段到网段的静态地址转换映射,允许内网192.168.1.0/24网段的用户访问外网网段3.3.3.0/24时,使用外网网段2.2.2.0/24中的地址。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24 acl 3001
【相关命令】
· display nat all
· display nat static
· nat static enable
nat static outbound object-group命令用来配置基于对象组的出方向静态地址转换映射。
undo nat static outbound object-group命令用来删除指定基于对象组的出方向静态地址转换映射。
【命令】
nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ] [ counting ]
undo nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ]
【缺省情况】
不存在地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group local-object-group-name:内网IPv4地址对象组。local-object-group-name表示IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN。
object-group global-object-group-name:外网IPv4地址对象组。global-object-group-name表示IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN。
acl:指定ACL的编号或名称,本参数用于控制指定访问范围的报文可以使用NAT规则进行地址转换。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
【使用指导】
内网地址通过内网IPv4地址对象组来指定,外网地址通过外网IPv4地址对象组来指定。
对于从内网到外网的报文,使用其源地址匹配内网地址,将源地址转换为外网地址;对于从外网到内网的报文,使用其目的地址匹配外网地址,将目的地址转换为内网地址。
指定引用的object-group时,需要注意:
· 内网IPv4地址对象组和外网IPv4地址对象组内只能存在一个IPv4地址对象。
· 内网IPv4地址对象组内地址数应不大于外网IPv4地址对象组。
· 外网IPv4地址对象组的地址对象不能是地址范围。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound、nat static outbound net-to-net和nat static outbound object-group)。
在VPN组网中,配置出方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
基于地址对象组的出方向静态地址转换引用的IPv4地址对象组中,只能存在一个主机对象(host)或者一个子网对象(subnet),否则引用不生效。
【举例】
# 配置基于对象组的出方向静态地址转换映射,允许内网用户192.168.1.1访问外网网段3.3.3.0/24时,使用外网IP地址2.2.2.2。
<Sysname> system-view
[Sysname] object-group ip address global
[Sysname-obj-grp-ip-global] network host address 2.2.2.2
[Sysname-obj-grp-ip-global] quit
[Sysname] object-group ip address local
[Sysname-obj-grp-ip-local] network host address 192.168.1.1
[Sysname-obj-grp-ip-local] quit
[Sysname] nat static outbound object-group local object-group global
【相关命令】
· display nat all
· display nat static
nat static outbound rule move命令用来调整出方向一对一静态NAT规则的匹配优先级。
【命令】
nat static outbound rule move nat-rule-name1 { after | before } nat-rule-name2
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
nat-rule-name1:要移动的NAT规则的名称。
after:将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。
before:将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。
nat-rule-name2:要移动的NAT规则的名称。
【使用指导】
本命令仅对指定了NAT规则名称的出方向一对一静态NAT生效。
对于被移动到前面的NAT规则,设备将会优先进行匹配。
【举例】
# 将出方向一对一静态NAT规则abc移动到出方向一对一NAT规则def的前面。
<Sysname> system-view
[Sysname] nat static outbound rule move abc before def
【相关命令】
· nat static outbound
nat static-load-balance enable命令用来开启静态NAT在多个业务引擎上进行负载分担的功能。
undo nat static-load-balance enable命令用来关闭静态NAT在多个业务引擎上进行负载分担的功能。
【命令】
nat static-load-balance enable
undo nat static-load-balance enable
【缺省情况】
静态NAT在多个业务引擎上进行负载分担的功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,设备会将静态NAT的处理分担到不同的业务引擎上,以均衡各个业务引擎上的负载。如果关闭本功能,则所有静态NAT都由主业务引擎来处理,可能会导致主业务引擎负载过重。
开启或关闭本功能时,需要执行reset nat session和reset session table命令,以保证本功能正常运行。删除会话表项会造成业务中断,请谨慎使用本功能。
【举例】
# 开启静态NAT在多个业务引擎上进行负载分担的功能。
<Sysname> system-view
[Sysname] nat static-load-balance enable
nat timestamp delete命令用来开启对TCP SYN和SYN ACK报文中时间戳的删除功能。
undo nat timestamp delete命令用来恢复缺省情况。
【命令】
nat timestamp delete [ vpn-instance vpn-instance-name ]
undo nat timestamp delete [ vpn-instance vpn-instance-name ]
【缺省情况】
不对TCP SYN和SYN ACK报文中的时间戳进行删除处理。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance vpn-instance-name:表示TCP SYN和SYN ACK报文所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示TCP SYN和SYN ACK报文属于公网。
【使用指导】
开启本功能后,未指定VPN参数时,系统会把动态地址转换后的公网上TCP SYN和SYN ACK报文中的时间戳删除;指定VPN参数时,系统会把动态地址转换后的指定VPN中TCP SYN和SYN ACK报文中的时间戳删除。
在PAT方式的动态地址转换(即接口上配置了nat inbound或nat outbound命令)组网环境中,若服务器上同时开启了tcp_timestams和tcp_tw_recycle功能,则Client与Server之间可能会出现无法建立TCP连接的现象。
为了解决以上问题,可在服务器上关闭tcp_tw_recycle功能或在设备上开启对TCP SYN和SYN ACK报文中时间戳的删除功能。
多次执行本命令,可为不同VPN中的报文开启此功能。
【举例】
# 开启对公网上TCP SYN和SYN ACK报文中时间戳的删除功能。
<Sysname> system-view
[Sysname] nat timestamp delete
# 开启对名称为aa的VPN中TCP SYN和SYN ACK报文中时间戳的删除功能。
<Sysname> system-view
[Sysname] nat timestamp delete vpn-instance aa
【相关命令】
· nat outbound
· nat inbound
outbound-interface命令用来指定NAT规则的出接口。
undo outbound-interface命令用来恢复缺省情况。
【命令】
outbound-interface interface-type interface-number
undo outbound-interface
【缺省情况】
未指定NAT规则的出接口。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface-type interface-number:指定出接口的接口类型和接口编号。
【使用指导】
配置本命令后,将对接口出方向上的报文应用NAT规则。
【举例】
# 将名为aaa的NAT规则的出接口指定为GigabitEthernet1/0/2。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] outbound-interface gigabitethernet 1/0/2
【相关命令】
· display nat all
· display nat policy
port-block命令用来配置NAT地址组的端口块参数。
undo port-block命令用来恢复缺省情况。
【命令】
port-block block-size block-size [ extended-block-number extended-block-number ]
undo port-block
【缺省情况】
未配置NAT地址组的端口块参数。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-size block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~65535 。同一NAT地址组内,该参数的值不能超过port-range参数的值。
extended-block-number extended-block-number:增量端口块数,取值范围为1~5。当分配端口块中的端口资源耗尽(所有端口都被使用)时,如果对应的私网IP地址向公网发起新的连接,则无法从分配端口块中获取端口。此时,如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数,则可以为对应的私网IP地址进行增量端口块分配。一个私网IP地址最多可同时占有1+extended-block-number个端口块。
【使用指导】
端口块动态映射方式下,配置出方向地址转换所引用的NAT地址组中必须配置端口块参数。当某私网IP地址首次向公网发起连接时,从所匹配的NAT地址组中获取一个公网IP地址,从获取的公网IP地址中分配一个动态端口块并创建动态端口块表项(该私网IP地址后续向公网发起连接时,通过私网IP地址查找动态端口块表项),使用公网IP地址进行IP地址转换,并从端口块中动态分配一个端口进行TCP/UDP端口转换。
【举例】
# 配置NAT地址组2的端口块参数,端口块大小为256,增量端口块数为1。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] port-block block-size 256 extended-block-number 1
【相关命令】
· nat address-group
port-range命令用来配置公网IP地址的端口范围。
undo port-range命令用来恢复缺省情况。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情况】
公网IP地址的端口范围为1~65535。
【视图】
NAT地址组视图
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-port-number end-port-number:公网IP地址端口的起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值,避免出现应用协议识别错误的问题。
【使用指导】
在NAT地址组(或NAT端口块组)视图下配置端口范围后,该NAT地址组(或NAT端口块组)内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内。
在NAT端口块组内配置端口范围时,端口范围不能小于端口块大小。在NAT地址组内配置端口范围时,如果地址组配置了端口块参数,则端口范围也不能小于端口块大小。
【举例】
# 配置NAT地址组1的公网IP地址端口范围为1024~65535。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-range 1024 65535
# 配置NAT端口块组1的公网IP地址端口范围为30001~65535。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] port-range 30001 65535
【相关命令】
· nat address-group
· nat port-block-group
probe命令用来指定NAT地址组中地址成员的检测方法。
undo probe命令用来取消NAT地址组中地址成员的检测方法。
【命令】
probe template-name
undo probe template-name
【缺省情况】
未指定NAT地址组中地址成员的检测方法。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
template-name:检测方法所使用的NQA模板名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
NAT地址池检测功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的,详细过程如下:
(1) 引用NQA探测模板后,设备会周期性的向NQA模板中指定的目的地址依次发送探测报文,其中探测报文的源IP地址是地址池中的IP地址。
(2) 若设备没有收到NQA探测应答报文,则将探测报文的源IP地址从地址池中排除,暂时禁止该IP地址用于地址转换。
(3) 被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测,如果收到回应报文,则允许该IP地址重新用于地址转换。
可通过重复执行本命令为NAT地址组配置多个NQA探测模板。当配置多个NQA探测模板时,只要有一个NQA探测模板探测成功,则表示该地址可用于地址转换。
请使用nqa template命令创建检测方法所使用的NQA模板,但该模板不能配置源IP地址。
【举例】
# 创建ICMP类型的NQA模板t4,并将其指定为NAT地址组1的检测方法。
<Sysname> system-view
[Sysname] nqa template icmp t4
[Sysname-nqatplt-icmp-t4] quit
[Sysname] nat address-group 1
[Sysname-lb-lgroup-lg] probe t4
【相关命令】
· display nat probe address-group
· nqa template(网络管理和监控命令参考/NQA)
reset nat count statistics命令用来清除NAT转换计数信息。
【命令】
reset nat count statistics { all | dynamic | server | static | static-port-block }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:清除所有NAT转换计数信息。
dynamic:清除所有动态NAT转换计数信息。
server:清除NAT server转换计数信息。
static:清除所有静态NAT转换计数信息。
static-port-block:清除NAT444端口块静态映射转换计数信息。
【举例】
# 清除所有静态NAT转换计数信息。
<Sysname> reset nat count statistics all
【相关命令】
· display nat inbound
· display nat outbound
· display nat outbound port-block-group
· display nat port-block
· display nat static
· display nat server
reset nat dynamic-load-balance命令用来重新在多个NAT业务引擎上进行动态NAT(包括动态地址转换和动态NAT444)的负载分担。
【命令】
reset nat dynamic-load-balance [ address-group group-id ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-group group-id:重新对指定地址池的动态NAT进行负载分担。group-id为地址池的编号,取值范围为0~65535。如果未指定本参数,则重新对所有动态NAT进行负载分担。
【使用指导】
执行本命令后,会造成流量的暂时中断,请谨慎使用本命令。
执行本命令后,设备会综合考虑当前所有的动态NAT配置(包括动态地址转换和动态NAT444的配置)或指定地址池的动态NAT配置,重新将动态NAT的处理分担到不同的NAT业务引擎上,以均衡各个NAT业务引擎上的负载。
执行本命令后,会造成流量的暂时中断,请谨慎使用本命令。
【举例】
# 配置重新在多个NAT业务引擎上进行动态NAT的负载分担。
<Sysname> reset nat dynamic-load-balance
reset nat periodic-statistics命令用来清除NAT定时统计功能的计数信息。
【命令】
(独立运行模式)
reset nat periodic-statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset nat periodic-statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:清除指定单板上NAT定时统计功能的计数信息,slot-number表示单板所在槽位号。不指定该参数时,将清除所有单板上NAT定时统计功能的计数信息。(独立运行模式)
chassis chassis-number slot slot-number:清除NAT定时统计功能的计数信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,将所有成员设备的所有单板上NAT定时统计功能的计数信息。(IRF模式)
cpu cpu-number:清除指定CPU上NAT定时统计功能的计数信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除指定slot上NAT定时统计功能的计数信息。(独立运行模式)
<Sysname> reset nat periodic-statistics slot 1
【相关命令】
· display nat periodic-statistics
reset nat session命令用来删除NAT会话。
【命令】
(独立运行模式)
reset nat session [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset nat session [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:删除指定单板上的NAT会话,slot-number表示单板所在的槽位号。如果不指定该参数,则表示删除所有单板上的NAT会话。(独立运行模式)。
chassis chassis-number slot slot-number:删除指定成员设备上指定单板的NAT会话,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定该参数,则表示删除所有成员设备的所有单板上的NAT会话。(IRF模式)
cpu cpu-number:删除指定CPU上的NAT会话,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
NAT会话被删除之后,与其相关的NAT EIM表和NO-PAT表也会同时删除。
【举例】
# 删除指定slot上的NAT会话。(独立运行模式)
<Sysname> reset nat session slot 1
【相关命令】
· display nat session
reset nat static-load-balance命令用来重新在多个NAT业务引擎上进行静态NAT(包括静态地址转换、NAT server和静态NAT444)的负载分担。
【命令】
reset nat static-load-balance
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
执行本命令后,会造成流量的暂时中断,请谨慎使用本命令。
执行本命令后,设备会综合考虑当前的所有静态NAT配置(包括静态地址转换、NAT server和静态NAT444的配置),重新将静态NAT的处理分担到不同的NAT业务引擎上,以均衡各个NAT业务引擎上的负载。
执行本命令后,会造成流量的暂时中断,请谨慎使用本命令。
【举例】
# 配置重新在多个NAT业务引擎上进行静态NAT的负载分担。
<Sysname> reset nat static-load-balance
rule move命令用来修改NAT规则的优先级顺序。
【命令】
rule move rule-name1 { after | before } [ rule-name2 ]
【视图】
接口NAT策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name1:待移动的NAT规则的名称,为1~63个字符的字符串,不区分大小写。
after:将待移动规则后置,即将规则rule-name1移动到规则rule-name2后面。
before:将待移动规则前置,即将规则rule-name1移动到规则rule-name2前面。
rule-name2:待移动的NAT规则的参照规则,为1~63个字符的字符串,不区分大小写。如果不指定本参数,那么:
· NAT规则的移动方式为after时,rule-name1将被排到优先级最低的位置。
· NAT规则的移动方式为before时,rule-name1将被排到优先级最高的位置。
【举例】
# 将NAT规则aaa移动到NAT规则bbb前。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule move aaa before bbb
【相关命令】
· display nat all
· display nat policy
rule name命令用来创建NAT规则,并进入NAT规则视图。如果指定的NAT规则已经存在,则直接进入NAT规则视图。
undo rule name命令用来删除指定的NAT规则。
【命令】
rule name rule-name
undo rule name rule-name
【缺省情况】
不存在NAT规则。
【视图】
接口NAT策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name:表示NAT规则的名称,为1~63个字符的字符串,不区分大小写,不能包括“-”、“%”,若要使用“\”或“"”,则必须在输入时使用转义操作符“\”。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
【使用指导】
NAT规则的匹配优先级由配置顺序决定,先配置的优先级高。可以通过rule move命令移动规则的位置来调整规则的配置顺序。实际生效的匹配顺序可通过display nat policy命令查看。
接口NAT策略下,最多可以创建4096条NAT规则。
【举例】
# 配置名为aaa的NAT规则,并进入该NAT规则视图。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa]
【相关命令】
· display nat all
· display nat policy
· rule move
service命令用来配置NAT规则引用的服务对象组。
undo service命令用来删除NAT规则引用的服务对象组。
【命令】
service object-group-name
undo service [ object-group-name ]
【缺省情况】
NAT规则中不存在服务对象组。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:指定NAT规则引用的服务对象组,object-group-name表示服务对象组的名称,为1~63个字符的字符串,不区分大小写。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
【使用指导】
设备会使用NAT规则中的过滤条件对经过本设备的报文进行过滤,NAT设备仅对匹配过滤条件的报文进行地址转换。
引用的服务对象组必须已经存在,否则配置将失败。
执行undo service命令时可以不指定任何参数,表示删除此规则引用的所有服务对象组。
同一NAT规则下可引用多个服务对象组,最多不能超过256个。
【举例】
# 在接口NAT策略中配置NAT规则aaa引用名为service1、service2和service3的服务对象组。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] service service1
[Sysname-nat-policy-rule-aaa] service service2
[Sysname-nat-policy-rule-aaa] service service3
【相关命令】
· display nat all
· display nat policy
· object-group(安全命令参考/对象组)
source-ip命令用来配置NAT规则中用于匹配报文源IP地址的过滤条件。
undo source-ip命令用来删除NAT规则中用于匹配报文源IP地址的过滤条件。
【命令】
source-ip object-group-name
undo source-ip [ object-group-name ]
【缺省情况】
NAT规则中不存在用于匹配报文源IP地址的过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:指定NAT规则引用的源地址对象组,object-group-name表示源地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
【使用指导】
引用的地址对象组必须已经存在,否则配置将失败。
执行undo source-ip命令时可以不指定任何参数,表示删除此规则中所有用于匹配报文源IP地址的过滤条件。
同一NAT规则可引用多个源地址对象组,最多不能超过256个。同一NAT规则中可配置多个进行匹配报文源IP地址的配置,匹配报文源IP地址最多不能超过256个。
source-ip object-group-name命令和source-ip host ip-address命令相互覆盖,即后执行的配置覆盖之前的配置。
【举例】
# 在接口NAT策略中配置NAT规则aaa引用名为srcIP1、srcIP2和srcIP3的源地址对象组。
<Sysname> system
[Sysname] nat policy
[Sysname-nat-policy] rule name aaa
[Sysname-nat-policy-rule-aaa] source-ip srcip1
[Sysname-nat-policy-rule-aaa] source-ip srcip2
[Sysname-nat-policy-rule-aaa] source-ip srcip3
【相关命令】
· display nat all
· display nat policy
· object-group(安全命令参考/对象组)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
