- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
19-NAT配置
本章节下载: 19-NAT配置 (330.26 KB)
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。
NAT基本概念如下:
· NAT设备:配置了NAT功能的连接内部网络和外部网络的边缘设备。
· NAT接口:NAT设备上应用了NAT相关配置的接口。
· NAT地址:用于进行地址转换的公网IP地址,与外部网络路由可达,可静态指定或动态分配。
· NAT表项:NAT设备上用于记录网络地址转换映射关系的表项。关于NAT表项的详细介绍请参见“1.6 NAT表项”。
· Easy IP功能:NAT转换时直接使用设备上接口的IP地址作为NAT地址。设备上接口的地址可静态指定或通过DHCP等协议动态获取。
图1-1 NAT基本工作过程示意图
如图1-1所示,一台NAT设备连接内网和外网,连接外网的接口为NAT接口,当有报文经过NAT设备时,NAT的基本工作过程如下:
(1) 当内网用户主机(192.168.1.3)向外网服务器(1.1.1.2)发送的IP报文通过NAT设备时,NAT设备查看报文的IP头内容,发现该报文是发往外网的,则将其源IP地址字段的内网地址192.168.1.3转换成一个可路由的外网地址20.1.1.1,并将该报文发送给外网服务器,同时在NAT设备上建立表项记录这一映射。
(2) 外网服务器给内网用户发送的应答报文到达NAT设备后,NAT设备使用报文信息匹配建立的表项,然后查找匹配到的表项记录,用内网私有地址192.168.1.3替换初始的目的IP地址20.1.1.1。
上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外网服务器而言,它认为内网用户主机的IP地址就是20.1.1.1,并不知道存在192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。
报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出接口上进行源IP地址转换;对于外网访问内网的报文,在入接口上进行目的地址IP地址转换。
报文入接口和出接口均为NAT接口。报文经过NAT设备时,先后进行两次NAT转换。对于内网访问外网的报文和外网访问内网的报文,均在入接口进行目的IP地址转换,在出接口进行源IP地址转换。这种方式常用于支持地址重叠的VPN间互访。
报文经过NAT设备时,在NAT接口上同时进行一次源IP地址转换和一次目的IP地址转换。对于内网访问外网的报文,在出接口上同时进行源IP地址和目的IP地址的转换;对于外网访问内网的报文,同时在入接口上进行目的地址IP地址和源IP地址的转换。这种方式常用于支持内网用户主动访问与之地址重叠的外网资源。
在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问;或者希望某些外部网络的主机可以访问内部网络,而某些主机不允许访问。即NAT设备只对符合要求的报文进行地址转换。
NAT设备可以利用ACL(Access Control List,访问控制列表)来对地址转换的使用范围进行控制,通过定义ACL规则,并将其与NAT配置相关联,实现只对匹配指定的ACL permit规则的报文才进行地址转换的目的。而且,NAT仅使用规则中定义的源IP地址、源端口号、目的IP地址、目的端口号和传输层协议类型这几个元素进行报文匹配,忽略其它元素。
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。
NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互联网控制消息协议)查询报文。
图1-2 PAT基本原理示意图
如图1-2所示,三个带有内网地址的报文到达NAT设备,其中报文1和报文2来自同一个内网地址但有不同的源端口号,报文1和报文3来自不同的内网地址但具有相同的源端口号。通过PAT映射,三个报文的源IP地址都被转换为同一个外网地址,但每个报文都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
目前,PAT支持两种不同的地址转换模式:
· Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。
端口块方式是一种基于端口范围的PAT动态地址转换,即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如:假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001~10256,则该私网IP向公网发起的所有连接,源IP地址都将被转换为同一个公网IP地址202.1.1.1,而源端口将被转换为端口块10001~10256之内的一个端口。
端口块方式包括静态映射和动态映射两种。
端口块静态映射是指,NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时,根据私网IP地址匹配静态端口块表项,获取对应的公网IP地址和端口块,并从端口块中动态为其分配一个公网端口,对报文进行地址转换。
配置端口块静态映射时,需要创建一个端口块组,并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m(即端口范围除以端口块大小),则端口块静态映射的算法如下:按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列,最小的m个私网IP地址对应最小的公网IP地址及其端口块,端口块按照起始端口号从小到大的顺序分配;次小的m个私网IP地址对应次小的公网IP地址及其端口块,端口块的分配顺序相同;依次类推。
当内网用户向公网发起连接时,首先根据动态地址转换中的ACL规则进行过滤,决定是否需要进行源地址转换。对于需要进行源地址转换的连接,当该连接为该用户的首次连接时,从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址,从该公网IP地址中动态分配一个端口块,创建动态端口块表项,然后从端口块表项中动态分配一个公网端口,进行地址转换。对该用户后续连接的转换,均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时,回收为其分配的端口块资源,删除相应的动态端口块表项。
端口块动态映射支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽(端口块中的所有端口都被使用)时,如果该私网IP地址向公网发起新的连接,则无法再从端口块中获取端口,无法进行地址转换。此时,如果预先在相应的NAT地址组中配置了增量端口块数,则可以为该私网IP地址分配额外的端口块,进行地址转换。
NAT设备处理一个连接的首报文时便确定了相应的地址转换关系,并同时创建会话表项,该会话表项中添加了NAT扩展信息(例如接口信息、转换方式)。会话表项中记录了首报文的地址转换信息。这类经过NAT处理的会话表项,也称为NAT会话表项。
当该连接的后续报文经过NAT设备时,将与NAT会话表项进行匹配,NAT设备从匹配到的会话表项中得到首报文的转换方式,并根据首报文的转换方式对后续报文进行处理:
· 后续报文方向与首报文相同时,源和目的的转换方式与首报文相同。
· 后续报文方向与首报文相反时,转换方式与首报文相反。即,如果首报文转换了源地址,则后续报文需要转换目的地址;如果首报文转换了目的地址,则后续报文需要转换源地址。
NAT会话表项的更新和老化由会话管理模块维护,关于会话管理的相关介绍请参见“安全配置指导”中的“会话管理”。
在NO-PAT方式进行源地址的动态转换过程中,NAT设备首先创建一个NAT会话表项,然后建立一个NO-PAT表项用于记录该转换关系(内网地址<-->NAT地址)。
NO-PAT表项有以下两个作用:
· 保证后续来自相同源地址的新建连接与首次连接使用相同的转换关系。
· 允许满足指定条件的主机向NAT地址发起的新建连接根据NO-PAT表项进行反向地址转换。
该表项在与其相关联的所有NAT会话表项老化后老化。
端口块表项记录1个用户在网关转换前的私网IP地址、转换后对应的公网IP地址及其端口块。端口块表项分为静态端口块表项和动态端口块表项。关于端口块表项的详细介绍,请参见“1.5.3 端口块方式”。
NAT通用配置限制和指导如下:
· NAT只对匹配指定的ACL permit规则的报文才进行地址转换,匹配时仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号和传输层协议类型,不关注ACL规则中定义的其它元素。
· 在双上行链路组网环境中,一个出接口配置了地址转换,另一个出接口没有配置地址转换,这种情况下,建议用户不要将两个出接口添加到同一个安全域,否则可能导致流量中断。关于“安全域”的相关介绍,请参见“基础配置指导”中的“安全域”。
· 若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换的配置,则在地址转换过程中,它们的优先级从高到低依次为:
a. 普通NAT静态地址转换。
b. 普通NAT动态地址转换。
NAT配置任务如下:
(1) 配置接口上的地址转换方式
¡ 配置静态地址转换
¡ 配置动态地址转换
入方向的静态地址转换建议与接口上的出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合使用,以实现双向NAT。
对于硬件转发的设备,需要在用户流量的入方向上应用QoS策略。否则设备无法进行地址转换。QoS策略中的类用于匹配需要进行地址转换的流量,流行为用于将流量重定向到CPU。
· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。
· 对于入方向静态地址转换,需要手动添加路由:目的地址为静态地址转换配置中指定的local-ip或local-network;下一跳为静态地址转换配置中指定的外网地址,或者报文出接口的实际下一跳地址。
出方向一对一静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的源IP地址转换为global-ip。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的目的IP地址转换为local-ip。
(1) 进入系统视图。
system-view
(2) 配置出方向一对一静态地址转换映射。
nat static outbound local-ip global-ip
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启接口上的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
出方向网段对网段静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络到一个外部公有网络的地址转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网网络地址进行匹配,并将匹配的源IP地址转换为指定外网网络地址之一。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网网络地址进行匹配,并将匹配的目的IP地址转换为指定的内网网络地址之一。
(1) 进入系统视图。
system-view
(2) 配置出方向网段对网段静态地址转换映射。
nat static outbound net-to-net local-start-address local-end-address global global-network { mask-length | mask } [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ]
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启接口上的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
入方向一对一静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的目的IP地址转换为global-ip。
· 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的源IP地址转换为local-ip。
(1) 进入系统视图。
system-view
(2) 配置入方向一对一静态地址转换映射。
nat static inbound global-ip local-ip [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ]
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启接口上的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
入方向网段对网段静态地址转换用于实现一个内部私有网络与一个外部公有网络之间的地址转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网网络地址进行匹配,并将匹配的目的IP地址转换为指定的外网网络地址之一。
· 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网网络地址进行匹配,并将匹配的源IP地址转换为指定的内网网络地址之一。
(1) 进入系统视图。
system-view
(2) 配置入方向网段对网段静态地址转换映射。
nat static inbound net-to-net global-start-address global-end-address local local-network { mask-length | mask } [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ]
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启接口上的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
在同时配置了多条动态地址转换的情况下:
· 指定了ACL参数的动态地址转换配置的优先级高于未指定ACL参数的动态地址转换配置;
· 对于指定了ACL参数的动态地址转换配置,其优先级由ACL编号的大小决定,编号越大,优先级越高。
对于硬件转发的设备,需要在用户流量的入方向上应用QoS策略。否则设备无法进行地址转换。QoS策略中的类用于匹配需要进行地址转换的流量,流行为用于将流量重定向到CPU。
· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。
· 确定是否直接使用接口的IP地址作为转换后的报文源地址。
· 配置根据实际网络情况,合理规划可用于地址转换的公网IP地址组。
· 确定地址转换过程中是否使用端口信息。
出方向动态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换。
(1) 进入系统视图。
system-view
(2) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(3) 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 配置出方向动态地址转换。请至少选择其中一项进行配置。
¡ NO-PAT方式。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id no-pat [ reversible ]
¡ PAT方式。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ port-preserved ]
一个接口下可配置多个出方向的动态地址转换。
|
参数 |
功能 |
|
address-group |
不指定该参数时,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能 |
|
no-pat reversible |
在指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址 |
入方向动态地址转换功能通常与接口上的出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合,用于实现双向NAT应用,不建议单独使用。
由于自动添加路由表项速度较慢,通常建议手工添加路由。
(1) 进入系统视图。
system-view
(2) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(3) 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址组成员重叠。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 配置入方向动态地址转换。
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group group-id [ no-pat [ reversible ] ]
一个接口下可配置多个入方向的动态地址转换。
|
参数 |
功能 |
|
no-pat reversible |
指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口发送的内网访问外网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址 |
在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除NAT表项。
表2-1 NAT显示和维护
|
操作 |
命令 |
|
显示所有的NAT配置信息 |
display nat all |
|
显示NAT地址组的配置信息 |
display nat address-group [ group-id ] |
|
显示NAT入接口动态地址转换关系的配置信息 |
display nat inbound |
|
显示NAT NO-PAT表项信息 |
display nat no-pat [ slot slot-number ] |
|
显示NAT出接口动态地址转换关系的配置信息 |
display nat outbound |
|
显示NAT会话 |
display nat session [ source-ip source-ip | destination-ip destination-ip ] [ slot slot-number ] [ verbose ] |
|
显示NAT静态地址转换的配置信息 |
display nat static |
|
显示NAT统计信息 |
display nat statistics [ summary ] [ slot slot-number ] |
|
显示端口块表项 |
display nat port-block { dynamic | static } [ slot slot-number ] |
|
删除NAT会话 |
reset nat session [ slot slot-number ] |
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
图2-1 内网用户通过NAT地址访问外网(静态地址转换)配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
<Switch> system-view
[Switch] nat static outbound 10.110.10.8 202.38.1.100
# 在接口Vlan-interface200上开启静态地址转换功能。
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] nat static enable
[Switch-Vlan-interface200] quit
# 配置ACL 2000,仅允许对内部网络中10.110.10.0/24网段的用户报文进行地址转换。
[Switch] acl basic 2000
[Switch-acl-ipv4-basic-2000] rule permit source 10.110.10.0 0.0.0.255
[Switch-acl-ipv4-basic-2000] quit
# 配置流分类nat,匹配ACL 2000。
[Switch] traffic classifier nat
[Switch-classifier-nat] if-match acl 2000
[Switch-classifier-nat] quit
# 配置流行为nat,将匹配ACL 2000的流量重定向CPU。
[Switch] traffic behavior nat
[Switch-behavior-nat] redirect cpu
[Switch-behavior-nat] quit
# 配置QoS策略p1,将流分类与流行为进行绑定。
[Switch] qos policy p1
[Switch-qospolicy-p1] classifier nat behavior nat
[Switch-qospolicy-p1] quit
# 将QoS策略p1应用在接口GigabitEthernet1/0/1的入方向。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] qos apply policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Switch] display nat static
Static NAT mappings:
Totally 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Config status: Active
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: Vlan-interface200
Config status: Active
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
[Switch] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.110.10.8/0
Destination IP/port: 202.38.1.111/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: RAWIP(253)
Inbound interface: Vlan-interface100
Responder:
Source IP/port: 202.38.1.111/0
Destination IP/port: 202.38.1.100/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: RAWIP(253)
Inbound interface: Vlan-interface200
State: RAWIP_READY
Application: OTHER
Start time: 2022-05-11 10:06:55 TTL: 27s
Initiator->Responder: 5 packets 420 bytes
Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
图2-2 内网用户通过NAT访问外网(地址不重叠)配置组网图
# 按照组网图配
置各接口的IP地址,具体配置过程略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
<Switch> system-view
[Switch] nat address-group 0
[Switch-address-group-0] address 202.38.1.2 202.38.1.3
[Switch-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Switch] acl basic 2000
[Switch-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Switch-acl-ipv4-basic-2000] quit
# 在接口Vlan-interface200上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] nat outbound 2000 address-group 0
[Switch-Vlan-interface200] quit
# 配置流分类nat,匹配ACL 2000。
[Switch] traffic classifier nat
[Switch-classifier-nat] if-match acl 2000
[Switch-classifier-nat] quit
# 配置流行为nat,将匹配ACL 2000的流量重定向CPU。
[Switch] traffic behavior nat
[Switch-behavior-nat] redirect cpu
[Switch-behavior-nat] quit
# 配置QoS策略p1,将流分类与流行为进行绑定。
[Switch] qos policy p1
[Switch-qospolicy-p1] classifier nat behavior nat
[Switch-qospolicy-p1] quit
# 将QoS策略p1应用在接口GigabitEthernet1/0/1的入方向。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] qos apply policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
# 以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。
[Switch] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group 0:
Port range: 1-65535
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totallu 1 NAT outbound rules.
Interface: Vlan-interface200
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。
[Switch] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.10/1024
Destination IP/port: 200.1.1.10/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: UDP(17)
Inbound interface: Vlan-interface100
Responder:
Source IP/port: 200.1.1.10/1024
Destination IP/port: 202.38.1.3/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: UDP(17)
Inbound interface: Vlan-interface200
State: UDP_READY
Application: OTHER
Start time: 2022-05-11 10:39:49 TTL: 12s
Initiator->Responder: 1 packets 84 bytes
Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
需要实现,内部网络中的192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。基于NAT端口块动态映射方式复用两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300。当为某用户分配的端口块资源耗尽时,再为其增量分配1个端口块。
图2-3 NAT端口块动态映射配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300,增量端口块数为1。
<Switch> system-view
[Switch] nat address-group 0
[Switch-address-group-0] address 202.38.1.2 202.38.1.3
[Switch-address-group-0] port-range 1024 65535
[Switch-address-group-0] port-block block-size 300 extended-block-number 1
[Switch-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Switch] acl basic 2000
[Switch-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Switch-acl-ipv4-basic-2000] quit
# 在接口Vlan-interface200上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Switch] interface vlan-interface 200
[Switch-Vlan-interface200] nat outbound 2000 address-group 0
[Switch-Vlan-interface200] quit
# 配置流分类nat,匹配ACL 2000。
[Switch] traffic classifier nat
[Switch-classifier-nat] if-match acl 2000
[Switch-classifier-nat] quit
# 配置流行为nat,将匹配ACL 2000的流量重定向CPU。
[Switch] traffic behavior nat
[Switch-behavior-nat] redirect cpu
[Switch-behavior-nat] quit
# 配置QoS策略p1,将流分类与流行为进行绑定。
[Switch] qos policy p1
[Switch-qospolicy-p1] classifier nat behavior nat
[Switch-qospolicy-p1] quit
# 将QoS策略p1应用在接口GigabitEthernet1/0/1的入方向。
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] qos apply policy p1 inbound
[Switch-GigabitEthernet1/0/1] quit
# 以上配置完成后,Host A能够访问外网服务器,Host B和Host C无法访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Switch] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group 0:
Port range: 1024-65535
Port block size: 300
Extended block number: 1
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Vlan-interface200
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到系统当前可分配的动态端口块总数和已分配的动态端口块个数。
[Switch] display nat statistics
Total session entries: 1
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 430
Active static port block entries: 0
Active dynamic port block entries: 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
