- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-NAT命令
本章节下载: 05-NAT命令 (293.98 KB)
目 录
1.1.1 connection-limit default action
1.1.2 connection-limit default amount
1.1.4 display connection-limit policy
1.1.5 display connection-limit statistics
1.1.6 display connection-limit statistics vpn-instance
1.1.7 display nat address-group
1.1.11 display nat connection-limit
1.1.22 nat connection-limit-policy
1.1.24 nat link-down reset-session enable
1.1.34 reset userlog nat export
1.1.35 reset userlog nat logbuffer
1.1.36 userlog nat export host
1.1.37 userlog nat export source-ip
1.1.38 userlog nat export version
· 配置了本地策略路由或接口策略路由后,不支持配置NAT。有关策略路由的详细介绍请参见“三层技术-IP路由配置指导”中的“策略路由”。
· 设备支持两种运行模式:独立运行模式和IRF模式,缺省情况下为独立运行模式。有关IRF模式的介绍,请参见“IRF配置指导”中的“IRF”。
【命令】
connection-limit default action { deny | permit }
undo connection-limit default action [ permit ]
【视图】
连接限制策略视图
【缺省级别】
2:系统级
【参数】
deny:禁止对用户连接进行统计和限制。
permit:允许对用户连接进行统计和限制。
【描述】
connection-limit default action命令用来设置缺省连接限制动作,即对于在连接限制策略规则中未指定的连接是否进行统计和限制。undo connection-limit default action命令用来恢复缺省情况。
缺省情况下,不对用户连接进行统计和限制。
【举例】
#设置缺省的连接限制动作为permit,即允许对连接进行统计和限制。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connection-limit-policy-1] connection-limit default action permit
【命令】
connection-limit default amount upper-limit max-amount lower-limit min-amount
undo connection-limit default amount [ upper-limit max-amount lower-limit min-amount ]
【视图】
连接限制策略视图
【缺省级别】
2:系统级
【参数】
upper-limit max-amount:指定连接数上限值。取值范围为:1~4294967295。
lower-limit min-amount:指定连接数下限值。取值范围为:0~4294967294。min-amount应小于max-amount。
【描述】
connection-limit default amount命令用来设置缺省连接限制参数。undo connection-limit default amount命令用来恢复缺省情况。缺省情况下,upper-limit为512,lower-limit为256。
【举例】
# 设置缺省连接数上限值为200,下限值为50。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connection-limit-policy-1] connection-limit default amount upper-limit 200 lower-limit 50
【命令】
connection-limit policy policy-number
undo connection-limit policy { policy-number | all }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-number:连接限制策略编号,取值范围为0~19。
all:表示所有的连接限制策略。
【描述】
connection-limit policy命令用来创建或编辑一个连接限制策略,并进入连接限制策略视图。undo connection-limit policy命令用来删除一个或全部连接限制策略。
需要注意的是:
· 一个连接限制策略由一系列的连接限制规则组成,在规则中指明了对指定用户的连接数进行限制。缺省情况下,策略采用缺省的连接限制参数。
· 创建一个连接限制策略需要指定策略的编号,此编号用来唯一标识此策略。策略匹配按照编号从大到小顺序匹配。
· 如果连接限制策略已应用于NAT模块,则不允许修改策略中已配置的连接限制规则,但可以在该策略中添加或删除连接限制规则。
· 如果连接限制策略已经在系统视图下被应用,则不允许修改、添加或删除策略中已经配置的连接限制规则。
【举例】
# 创建策略编号为1的连接限制策略,并进入连接限制策略视图。
<Sysname> system-view
[Sysname] connection-limit policy 1
[Sysname-connection-limit-policy-1]
【命令】
display connection-limit policy { policy-number | all } [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
policy-number:显示指定编号的连接限制策略。
all:显示所有的策略。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection-limit policy命令用来显示用户当前配置的连接限制策略。
【举例】
# 显示所有已配置策略。
<Sysname> display connection-limit policy all
There is 1 policy:
Connection-limit policy 1, refcount 0 ,3 limits
limit 1 acl 2000 per-source amount 1111 10
limit 2 acl 2001 per-destination amount 300 20
limit 3 acl 2002 per-service amount 400 50
# 显示所有已配置策略。
<Sysname> display connection-limit policy all
There are 2 policies:
Connection-limit policy 0, refcount 1, 2 limits
limit 0 source any amount dns 100 http 200 tcp 300 other 400 rate 100 shared
limit 1 source 1.1.1.0 24 amount tcp 100 bandwidth 200 shared
Connection-limit policy 1, refcount 0, 1 limit
limit 4500 source 2.2.0.0 16 amount dns 200
表1-1 display connection-limit policy all命令显示信息描述表
|
字段 |
描述 |
|
Connection-limit policy |
连接限制策略编号 |
|
refcount 1, 2 limits |
策略被引用的次数及策略中包含的规则数目 |
|
limit |
策略下配置的连接限制规则,规则的具体含义请参考连接限制策略视图下的命令limit |
【命令】
display connection-limit statistics [ source src-address { mask-length | mask } ] [ destination dst-address { mask-length | mask } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
source src-address:显示指定源地址的连接限制统计信息。
destination dst-address:显示指定目的地址的连接限制统计信息。
mask-length:网络掩码的长度,取值范围为1~32。
mask:网络掩码。
destination-port:按目的端口显示连接限制统计信息。
{ eq | gt | lt | neq | range }:表示限定端口范围的条件,包括以下几项:
· eq:表示等于指定的端口号;
· gt:表示大于指定的端口号;
· lt:表示小于指定的端口号;
· neq:表示不等于指定的端口号;
· range:表示指定端口号范围。
port-number:表示端口号,取值范围为0~65535。参数为range时,port-number为<start-port,end-port>表示的一个端口范围,需要先后输入start-port和end-port,且start-port不能大于end-port。
vpn-instance vpn-instance-name:指定用户连接所属的MPLS VPN实例。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示待查询连接统计的用户属于公网,不属于某一个MPLS VPN实例。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection-limit statistics命令用来显示连接限制统计信息。
【举例】
# 显示所有连接限制统计信息。
<Sysname> display connection-limit statistics
source-ip dest-ip dest-port vpn-instance
192.168.0.210 --- --- ---
--------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
2 200 100 0
表1-2 display connection-limit statistics命令显示信息描述表
|
字段 |
描述 |
|
source-ip |
源IP地址,为“---”时表示连接中无该信息 |
|
dest-ip |
目的IP地址,为“---”时表示连接中无该信息 |
|
dest-port |
目的端口号,为“---”时表示连接中无该信息 |
|
vpn-instance |
用户连接所属MPLS VPN实例名,为“---”时表示连接不属于任何MPLS VPN实例 |
|
amount |
当前用户的实际连接数 |
|
upper-limit |
用户可建连接数上限值 |
|
lower-limit |
用户可建连接数下限值 |
|
limit-flag |
新连接是否还能建立标志,为0时可以再建,为1时不能再建 |
【命令】
display connection-limit statistic [ vpn-instance vpn-instance-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
vpn-instance vpn-instance-name:指定用户连接所属的MPLS VPN实例。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,则表示查询所有VPN域及非VPN域的连接统计信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display connection-limit statistics vpn-instance命令用来显示VPN私网的连接限制统计信息。
【举例】
# 显示vpn1私网的连接限制统计信息。
<Sysname> display connection-limit statistics vpn-instance vpn1
VPN-instance Amount
vpn1 500
表1-3 display connection-limit statistic vpn-instance命令显示信息描述表
|
字段 |
描述 |
|
VPN-instance |
MPLS VPN实例名,public表示非VPN用户 |
|
Amount |
连接数统计信息 |
【命令】
display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
【缺省级别】
1:监控级
【参数】
group-number:表示地址池索引号。取值范围为0~31。如果不设定该值,则表示显示所有NAT地址池的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat address-group命令用来显示NAT地址池的信息。
相关配置可参考命令nat address-group。
【举例】
<Sysname> display nat address-group
NAT address-group information:
There are currently 2 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
2 : from 202.110.10.20 to 202.110.10.25
# 显示索引号为1的NAT地址池信息。
<Sysname> display nat address-group 1
NAT address-group information:
1 : from 202.110.10.10 to 202.110.10.15
表1-4 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
显示NAT地址池信息 |
|
There are currently 2 nat address-group(s) |
存在两条NAT地址池信息 |
|
1 : from 202.110.10.10 to 202.110.10.15 |
1号地址池的IP地址范围为202.110.10.10到202.110.10.15 |
【命令】
display nat aging-time [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat aging-time命令用来显示地址转换表项的有效时间。
相关配置可参考命令nat aging-time。
【举例】
# 显示地址转换表项有效时间。
<Sysname> display nat aging-time
NAT aging-time value information:
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 60 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
no-pat ---- aging-time value is 240 (seconds)
表1-5 display nat aging-time命令显示信息描述表
|
字段 |
描述 |
|
NAT aging-time value information |
显示各个协议的NAT转换有效时间 |
|
tcp |
TCP协议地址转换有效时间 |
|
udp |
UDP协议地址转换有效时间 |
|
icmp |
ICMP协议地址转换有效时间 |
|
pptp |
PPTP协议地址转换有效时间 |
|
dns |
DNS协议地址转换有效时间 |
|
tcp-fin |
TCP 协议fin 或 rst连接地址转换有效时间 |
|
tcp-syn |
TCP 协议syn连接地址转换有效时间 |
|
ftp-ctrl |
FTP协议控制链路地址转换有效时间 |
|
ftp-data |
FTP协议数据链路地址转换有效时间300秒 |
|
no-pat |
NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间 |
【命令】
display nat all [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat all命令用来显示所有的NAT配置信息。
【举例】
# 显示所有的关于地址转换的配置信息。
<Sysname> display nat all
NAT address-group information:
There are currently 1 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: Vlan-interface20
Direction: outbound ACL: 2009 Address-group: 1 NO-PAT: N
NAT server in private network information:
There are currently 1 internal server(s)
Interface: Vlan-interface11, Protocol: 6(tcp)
Global: 5.5.5.5 : 80(www)
Local : 192.1.1.1 : 80(www)
NAT static information:
There are currently 1 NAT static configuration(s)
single static:
Local-IP : 1.1.1.1
Global-IP : 2.2.2.2
Local-VPN : ---
NAT static enabled information:
Interface Direction
Vlan-interface14 out-static
NAT aging-time value information:
tcp ---- aging-time value is 86400 (seconds)
udp ---- aging-time value is 300 (seconds)
icmp ---- aging-time value is 60 (seconds)
pptp ---- aging-time value is 86400 (seconds)
dns ---- aging-time value is 60 (seconds)
tcp-fin ---- aging-time value is 60 (seconds)
tcp-syn ---- aging-time value is 60 (seconds)
ftp-ctrl ---- aging-time value is 7200 (seconds)
ftp-data ---- aging-time value is 300 (seconds)
NAT log information:
log enable : enable
flow-begin : enable
flow-active : 40(minutes)
# 显示所有的关于地址转换的配置信息。
<Sysname> display nat all
NAT address-group information:
There are currently 2 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
2 : from 202.110.10.20 to 202.110.10.25
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: Vlan-interface15
Direction: outbound ACL: 2036 Address-group: --- NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
NAT server in private network information:
There are currently 1 internal server(s)
Interface: Vlan-interface10, Protocol: 6(tcp)
Global: 50.1.1.1 : 23(telnet)
Local : 192.168.10.15 : 23(telnet)
NAT static information:
NAT static information:
There are currently 1 NAT static configuration(s)
single static:
Local-IP : 20.0.0.100
Global-IP : 10.0.0.100
Local-VPN :
NAT static enabled information:
Interface Direction
Vlan-interface12 out-static
表1-6 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
NAT地址池信息 |
|
There are currently 1 nat address-group(s) |
存在1条NAT地址池信息,具体显示信息字段的描述请参见命令display nat address-group |
|
NAT bound information |
内部地址和外部地址的转换配置信息,具体显示信息字段的描述请参见命令display nat bound |
|
There are currently 1 nat bound rule(s) |
存在1条地址转换关联信息 |
|
NAT server in private network information |
内部服务器信息,具体显示信息字段的描述请参见命令display nat server |
|
There are currently 1 internal server(s) |
存在1条内部服务器信息 |
|
NAT static information |
静态地址转换信息,具体显示信息字段的描述请参见命令display nat static |
|
There are currently 1 NAT static configuration(s) |
存在2条静态转换表项 |
|
NAT static enabled information |
接口静态地址转换的使能的信息,具体显示信息字段的描述请参见命令display nat static |
|
NAT aging-time value information |
地址转换连接的有效时间信息,具体显示信息字段的描述请参见命令display nat aging-time |
|
NAT log information |
日志配置信息,具体显示信息字段的描述请参见命令display nat log |
【命令】
display nat bound [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat bound命令用来显示地址转换关联的配置信息。
相关配置可参考命令nat outbound。
【举例】
# 显示配置的地址转换的信息。
<Sysname> display nat bound
NAT bound information:
There are currently 2 nat bound rule(s)
Interface:Vlan-interface10
Direction: outbound ACL: 2000 Address-group: 319 NO-PAT: Y
VPN-instance: vpn1
Out-interface: ---
Next-hop: 100.100.100.1
Interface:Vlan-interface20
Direction: outbound ACL: 2001 Address-group: --- NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
表1-7 display nat bound命令显示信息描述表
|
字段 |
描述 |
|
NAT bound information: |
显示内部地址和外部地址的转换信息 |
|
There are currently 2 nat bound rule(s) |
存在2条地址转换关联信息 |
|
Interface |
地址转换关联的接口 |
|
Direction |
地址转换方向,outbound表示出方向 |
|
ACL |
地址池关联的ACL规则 |
|
Address-group |
地址池索引,Easy IP方式下该项无内容 |
|
NO-PAT |
是否支持NOPAT方式 |
|
VPN-instance |
地址池所属私网VPN索引,未配置则显示“---” |
|
Output-interface |
指定的出接口,未配置则显示“---” |
|
Next-hop |
指定的下一跳地址,未配置则显示“---” |
【命令】
display nat connection-limit [ source src-address { mask-length | mask } ] [ destination dst-address { mask-length | mask } ] [ destination-port { eq | gt | lt | neq | range } port-number ] [ vpn-instance vpn-instance-name ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
source src-address:显示指定源地址的连接限制统计信息。
destination dst-address:显示指定目的地址的连接限制统计信息。
mask:网络掩码。
mask-length:网络掩码的长度,取值范围为1~32。
destination-port:按目的端口号显示连接限制统计信息。
{ eq | gt | lt | neq | range }:表示限定端口范围的条件,包括以下几项:
· eq:表示等于指定的端口号;
· gt:表示大于指定的端口号;
· lt:表示小于指定的端口号;
· neq:表示不等于指定的端口号;
· range:表示指定端口号范围。
port-number:表示端口号,取值范围为0~65535。参数为range时,port-number为<start-port,end-port>表示的一个端口范围,需要先后输入start-port和end-port,且start-port不能大于end-port。
vpn-instance vpn-instance-name:指定用户连接所属MPLS VPN实例。vpn-instance-name为1~31个字符的字符串。如果不设置该值,表示待查询连接统计的用户属于公网,不属于某一个MPLS VPN实例。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat connection-limit命令用来显示NAT模块创建的连接限制统计信息。
【举例】
# 显示NAT模块创建的连接限制统计信息。
<Sysname> display nat connection-limit
source-ip dest-ip dest-port vpn-instance
192.168.0.210 --- --- ---
--------------------------------------------------------------------------
NAT amount upper-limit lower-limit limit-flag
2 50 20 0
表1-8 display nat connection-limit命令显示信息描述表
|
字段 |
描述 |
|
source-ip |
连接的源IP地址,为“---”时表示连接中无该信息 |
|
dest-ip |
连接的目的IP地址,为“---”时表示连接中无该信息 |
|
dest-port |
连接的目的端口,为“---”时表示连接中无该信息 |
|
vpn-instance |
连接所属MPLS VPN实例名,为“---”时连接不属于任何MPLS VPN实例 |
|
NAT |
连接是通过NAT建立起来的 |
|
amount |
当前用户实际连接数 |
|
upper-limit |
用户可建连接上限值 |
|
lower-limit |
用户可建连接下限值 |
|
limit-flag |
用户能否再建连接标志,为0时表示用户还可再建连接,为1时表示用户不能再建连接 |
【命令】
display nat dns-map [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat dns-map命令用来显示NAT DNS mapping的配置信息。
相关配置可参考命令nat dns-map。
【举例】
# 显示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
There are currently 2 NAT DNS mapping(s)
Domain-name: www.server.com
Global-IP : 202.113.16.117
Global-port: 80(www)
Protocol : 6(tcp)
Domain-name: ftp.server.com
Global-IP : 202.113.16.100
Global-port: 21(ftp)
Protocol : 6(tcp)
表1-9 display nat dns-map命令显示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping信息 |
|
There are currently 2 DNS mapping(s) |
存在2条DNS mapping信息 |
|
Domain-name |
内部服务器的域名 |
|
Global-IP |
内部服务器对外的公网IP地址 |
|
Global-port |
内部服务器对外的服务端口号 |
|
Protocol |
内部服务器支持的协议类型 |
【命令】
display nat log [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat log命令用来显示NAT日志的配置信息。
相关配置可参考命令nat log enable、nat log flow-active和nat log flow-begin。
【举例】
# 显示配置的日志信息。
<Sysname> display nat log
NAT log information:
log enable : enable acl 2000
flow-begin : enable
flow-active : 10(minutes)
表1-10 display nat log命令显示信息描述表
|
字段 |
描述 |
|
NAT log information : |
显示地址转换的日志信息 |
|
log enable : enable acl 2000 |
日志使能信息,对匹配ACL 2000的数据流做日志记录 |
|
flow-begin : enable |
新建流的使能情况 |
|
flow-active : 10(minutes) |
活跃流的间隔时间为10分钟 |
【命令】
display nat server [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat server命令用来显示内部服务器的信息。
相关配置可参考命令nat server。
【举例】
# 显示内部服务器的信息。
<Sysname> display nat server
NAT server in private network information:
There are currently 2 internal server(s)
Interface: Vlan-interface10, Protocol: 6(tcp)
Global: 100.100.120.120 : 21(ftp)
Local : 192.168.100.100 : 21(ftp)
Interface: Vlan-interface11, Protocol: 6(tcp)
Global: 100.100.100.121 : 80(www)
Local : 192.168.100.101 : 80(www) vpn2
表1-11 display nat server命令显示信息描述表
|
字段 |
描述 |
|
Server in private network information |
显示内部服务器信息 |
|
There are currently 2 internal server(s) |
存在2条内部服务器信息 |
|
Interface |
内部服务器所在接口 |
|
Protocol |
内部服务器的协议类型 |
|
Global |
显示服务器公网地址/端口号(知名端口类型),公共地址所属VPN实例名 |
|
Local |
显示服务器私网地址/端口号(知名端口类型),私网地址所属VPN实例名 |
【命令】
独立运行模式:
display nat session [ vpn-instance vpn-instance-name ] slot slot-number [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ]
IRF模式:
display nat session [ vpn-instance vpn-instance-name ] chassis chassis-number slot slot-number [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
vpn-instance vpn-instance-name:显示指定VPN中的NAT转换表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示非VPN中的NAT转换表项。
slot slot-number:显示指定单板上的NAT转换表项,目前设备只支持主控板。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的NAT转换表项。chassis-number表示设备在IRF中的成员编号,目前设备只支持主控板。(slot-number表示单板所在的槽位号,可使用display device命令查看。(IRF模式)
source global global-address:显示指定外部源地址的NAT转换表项。
source inside inside-address:显示指定内部源地址的NAT转换表项。
destination dst-address:显示指定目的IP地址的NAT转换表项。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat session命令用来显示当前的NAT转换表项信息。
【举例】
# 显示当前的NAT转换表项信息。
<Sysname> display nat session slot 2
There are currently 1 NAT session:
Protocol GlobalAddr Port InsideAddr Port DestAddr Port
TCP 162.105.26.51 12288 200.0.0.28 512 162.105.26.246 512
status:11 TTL:00:00:10 Left:00:00:02 VPN:vpn1
表1-12 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Protocol |
协议类型 |
|
GlobalAddr Port |
转换后的外部源地址和源端口 |
|
InsideAddr Port |
转换前的内部源地址和源端口 |
|
DestAddr Port |
目的地址和端口 |
|
VPN |
转换表项所属MPLS L3VPN的VPN实例名称 |
|
status |
表项的状态特征 |
|
TTL |
表项的生命周期,单位为小时:分钟:秒钟 |
|
Left |
表项的剩余的存活时间,单位为小时:分钟:秒钟 |
【命令】
display nat static [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat static命令用来显示系统配置的静态转换配置和接口静态使能配置。
相关配置可参考命令nat static和nat outbound static。
【举例】
# 显示静态配置和接口静态使能配置的信息。
<Sysname> display nat static
NAT static information:
There are currently 1 NAT static configuration(s)
single static:
Local-IP : 20.0.0.100
Global-IP : 10.0.0.100
Local-VPN : ---
NAT static enabled information:
Interface Direction
Vlan-interface10 out-static
表1-13 display nat static命令显示信息描述表
|
字段 |
描述 |
|
NAT static information |
静态地址转换的配置信息 |
|
single static |
表示一对一静态地址转换映射 |
|
Local-IP |
私网IP地址 |
|
Global-IP |
公网IP地址 |
|
Local-VPN |
私网IP地址所属VPN实例名 |
|
NAT static enabled information |
静态地址转换在接口的使能信息 |
|
Interface |
静态地址转换配置的接口 |
|
Direction |
静态地址转换配置的方向 |
【命令】
独立运行模式:
display userlog export slot slot-number [ | { begin | exclude | include } regular-expression ]
IRF模式:
display userlog export chassis chassis-number slot slot-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot slot-number:显示指定单板上的NAT日志信息,目前只支持主控板。
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的NAT日志信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,可使用display device命令查看。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display userlog export命令用来查看输出到日志服务器的NAT日志的信息。
相关配置可参考命令reset userlog nat export。
【举例】
# 查看设备2号槽位的NAT日志的配置和统计信息。
<Sysname> display userlog export slot 2
nat:
Export Version 1 logs to log server : enabled
Source address of exported logs : 5.5.5.6
Address of log server : 1.1.1.2 (port: 2000)
Total Logs/UDP packets exported : 137/85
VPN-instance : test
Logs in buffer : 0
# 查看设备1号槽位的NAT日志的配置和统计信息。
<Sysname> display userlog export slot 1
nat:
No userlog export is enabled
表1-14 display userlog export显示信息描述表
|
字段 |
描述 |
|
nat |
表示显示的是NAT日志信息 |
|
Export Version 1 logs to log server |
将版本号为1的日志报文发送给日志服务器 |
|
Export logs to (port:) |
NAT日志服务器的IP地址以及端口号 |
|
Source address of exported logs |
日志报文的源IP地址(如果没有配置源IP地址则不显示该字段) |
|
Address of log server |
日志服务器的地址,包括IP地址和端口 |
|
Total Logs/UDP packets exported |
发送的日志总数和包含日志的UDP报文总数(此处的UDP报文是指承载了日志的UDP报文,一个UDP报文可以承载多条日志) |
|
VPN-instance |
日志服务器所在的VPN实例名 |
|
Logs in buffer |
缓存中的Flow或NAT日志总数 |
|
No userlog export is enabled |
NAT日志功能未启用,或者虽然启用了NAT日志功能,但没有配置为输出到信息中心;或者配置为输出到日志服务器,但没有配置对应的日志服务器的IP地址及UDP端口号 |
【命令】
limit limit-id acl acl-number [ { per-destination | per-service | per-source } * amount max-amount min-amount ]
undo limit limit-id [ { per-destination | per-service | per-source } * amount max-amount min-amount ]
【视图】
连接限制策略视图
【缺省级别】
2:系统级
【参数】
limit-id:连接限制策略的子规则编号,取值范围为0~255。
acl-number:访问控制列表号,取值范围为2000~3999。ACL用来匹配用户的范围,对匹配ACL的用户的连接数进行统计和限制。
per-destination:按目的地址方式统计和限制,即到同一个目的地址的连接数目受限。
per-service:按服务方式统计和限制,即同一种服务(或应用)的连接数目受限。
per-source:按源地址方式统计和限制,即同一个源地址发起的连接数目受限。
amount:设置连接数限制。
max-amount:连接数上限值,取值范围为1~4294967295。
min-mount:连接数下限值,取值范围为0~4294967294。min-mount必须小于max-amount。
【描述】
limit acl命令用来配置基于ACL的连接限制规则。undo limit命令用来删除指定的连接限制规则。
需要注意的是:
· 如果只指定acl参数,不指定其它参数,则按照源地址方式,采用策略缺省的连接限制参数(连接数上下限值)进行统计和限制。缺省的连接限制参数配置请参见命令connection-limit default amount。
· 如果同时指定per-destination、per-service、per-source参数中的多个,则各种统计和限制方式组合生效。例如,per-destination per-service表示到同一个目的地址的同一种服务。
相关配置可参考命令connection-limit policy和display connection-limit policy。
【举例】
# 配置编号为1的连接限制规则,限制192.168.0.0/24网段的用户到同一个目的地址的连接数的上、下限值分别为200和100。例如,如果此时内网有192.168.0.1和192.168.0.100两个用户访问某公网服务器则按目的地址进行限制和统计,即要求与该公网服务器建立的连接数不超过200,在连接数下降到100后允许新建连接。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 192.168.0.0 0.0.0.255
[Sysname-acl-basic-2001] quit
[Sysname] connection-limit policy 1
[Sysname-connection-limit-policy-1] limit 1 acl 2001 per-destination amount 200 100
【命令】
nat address-group group-number [ start-address end-address ]
undo nat address-group group-number [ start-address end-address ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
group-number:地址池索引号,取值范围为0~31。
end-address:地址池的结束IP地址。end-address必须大于或等于start-address。地址池中的IP地址数不能超过4个。
【描述】
nat address-group命令用来配置NAT转换使用的地址池。若本命令中指定了开始IP地址和结束IP地址,则表示要定义一个地址池;若不指定开始IP地址和结束IP地址,则表示要创建并进入一个地址组视图。undo nat address-group命令用来删除配置的地址池或者地址组。
地址池是一些连续的IP地址集合。当对需要到达外部网络的数据报文进行地址转换时,其源地址将被转换为地址池中的某个地址。如果start-address和end-address相同,表示只有一个地址。
需要注意的是:
· 已经和某个访问控制列表关联的地址池,在进行地址转换时是不允许删除的。
· 如果设备仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址。
相关配置可参考命令display nat address-group。
· 设备地址池长度(地址池中包含的所有地址个数)为4。
· 不同的地址池之间地址不允许重叠。
【举例】
# 配置一个从202.110.10.10到202.110.10.15的地址池,地址池索引号为1。
<Sysname> system-view
[Sysname] nat address-group 1 202.110.10.10 202.110.10.15
【命令】
nat aging-time { dns | ftp-ctrl | ftp-data | icmp | no-pat | pptp | tcp | tcp-fin | tcp-syn | udp } seconds
undo nat aging-time { dns | ftp-ctrl | ftp-data | icmp | no-pat | pptp | tcp | tcp-fin | tcp-syn | udp } [ seconds ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
dns:设置DNS协议地址转换表项的有效时间。
ftp-ctrl:设置FTP协议控制链路地址转换表项的有效时间。
ftp-data:设置FTP协议数据链路地址转换表项的有效时间。
icmp:设置ICMP协议地址转换表项的有效时间。
no-pat:设置NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间。
pptp:设置PPTP协议地址转换表项的有效时间。
tcp:设置TCP协议地址转换表项的有效时间。
tcp-fin:设置TCP协议fin或rst连接地址转换表项的有效时间。
tcp-syn:设置TCP协议syn连接地址转换表项的有效时间。
udp:设置UDP协议地址转换表项的有效时间。
seconds:地址转换表项的有效时间,取值范围为10~86400,单位为秒。
【描述】
nat aging-time命令用来设置地址转换表项的有效时间。undo nat aging-time用来将指定协议类型的地址转换表项的有效时间恢复为缺省情况。
缺省情况下,各协议的地址转换表项的有效时间如下:
· DNS协议地址转换表项的有效时间为10秒;
· FTP协议控制链路(ftp-ctrl)地址转换表项的有效时间为300秒;
· FTP协议数据链路(ftp-data)地址转换表项的有效时间为300秒;
· ICMP地址转换表项的有效时间为10秒;
· NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间为240秒;
· PPTP协议地址转换表项的有效时间为300秒;
· TCP地址转换表项的有效时间为300秒;
· TCP协议fin、rst连接地址转换表项的有效时间为10秒;
· TCP协议syn连接地址转换表项的有效时间为10秒;
· UDP地址转换表项的有效时间为240秒。
由于地址转换表项不能永久存在,该命令支持用户为TCP、UDP、ICMP等协议分别设置地址转换表项的有效时间,若在设定的有效时间内未使用该表项,该表项将失效。举例来说,某个IP地址为10.110.10.10的用户利用端口2000进行了一次对外TCP连接,地址转换为它分配了相应的地址和端口,但是若在一定时间内这个TCP连接一直未被使用,系统将删除此连接。
在使用NO-PAT方式的地址转换的情况下,若私网用户较多,且用户上下线频繁,则可通过适当减小NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间,来加速地址池中被使用的公网IP地址的释放速度,使公网IP地址尽快地空闲出来供其他用户使用。
相关配置可参考命令display nat aging-time。
【举例】
# 设定TCP协议的地址转换表项的有效时间为240秒。
<Sysname> system-view
[Sysname] nat aging-time tcp 240
【命令】
nat alg { all | dns | ftp | h323 | ils | nbt | sip }
undo nat alg { all | dns | ftp | h323 | ils | nbt | sip }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
all:所有支持的特殊协议。
dns:支持DNS协议。
ftp:支持FTP协议。
h323:支持H.323协议。
ils:支持ILS协议。
nbt:支持NBT协议。
sip:支持SIP协议。
【描述】
nat alg命令用来使能指定协议类型的地址转换应用网关功能。undo nat alg命令用来禁用地址转换应用网关功能。
缺省情况下,地址转换应用网关功能处于使能状态。
【举例】
# 使能支持FTP应用的地址转换应用网关功能。
<Sysname> system-view
[Sysname] nat alg ftp
【命令】
nat connection-limit-policy policy-number
undo nat connection-limit-policy policy-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
policy-number:指定连接限制策略编号,取值范围为0~19。
【描述】
nat connection-limit-policy命令用来在NAT模块上应用连接限制策略,即配置连接限制策略与NAT模块的绑定。undo nat connection-limit-policy命令用来取消连接限制策略的应用。
需要注意的是,若要修改已经被NAT应用的连接限制策略,需要先使用undo nat connection-limit policy命令取消已有的应用。
# 将策略1与NAT模块绑定。
<Sysname> system-view
[Sysname] nat connection-limit-policy 1
# 删除策略1与NAT模块的绑定。
<Sysname> system-view
[Sysname] undo nat connection-limit-policy 1
【命令】
nat dns-map domain domain-name protocol pro-type ip global-ip port global-port
undo nat dns-map domain domain-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
domain domain-name:指定内部服务器的合法域名。其中,domain-name表示内部服务器的域名,为不超过255个字符的字符串,不区分大小写,由一个或者多个label组成,两个label间由"."分隔,每个label最长为63个字符,必须由字母或数字开头,由字母或数字结尾,中间字符可以是字母、数字或连字符"-"。
protocol pro-type:指定内部服务器支持的协议类型。其中,pro-type表示具体的协议类型,取值为tcp或udp。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。其中,global-ip表示外网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号。其中,global-port表示服务端口号,取值范围为1~65535。
【描述】
nat dns-map命令用来配置一条域名到内部服务器的映射。undo nat dns-map命令用来删除一条域名到内部服务器的映射。
需要注意的是,目前设备最多可支持16条域名到内部服务器的映射。
相关配置可参考命令display nat dns-map。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.server.com,对外的IP地址为202.112.0.1。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port www
【命令】
nat link-down reset-session enable
undo nat link-down reset-session enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
nat link-down reset-session enable命令用来使能接口链路down时NAT表项老化功能。undo nat link-down reset-session enable命令用来恢复缺省情况。
缺省情况下,接口链路down时NAT表项老化功能处于关闭状态。
【举例】
# 使能接口链路down时NAT表项老化功能。
<Sysname> system-view
[Sysname] nat link-down reset-session enable
【命令】
nat log enable [ acl acl-number ]
undo nat log enable
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
acl acl-number:对匹配ACL的数据流使能NAT日志功能。acl-number的取值范围为2000~3999。不输入该参数时,对所有数据流使能NAT日志功能。
【描述】
nat log enable命令用来使能NAT日志功能。undo nat log enable命令用来取消NAT日志功能。
缺省情况下,NAT日志功能处于关闭状态。
【举例】
# 使能NAT日志功能。
<Sysname> system-view
[Sysname] nat log enable acl 2001
【命令】
nat log flow-active minutes
undo nat log flow-active
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
minutes:指定发送NAT活跃流日志的时间间隔。minutes的取值范围为10~120,单位为分钟。设备每经过指定的时间间隔,就对活跃流记录一次NAT日志。
【描述】
nat log flow-active命令用来使能NAT活跃流的日志功能,并设置活跃流日志的时间间隔。undo nat log flow-active命令用来关闭活跃流的NAT日志功能。
缺省情况下,NAT日志的活跃流记录功能处于关闭状态。
如果仅仅在创建、删除NAT连接时进行日志记录,由于有些连接可能长时间处于活动状态,设备一直不能对它进行记录日志。通过配置本命令,设备可以对这种长时间没有断开的连接进行定时记录。
【举例】
# 设置发送NAT活跃流日志的时间间隔为10分钟。
<Sysname> system-view
[Sysname] nat log flow-active 10
【命令】
nat log flow-begin
undo nat log flow-begin
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
nat log flow-begin命令用来设置在创建NAT连接时生成NAT日志。undo nat log flow-begin命令用来恢复缺省情况。
缺省情况下,创建NAT连接时不生成NAT日志。
【举例】
# 设置在创建NAT连接时生成NAT日志。
<Sysname> system-view
[Sysname] nat log flow-begin
【命令】
nat outbound acl-number [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat ] ]
undo nat outbound acl-number [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat ] ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表号,取值范围为2000~3999。
address-group group-number:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即Easy IP特性。其中,group-number为一个已经定义的地址池的编号,取值范围为0~31。
vpn-instance vpn-instance-name:地址池所属的VPN实例的名称,表示可以支持VPN之间通过NAT转换进行互访。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。
no-pat:表示不使用TCP/UDP端口信息实现多对多地址转换。若不配置该参数,则表示使用TCP/UDP端口信息实现多对一地址转换。
【描述】
nat outbound命令用来配置出接口地址关联,即将一个访问控制列表ACL和一个地址池关联起来,符合ACL规则的报文的源IP地址可以使用地址池中的地址进行地址转换。undo nat outbound命令用来取消关联。
如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
需要注意的是:
· 可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况下和外部网络连接,是内部网络的出口。
· 当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。
· 支持指定下一跳,当报文查找路由表进行转发时,如果命中指定的下一跳IP地址,则将采用配置地址池中的地址进行转换;如果没有命中,则不能进行地址转换。
· 在一个接口下,一个ACL只能与一个地址池绑定;但一个地址池可以与多个ACL绑定。
某些设备上的关联配置需遵循限制:同一接口下引用的ACL中所定义的规则之间不允许冲突:源IP地址信息、目的IP地址信息以及VPN实例信息完全相同,即认为冲突。对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息、VPN实例信息相同即认为冲突。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10到202.110.10.12之间的地址作为转换后的地址。假设接口Vlan-interface200连接外部网络。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2001] rule deny
[Sysname-acl-basic-2001] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 允许地址转换,使用地址池1中的地址进行地址转换,在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface Vlan-interface 200
[Sysname-Vlan-interface200] nat outbound 2001 address-group 1
# 如果不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
<Sysname> system-view
[Sysname] interface Vlan-interface 200
[Sysname-Vlan-interface200] nat outbound 2001 address-group 1 no-pat
# 如果直接使用Vlan-interface 200接口的IP地址,可以使用如下的配置。
<Sysname> system-view
[Sysname] interface Vlan-interface 200
[Sysname-Vlan-interface200] nat outbound 2001
【命令】
nat outbound static
undo nat outbound static
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
无
【描述】
nat outbound static命令用来使配置的NAT静态转换在接口上生效。undo nat outbound static命令用来取消接口上已经配置的NAT静态转换。
相关配置可参考命令display nat static。
【举例】
# 配置内部私有IP地址192.168.1.1到外部公有IP地址2.2.2.2的一对一转换,并且在Vlan-interface200接口上使能该地址转换。
<Sysname> system-view
[Sysname] nat static 192.168.1.1 2.2.2.2
[Sysname] interface Vlan-interface 200
[Sysname-Vlan-interface200] nat outbound static
【命令】
nat server protocol pro-type global { global-address | interface interface-type interface-number | current-interface } [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ]
undo nat server protocol pro-type global { global-address | interface interface-type interface-number | current-interface } [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ]
nat server protocol pro-type global { global-address | interface interface-type interface-number | current-interface } global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ]
undo nat server protocol pro-type global { global-address | interface interface-type interface-number | current-interface } global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
protocol pro-type:指定支持的协议类型。其中,pro-type表示了具体的协议类型,可以支持TCP、UDP和ICMP协议。当指定为ICMP时,配置的内部服务器不带端口参数。
global-address:提供给外部访问的合法IP地址。
interface:表示使用指定接口的地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。
interface-type interface-number:指定接口类型和接口编号,目前只支持Loopback接口,且Loopback接口必须存在,否则为非法配置。
current-interface:使用当前接口地址作为内部服务器的外网地址。
global-port1、global-port2:通过两个端口指定一个端口范围,和内部主机的IP地址范围构成一种对应关系。global-port2必须大于global-port1。
local-address1、local-address2:定义一组连续的地址范围,和前面定义的端口范围构成一一对应的关系。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
local-port:内部服务器提供的服务端口号,取值范围为0~65535(FTP数据端口号20除外)。
· 常用的端口号可以用关键字代替。如:Web服务端口为80,可以用www代替。FTP服务端口号为21,可以用ftp代替。
· 取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于global-address和local-address之间有一个静态的连接。
global-port:提供给外部访问的服务端口号,取值范围为0~65535,缺省值及关键字的使用和local-port的规定一致。
local-address:服务器在内部局域网的IP地址。
vpn-instance global-name:对外公布的外网地址所属的MPLS VPN实例。其中,global-name表示所属VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示对外公布的外网地址属于一个普通的公网地址,不属于某一个MPLS VPN实例。
vpn-instance local-name:内部服务器所属MPLS VPN实例。其中,local-name表示所属VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示内部服务器属于一个普通的私网服务器,不属于某一个MPLS VPN实例。
【描述】
nat server命令用来定义一个内部服务器的映射表,用户可以通过global-address定义的地址和global-port定义的端口来访问地址和端口分别为local-address和local-port的内部服务器。undo nat server命令用来取消映射表。
需要注意的是:
· global-port和local-port只要有一个定义为any,则另一个要么不定义,要么定义为any,否则是非法配置。
· 通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。内部服务器可以位于普通的私网内,也可以位于MPLS VPN实例内。
· 在一个接口下最多可以配置256条内部服务器地址转换命令,每条命令可以配置的内部服务器数目为global-port2与global-port1的差值,即配置多少个端口就对应多少个内部服务器。一个接口下最多可以配置4096个内部服务器。系统中最多可以配置1024个内部服务器地址转换命令。
· 配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
· 目前设备支持引用接口地址作为内部服务器的公网地址(Easy IP特性)。
· 由于Easy IP方式的内部服务器使用了当前接口的IP地址作为它的公网地址,因此强烈建议在当前接口上配置了Easy IP方式的内部服务器之后,其它内部服务器不要配置该接口的IP地址作为它的公网地址,反之亦然。
相关配置可参考命令display nat server。
当pro-type不是udp(协议号为17)或tcp(协议号为6)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号的映射。
【举例】
# 指定局域网内部的Web服务器的IP地址是10.110.10.10,MPLS VPN vrf10内部的FTP服务器的IP地址是10.110.10.11,希望外部通过http://202.110.10.10:8080可以访问Web服务器,通过ftp://202.110.10.10可以访问FTP服务器。假设Vlan-interface 10和外部网络连接。
<Sysname> system-view
[Sysname] interface Vlan-interface 10
[Sysname-Vlan-interface10] nat server protocol tcp global 202.110.10.10 inside 10.110.10.10 www
[Sysname- Vlan-interface10] quit
[Sysname] ip vpn-instance vrf10
[Sysname-vpn-instance] route-distinguisher 100:001
[Sysname-vpn-instance] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance] quit
[Sysname] interface Vlan-interface 10
[Sysname- Vlan-interface10] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
# 指定一个VPN vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
<Sysname> system-view
[Sysname] interface Vlan-interface 10
[Sysname- Vlan-interface100] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
# 指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。
<Sysname> system-view
[Sysname] interface Vlan-interface 10
[Sysname- Vlan-interface10] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 用以下命令可以删除Web服务器。
<Sysname> system-view
[Sysname] interface Vlan-interface 10
[Sysname- Vlan-interface10] undo nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
# 用以下命令可以删除VPN vrf10内部的FTP服务器。
<Sysname> system-view
[Sysname] interface Vlan-interface 10
[Sysname- Vlan-interface10] undo nat server protocol tcp global 202.110.10.11 21 inside 10.110.10.11 ftp vpn-instance vrf10
【命令】
nat static local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ]
undo nat static local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
local-ip:内网IP地址。
vpn-instance local-name:内网IP地址所属的VPN名。其中,local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
global-ip:外网IP地址。
vpn-instance global-name:外网IP地址所属的VPN名。其中,global-name表示MPLS L3VPN的VPN名称,为1~31个字符的字符串,区分大小写。
【描述】
nat static命令用于配置一对一静态地址转换映射。undo nat static命令用来取消一对一静态地址转换映射。
需要注意的是:
· 如果不指定vpn-instance local-name,则表示内网地址属于一个普通的私网。
· 如果不指定vpn-instance global-name,则表示外网地址属于一个普通的公网。
相关配置可参考命令display nat static。
【举例】
# 系统视图下,配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的静态地址转换。其中,内网IP地址192.168.1.1,所属的VPN为vpn10;外网IP地址2.2.2.2,所属的VPN为vpn20。
<Sysname> system-view
[Sysname] nat static 192.168.1.1 vpn-instance vpn10 2.2.2.2 vpn-instance vpn20
【命令】
nat static net-to-net local-start-address local-end-address global global-network { netmask-length | netmask }
undo nat static net-to-net local-start-address local-end-address global global-network { netmask-length | netmask }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
local-start-address local-end-address:私网网络地址范围,所包含的地址数目不能超过255。
local-network:私网网络地址。
global-network:公网网络地址。
mask-length:网络掩码长度。
mask:网络掩码。
【描述】
nat static net-to-net命令用于配置网段到网段的静态地址转换映射。undo nat static net-to-net命令用来取消网段到网段的静态地址转换映射。
需要注意的是,必须保证内部IP地址的起始和终止地址在外部网络地址掩码长度的条件下没有跨网段。
相关配置可参考命令display nat static。
【举例】
# 配置私网网段192.168.1.0/24到外部公有网段2.2.2.0/24的双向静态地址转换。
<Sysname> system-view
[Sysname] nat static net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
【命令】
reset nat session slot slot-number
IRF模式:
reset nat session chassis chassis-number slot slot-number
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
slot slot-number:清除单板上的地址转换映射表,slot-number表示单板所在的槽位号。目前只支持主控板。
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的地址转换映射表。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,目前只支持主控板,可使用display device命令查看。
【描述】
reset nat session命令用来清除地址转换映射表,释放动态分配的用于存放地址映射表的内存空间。
【举例】
# 清除0号槽位主控板内存中地址转换的映射表。
<Sysname> reset nat session slot 0
【命令】
独立运行模式:
reset userlog nat export slot slot-number
IRF模式:
reset userlog nat export chassis chassis-number slot slot-number
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
slot slot-number:清除指定单板上的NAT日志统计信息,slot-number表示单板所在的槽位号。
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的NAT日志统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,可使用display device命令查看。
【描述】
reset userlog nat export命令用来清除NAT日志的统计信息。
当设备启动NAT日志功能后,系统会定时对NAT日志进行统计。
相关配置可参考命令display userlog export。
【举例】
# 清除0号槽NAT日志的统计信息。
<Sysname> reset userlog nat export slot 0
【命令】
独立运行模式:
reset userlog nat logbuffer slot slot-number
IRF模式:
reset userlog nat logbuffer chassis chassis-number slot slot-number
【视图】
用户视图
【缺省级别】
2:系统级
【参数】
slot slot-number:清除指定单板上的NAT日志缓存中的记录,slot-number表示单板所在的槽位号。目前只支持主控板。(独立运行模式)
chassis chassis-number slot slot-number:清除指定成员设备上指定单板的NAT日志缓存中的记录。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号,目前只支持主控板,可使用display device命令查看。(IRF模式)
【描述】
reset userlog nat logbuffer命令用来清除NAT日志缓存中的记录。
清除NAT日志缓存中的记录会造成NAT日志信息的丢失,正常情况下,建议不要进行清除操作。
【举例】
# 清除0号接口板上缓存区中的NAT日志。
<Sysname> reset userlog nat logbuffer slot 0
【命令】
独立运行模式:
userlog nat export slot slot-number host { ipv4-address | ipv6 ipv6-address } udp-port
undo userlog nat export slot slot-number host { ipv4-address | ipv6 ipv6-address }
IRF模式
userlog nat export chassis chassis-number slot slot-number host { ipv4-address | ipv6 ipv6-address } udp-port
undo userlog nat export chassis chassis-number slot slot-number host { ipv4-address | ipv6 ipv6-address }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
slot slot-number:指定生成NAT日志的单板,目前只支持主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定生成NAT日志的成员设备上的指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,可使用display device命令查看。(IRF模式)
ipv4-address:NAT日志服务器的IPv4地址,取值范围是合法的单播IP地址,且不能是环回地址。
ipv6 ipv6-address:NAT日志服务器的IPv6地址,取值范围是合法的单播IPv6地址。
udp-port:NAT日志服务器的UDP端口号,取值范围为0~65535。
【描述】
userlog nat export host命令用来配置接收NAT日志报文的NAT日志服务器的IP地址和UDP端口号。undo userlog nat export host命令用来恢复缺省情况。
缺省情况下,没有配置NAT日志服务器的IP地址和UDP端口号。
独立运行模式下,每个接口板可以单独配置NAT日志服务器,起到分担NAT日志服务器负载的作用,每个接口板为输出的报文进行独立编号。
IRF模式下,每个成员设备的不同接口板可以单独配置NAT日志服务器,起到分担NAT日志服务器负载的作用,每个接口板为输出的报文进行独立编号(报文头的序列号)。
需要注意的是:
· 如果以UDP报文输出NAT日志,则必须配置NAT日志服务器,否则NAT日志不能正常输出。
· 为了避免与通用的UDP端口号冲突,建议使用1024以上的UDP端口号。
· 使用该命令,如果不指定slot参数,则对所有没有配置NAT日志服务器IP地址和UDP端口号的接口板都有效。
相关配置可参考命令userlog nat export source-ip。
【举例】
#将0号接口板上的NAT日志信息发送给NAT日志服务器(NAT日志服务器的地址为169.254.1.1,端口号为2000)。
<Sysname> system-view
[Sysname] userlog nat export slot 0 host 169.254.1.1 2000
【命令】
userlog nat export source-ip ip-address
undo userlog nat export source-ip
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address:UDP报文的源IP地址。
【描述】
userlog nat export source-ip命令用来配置承载NAT日志的UDP报文的源IP地址。undo userlog nat export source-ip命令用来恢复缺省情况。
缺省情况下,承载NAT日志的UDP报文的源IP地址为发送该报文的接口的IP地址。
相关配置可参考命令userlog nat export host。
【举例】
# 将169.254.1.2配置为承载NAT日志的UDP报文的源IP地址。
<Sysname> system-view
[Sysname] userlog nat export source-ip 169.254.1.2
【命令】
userlog nat export version version-number
undo userlog nat export version
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
version-number:NAT日志报文的版本号,取值范围为1(目前系统仅支持版本1)。
【描述】
userlog nat export version命令用来配置NAT日志报文的版本号。undo userlog nat export version命令用来恢复缺省情况。
缺省情况下,NAT日志报文的版本号为1。
【举例】
# 将NAT日志报文版本号设为版本1。
<Sysname> system-view
[Sysname] userlog nat export version 1
【命令】
userlog nat syslog
undo userlog nat syslog
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
无
【描述】
userlog nat syslog命令用来配置NAT日志输出到信息中心。undo userlog nat syslog命令用来恢复缺省情况。
缺省情况下,NAT日志输出到NAT日志服务器。
需要注意的是,如果将NAT日志输出方式设置为输出到信息中心,系统产生的NAT日志可能会占用较大的内存空间,因此建议该方式用于日志量比较小的情况。
【举例】
# 设置NAT日志的输出到信息中心。
<Sysname> system-view
[Sysname] userlog nat syslog
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
