- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-NAT命令
本章节下载: 05-NAT命令 (236.13 KB)
目 录
1.1.2 display nat address-group
1.1.7 display nat server-group
1.1.17 nat server (for extended nat server)
1.1.18 nat server (for normal nat server)
【命令】
address start-address end-address
undo address start-address end-address
【视图】
地址组视图
【缺省级别】
2:系统级
【参数】
start-address:地址组成员的开始IP地址。
end-address:地址组成员的结束IP地址。end-address必须大于或等于start-address。如果start-address和end-address相同,表示只有一个地址。地址组中最多可以配置255个IP地址。
【描述】
address命令用来添加一个地址组成员,各地址组成员之间的IP地址范围不要求是连续的。undo address命令用来删除一个地址组成员。
需要注意的是:
· 若地址组成员中定义的IP地址正在被使用或者该地址组已经与某个访问控制列表关联,则不允许在该地址组中添加或删除地址组成员。
· 一个地址组中最多允许添加100个地址组成员。
· 一个地址组中最多可以配置255个IP地址。
· 所有地址组成员配置的IP地址总数不能超过255个。
· 地址组成员的IP地址段不能与其它地址池或者地址组成员的IP地址段重叠。
相关配置可参考命令display nat address-group和nat address-group。
【举例】
# 创建地址组2,并在该地址组视图下添加两个地址组成员,一个指定从10.1.1.1到10.1.1.15的地址段,一个指定从10.1.1.20到10.1.1.30的地址段。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-nat-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-nat-address-group-2] address 10.1.1.20 10.1.1.30
【命令】
display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
【缺省级别】
1:监控级
【参数】
group-number:表示地址池索引号。如果不设定该值,则表示显示所有NAT地址池的信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat address-group命令用来显示NAT地址池的信息。
相关配置可参考命令nat address-group。
【举例】
<Sysname> display nat address-group
NAT address-group information:
There are currently 2 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
2 : from 202.110.10.20 to 202.110.10.25
# 显示索引号为1的NAT地址池信息。
<Sysname> display nat address-group 1
NAT address-group information:
1 : from 202.110.10.10 to 202.110.10.15
表1-1 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
显示NAT地址池信息 |
|
There are currently 2 nat address-group(s) |
存在两条NAT地址池信息 |
|
1 : from 202.110.10.10 to 202.110.10.15 |
1号地址池的IP地址范围为202.110.10.10到202.110.10.15 |
【命令】
display nat all [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat all命令用来显示所有的NAT配置信息。
【举例】
# 显示所有的关于地址转换的配置信息。
<Sysname> display nat all
NAT address-group information:
There are currently 1 nat address-group(s)
1 : from 202.110.10.10 to 202.110.10.15
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: GigabitEthernet3/1/1
Direction: outbound ACL: 2009 Address-group: 1 NO-PAT: N
NAT server in private network information:
There are currently 1 internal server(s)
Interface: GigabitEthernet3/1/2, Protocol: 6(tcp)
Global: 5.5.5.5 : 80(www)
Local : 192.1.1.1 : 80(www)
NAT static information:
There are currently 1 NAT static configuration(s)
single static:
Local-IP : 1.1.1.1
Global-IP : 2.2.2.2
Local-VPN : ---
NAT static enabled information:
Interface Direction
GigabitEthernet3/1/4 out-static
表1-2 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address-group information |
NAT地址池信息 |
|
There are currently 1 nat address-group(s) |
存在1条NAT地址池信息,具体显示信息字段的描述请参见命令display nat address-group |
|
NAT bound information |
内部地址和外部地址的转换配置信息,具体显示信息字段的描述请参见命令display nat bound |
|
There are currently 1 nat bound rule(s) |
存在1条地址转换关联信息 |
|
NAT server in private network information |
内部服务器信息,具体显示信息字段的描述请参见命令display nat server |
|
There are currently 1 internal server(s) |
存在1条内部服务器信息 |
|
NAT static information |
静态地址转换信息,具体显示信息字段的描述请参见命令display nat static |
|
There are currently 2 NAT static configuration(s) |
存在2条静态转换表项 |
|
NAT static enabled information |
接口静态地址转换的使能的信息,具体显示信息字段的描述请参见命令display nat static |
【命令】
display nat bound [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat bound命令用来显示地址转换关联的配置信息。
相关配置可参考命令nat inbound和nat outbound。
【举例】
# 显示配置的地址转换的信息。
<Sysname> display nat bound
NAT bound information:
There are currently 3 nat bound rule(s)
Interface: GigabitEthernet2/1/1
Direction: outbound ACL: 2000 Address-group: 319 NO-PAT: Y
VPN-instance: vpn1
Interface: GigabitEthernet2/1/1
Direction: inbound ACL: 3000 Address-group: 300 NO-PAT: N
VPN-instance: vpn2
Interface: GigabitEthernet2/1/2
Direction: outbound ACL: 2001 Address-group: --- NO-PAT: N
VPN-instance: ---
表1-3 display nat bound命令显示信息描述表
|
字段 |
描述 |
|
NAT bound information: |
显示内部地址和外部地址的转换信息 |
|
There are currently 3 nat bound rule(s) |
存在3条地址转换关联信息 |
|
Interface |
地址转换关联的接口 |
|
Direction |
地址转换方向,inbound表示入方向,outbound表示出方向 |
|
ACL |
地址池关联的ACL规则 |
|
Address-group |
地址池索引,Easy IP方式下该项无内容 |
|
NO-PAT |
是否支持NO-PAT方式 |
|
VPN-instance |
地址池所属的L3VPN的VPN实例名称,未配置则显示“---” |
【命令】
display nat dns-map [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat dns-map命令用来显示NAT DNS mapping的配置信息。
相关配置可参考命令nat dns-map。
【举例】
# 显示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
There are currently 2 NAT DNS mapping(s)
Domain-name: www.server.com
Global-IP : 202.113.16.117
Global-port: 80(www)
Protocol : 6(tcp)
Domain-name: ftp.server.com
Global-IP : 202.113.16.100
Global-port: 21(ftp)
Protocol : 6(tcp)
表1-4 display nat dns-map命令显示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping信息 |
|
There are currently 2 DNS mapping(s) |
存在2条DNS mapping信息 |
|
Domain-name |
内部服务器的域名 |
|
Global-IP |
内部服务器对外的外网IP地址 |
|
Global-port |
内部服务器对外的服务端口号 |
|
Protocol |
内部服务器支持的协议类型 |
【命令】
display nat server [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat server命令用来显示内部服务器的信息。
相关配置可参考命令nat server。
【举例】
# 显示内部服务器的信息。
<Sysname>display nat server
NAT server in private network information:
There are currently 2 internal server(s)
Interface: GigabitEthernet2/1/1, Protocol: 6(tcp)
Global: 202.110.10.10 : 80(www)
Local : 10.110.10.10 : 80(www)
Interface: GigabitEthernet2/1/1, Protocol: 6(tcp)
Global: 100.100.100.100 : 21(ftp)
Local : 1.1.1.1 : 21(ftp) vpn1
表1-5 display nat server命令显示信息描述表
|
字段 |
描述 |
|
NAT Server in private network information |
显示内部服务器信息 |
|
There are currently 2 internal server(s) |
存在2条内部服务器信息 |
|
Interface |
内部服务器所在接口 |
|
Protocol |
内部服务器的协议类型 |
|
Global |
显示服务器外网地址/端口号(知名端口类型),外网地址所属的MPLS L3VPN的VPN实例名称 |
|
Local |
显示服务器内网信息 · 对于普通内部服务器,显示服务器内网地址/端口号(知名端口类型),内网地址所属的MPLS L3VPN的VPN实例名称 · 对于负载分担内部服务器,显示内部服务器组名,内网地址所属的MPLS L3VPN的VPN实例名称,内部服务器成员信息,以及内部服务器组成员的当前连接数 |
【命令】
display nat server-group [ group-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
group-number:内部服务器组索引号。取值范围为0~31。如果不设置该值,则显示所有内部服务器组信息。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat server-group命令用来显示NAT内部服务器组配置信息。
相关配置可参考命令nat server-group。
【举例】
# 显示所有内部服务器组的配置信息。
<Sysname> display nat server-group
NAT server-group information:
There are currently 1 NAT server-group(s)
Server-group Inside-IP Port Weight Connections
1 2.2.2.2 21 245 3
1 2.2.2.5 21 100 1
表1-6 display nat server-group命令显示信息描述表
|
字段 |
描述 |
|
NAT server-group information |
内部服务器组信息 |
|
There are currently 1 NAT server-group(s) |
当前有一个内部服务器组 |
|
Server-group |
内部服务器组索引号 |
|
Inside-IP |
内部服务器组成员在内网的IP地址 |
|
Port |
内部服务器组成员在内网的服务端口号 |
|
Weight |
内部服务器组成员的权重值 |
|
Connections |
内部服务器组成员的当前连接数 如果该内部服务器组被多个内部服务器引用,则该项显示的值为各内部服务器成员的当前连接数之和 |
【命令】
非IRF模式:
display nat session [ vpn-instance vpn-instance-name ] slot slot-number [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ]
IRF模式:
display nat session [ vpn-instance vpn-instance-name ] chassis chassis-number slot slot-number [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
vpn-instance vpn-instance-name:显示指定VPN中的NAT转换表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示非VPN中的NAT转换表项。
slot slot-number:显示指定单板上的NAT转换表项,slot-number表示单板所在的槽位号。(非IRF模式)
不同型号的设备支持的情况如下表所示:
|
型号 |
参数 |
描述 |
|
SR6602 |
slot slot-number |
不支持 |
|
SR6602-X |
支持 |
|
|
SR6604/SR6608/SR6616 |
||
|
SR6604-X/SR6608-X/SR6616-X |
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的NAT转换表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
source global global-address:显示指定外部源地址的NAT转换表项。
source inside inside-address:显示指定内部源地址的NAT转换表项。
destination dst-address:显示指定目的IP地址的NAT转换表项。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat session命令用来显示当前的NAT转换表项信息。
【举例】
# 显示当前的NAT转换表项信息。
<Sysname> display nat session
There are currently 1 NAT session:
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
TCP 100.1.1.1:23 63.1.1.1:23 51.1.1.2:1781
GlobalVPN: vpn3 LocalVPN: vpn1
Status:11 TTL:00:00:10 Left:00:00:02
表1-7 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Pro |
协议类型 |
|
GlobalAddr:Port |
转换后的外部源地址和源端口 |
|
InsideAddr:Port |
转换前的内部源地址和源端口 |
|
DestAddr:Port |
目的地址和端口 |
|
GlobalVPN |
外部源地址所属的MPLS L3VPN的VPN实例名称 |
|
LocalVPN |
内部源地址所属的MPLS L3VPN的VPN实例名称 |
|
Status |
表项的状态特征
目前,SR6600/SR6600-X路由器暂时无法显示NAT表项的状态特征信息 |
|
TTL |
表项的生命周期,单位为小时:分钟:秒钟
目前,SR6600/SR6600-X路由器暂时无法显示表项的生命周期信息 |
|
Left |
表项的剩余的存活时间,单位为小时:分钟:秒钟 |
【命令】
display nat static [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat static命令用来显示系统配置的静态转换配置和接口静态使能配置。
相关配置可参考命令nat static和nat outbound static。
【举例】
# 显示静态配置和接口静态使能配置的信息。
<Sysname> display nat static
NAT static information:
There are currently 2 NAT static configuration(s)
net-to-net:
Local-IP : 1.1.1.0
Global-IP : 2.2.2.0
Netmask : 255.255.255.0
Local-VPN : vpn1
Global-VPN : vpn2
Destination : 5.5.5.0
Destination Mask: 255.255.255.0
Out-interface : Vlan-interface200
Status:Active
single static:
Local-IP : 4.4.4.4
Global-IP : 5.5.5.5
Local-VPN : ---
Global-VPN : ---
Destination : ---
Destination Mask: ---
Out-interface : ---
Status:Inactive
NAT static enabled information:
Interface Direction
Vlan-interface11 out-static
表1-8 display nat static命令显示信息描述表
|
字段 |
描述 |
|
NAT static information |
静态地址转换的配置信息 |
|
net-to-net |
表示网段到网段静态地址转换映射 |
|
single static |
表示一对一静态地址转换映射 |
|
Local-IP |
内网IP地址 |
|
Global-IP |
外网IP地址 |
|
Netmask |
网段映射的网络掩码 |
|
Local-VPN |
内网IP地址所属的MPLS L3VPN的VPN实例名称 |
|
Global-VPN |
外网IP地址所属的MPLS L3VPN的VPN实例名称 |
|
Destination |
目的网络地址 |
|
Destination Mask |
目的网络地址掩码 |
|
Output-interface |
出接口 |
|
NAT static enabled information |
静态地址转换在接口的使能信息 |
|
Interface |
静态地址转换配置的接口 |
|
Direction |
静态地址转换配置的方向 |
|
Status |
该配置的当前状态,生效显示“Active”,未生效则显示“Inactive” |
【命令】
非IRF模式:
display nat statistics slot slot-number [ | { begin | exclude | include } regular-expression ]
IRF模式:
display nat statistics chassis chassis-number slot slot-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot slot-number:指定单板上的地址转换统计信息,slot-number表示单板所在的槽位号。(非IRF模式)
不同型号的设备支持的情况如下表所示:
|
型号 |
参数 |
描述 |
|
SR6602 |
slot slot-number |
不支持 |
|
SR6602-X |
支持 |
|
|
SR6604/SR6608/SR6616 |
||
|
SR6604-X/SR6608-X/SR6616-X |
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的地址转换统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display nat statistics命令用来显示地址转换的统计信息。
【举例】
# 显示地址转换的统计信息。
<Sysname> display nat statistics
total PAT session table count: 1
total NO-PAT session table count: 0
total SERVER session table count: 0
total STATIC session table count: 0
表1-9 display nat statistics命令显示信息描述表
|
字段 |
描述 |
|
total PAT session table count |
PAT转换表项数 |
|
total NO-PAT session table count |
NO-PAT转换表项数 |
|
total SERVER session table count |
内部服务器转换表项数 |
|
total STATIC session table count |
静态地址转换表项数 |
【命令】
非IRF模式:
display userlog export slot slot-number [ | { begin | exclude | include } regular-expression ]
IRF模式:
display userlog export chassis chassis-number slot slot-number [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot-number:显示指定单板上的NAT日志信息,slot-number表示单板所在的槽位号。(非IRF模式)
不同型号的设备支持的情况如下表所示:
|
型号 |
参数 |
描述 |
|
SR6602 |
slot slot-number |
不支持 |
|
SR6602-X |
支持 |
|
|
SR6604/SR6608/SR6616 |
||
|
SR6604-X/SR6608-X/SR6616-X |
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的NAT日志信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display userlog export命令用来查看输出到日志服务器的日志的配置和统计信息。
需要注意的是,该命令可用于查看输出到日志服务器的所有类型的日志信息,本文中该命令仅用于查看NAT日志的信息。
【举例】
· SR6602
# 查看NAT日志的配置和统计信息。
<Sysname> display userlog export
nat:
No userlog export is enabled
· SR6604/SR6608/SR6616/SR6604-X/SR6608-X/SR6616-X
# 查看设备2号槽位的NAT日志的配置和统计信息。
<Sysname> display userlog export slot 2
flow:
Export Version 1 logs to log server : enabled
Source address of exported logs : 1.1.1.1
Address of log server : 2.2.3.3 (port: 2000)
VPN-instance : test
Total Logs/UDP packets exported : 0/0
Logs in buffer : 0
表1-10 display userlog export显示信息描述表
|
字段 |
描述 |
|
flow |
表示显示的是Flow日志 |
|
Export Version 1 logs to log server |
将版本号为1的日志报文发送给日志服务器 |
|
Source address of exported logs |
日志报文的源IP地址(如果没有配置源IP地址则不显示该字段) |
|
Address of log server |
日志服务器的地址,包括IP地址和端口 |
|
Total Logs/UDP packets exported |
发送的日志总数和包含日志的UDP报文总数(此处的UDP报文是指承载了日志的UDP报文,一个UDP报文可以承载多条日志) |
|
VPN-instance |
日志服务器所属的MPLS L3VPN的VPN实例名称 |
|
Logs in buffer |
缓存中的Flow或NAT日志总数 |
【命令】
inside ip inside-ip port port-number [ weight weight-value ]
undo inside ip inside-ip [ port port-number [ weight weight-value ] ]
【视图】
内部服务器组视图
【缺省级别】
2:系统级
【参数】
inside-ip:内部服务器组成员的IP地址。
port port-number:内部服务器组成员提供服务的端口号,取值范围为1~65535(FTP数据端口号20除外)。
weight weight-value:内部服务器组成员的权重。weight-value表示权值,取值范围为1~1000,缺省为100。内部服务器组内成员按照权重比例对外提供服务,权值越大的内部服务器组成员对外提供服务的比重越大。
【描述】
inside ip命令用来添加一个内部服务器组成员。undo inside ip命令用来在内部服务器组中删除一个内部服务器组成员。
需要注意的是:
· 同一个服务器组的不同成员的IP地址不能相同。
· 一个服务器组内最多可配置内部服务器个数由设备型号决定,请以设备的实际情况为准。
【举例】
# 配置一个内部服务器组的内部成员,内部服务器组的索引号为1,成员的IP地址为10.110.10.20,端口号为30。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.110.10.20 port 30
【命令】
nat address-group group-number [ start-address end-address ]
undo nat address-group group-number [ start-address end-address ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
group-number:地址池索引号,取值范围为0~127。
end-address:地址池的结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【描述】
nat address-group命令用来配置NAT转换使用的地址池。若本命令中指定了开始IP地址和结束IP地址,则表示要定义一个地址池。undo nat address-group命令用来删除配置的地址池
一个地址池是一些连续的IP地址的集合。当对需要到达外部网络的数据报文进行地址转换时,其源地址将被转换为地址池或地址组成员中的某个地址。
需要注意的是:
· 已经和某个访问控制列表关联的地址池或地址组,在进行地址转换时是不允许删除的。
· 不同地址池中定义的IP地址段之间不允许重叠。
· 所有地址池以及地址组中可定义的IP地址总数不能超过255。
· 如果设备仅提供Easy IP功能,则不需要配置NAT地址,直接使用接口地址作为转换后的IP地址。
相关配置可参考命令display nat address-group。
【举例】
# 配置一个从202.110.10.10到202.110.10.15的地址池,地址池索引号为1。
<Sysname> system-view
[Sysname] nat address-group 1 202.110.10.10 202.110.10.15
【命令】
nat dns-map domain domain-name protocol pro-type ip global-ip port global-port
undo nat dns-map domain domain-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
domain domain-name:指定内部服务器的合法域名。domain-name表示内部服务器的域名,为不超过255个字符的字符串,不区分大小写,由一个或者多个label组成,两个label间由"."分隔,每个label最长为63个字符,必须由字母或数字开头,由字母或数字结尾,中间字符可以是字母、数字或连字符"-"。
protocol pro-type:指定内部服务器支持的协议类型。pro-type表示具体的协议类型,取值为tcp或udp。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。global-ip表示外网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号。global-port表示服务端口号,取值范围为1~65535。
【描述】
nat dns-map命令用来配置一条域名到内部服务器的映射。undo nat dns-map命令用来删除一条域名到内部服务器的映射。
需要注意的是,目前设备最多可支持16条域名到内部服务器的映射。
相关配置可参考命令display nat dns-map。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.server.com,对外的IP地址为202.112.0.1。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port www
【命令】
nat outbound [ acl-number ] [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat ] ] [ track vrrp virtual-router-id ]
undo nat outbound [ acl-number ] [ address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat ] ] [ track vrrp virtual-router-id ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
acl-number:访问控制列表号,取值范围为2000~3999。
address-group group-number:指定地址转换使用的地址池。group-number为一个已经定义的地址池的编号,取值范围为0~127。如果未指定本参数,则表示直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
vpn-instance vpn-instance-name:指定地址池中的地址所属的VPN,表示可以支持VPN之间通过NAT转换进行互访。vpn-instance-name表示MPLS L3VPN中的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示地址池中的地址不属于任何一个VPN。
no-pat:表示不使用TCP/UDP端口信息实现多对多地址转换。如果未指定本参数,则表示使用TCP/UDP端口信息实现多对一地址转换。
track vrrp virtual-router-id:指定出接口地址转换与VRRP备份组进行关联。virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果未指定本参数,则表示没有进行VRRP备份组关联。
【描述】
nat outbound命令用来配置出接口地址关联。若配置了访问控制列表,则表示将一个访问控制列表ACL和一个地址池关联起来,即符合ACL规则的报文的源IP地址可以使用地址池中的地址进行地址转换;若不配置访问控制列表,则表示只要出接口报文的源IP地址不是出接口的地址,就可以使用地址池中的地址进行地址转换。undo nat outbound命令用来取消关联。
如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
需要注意的是:
· 可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况下和外部网络连接,是内部网络的出口。
· 当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。
· 在一个接口下,一个ACL只能与一个地址池绑定;但一个地址池可以与多个ACL绑定。
· 请在双机热备组网环境下保证同一个接口下的相同地址池所关联的VRRP组相同,否则系统默认该地址池与组号最大的VRRP组进行关联。
某些设备上的关联配置需遵循限制:同一接口下引用的ACL中所定义的规则之间不允许冲突:源IP地址信息、目的IP地址信息以及VPN实例信息完全相同,即认为冲突。对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息、VPN实例信息相同即认为冲突。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10到202.110.10.12之间的地址作为转换后的地址。假设Serial2/1/0接口连接外部网络。
<Sysname> system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-basic-2001] rule deny
[Sysname-acl-basic-2001] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 允许地址转换,使用地址池1中的地址进行地址转换,在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat outbound 2001 address-group 1
# 如果不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat outbound 2001 address-group 1 no-pat
# 如果直接使用Serial2/1/0接口的IP地址,可以使用如下的配置。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat outbound 2001
【命令】
nat outbound static [ track vrrp virtual-router-id ]
undo nat outbound static [ track vrrp virtual-router-id ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
track vrrp virtual-router-id:指定NAT静态转换与VRRP备份组进行关联。virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果未指定本参数,则表示没有进行VRRP备份组关联。
【描述】
nat outbound static命令用来使配置的NAT静态转换在接口上生效。undo nat outbound static命令用来取消接口上已经配置的NAT静态转换。
相关配置可参考命令display nat static。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的一对一转换,并且在Serial2/2/0接口上使能该地址转换。
<Sysname> system-view
[Sysname] nat static 192.168.1.1 2.2.2.2
[Sysname] interface serial 2/2/0
[Sysname-Serial2/2/0] nat outbound static
【命令】
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port [ vpn-instance global-name ] inside server-group group-number [ vpn-instance local-name ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port [ vpn-instance global-name ] inside server-group group-number [ vpn-instance local-name ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
protocol pro-type:指定支持的协议类型。pro-type表示了具体的协议类型,可以支持TCP、UDP协议。
global-address:提供给外部访问的合法IP地址。
current-interface:使用当前接口地址作为内部服务器的外网地址。
interface interface-type interface-number:表示使用指定接口的地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。interface-type interface-number表示接口类型和接口编号,目前只支持Loopback接口,且Loopback接口必须存在,否则为非法配置。
global-port:提供给外部访问的服务端口号,取值范围为0~65535。
· 常用的端口号可以用关键字代替。如:Web服务端口为80,可以用www代替。FTP服务端口号为21,可以用ftp代替。
· 取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于global-address和host-address之间有一个静态的连接。
vpn-instance global-name:对外公布的外网地址所属的VPN。global-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示对外公布的外网地址不属于任何一个VPN。
inside server-group group-number:服务器在内网所属的服务器组。group-number表示内部服务器组索引,取值范围为0~31。
vpn-instance local-name:内部服务器所属的VPN。local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内部服务器不属于任何一个VPN。
【描述】
nat server命令用来配置一个负载分担内部服务器。undo nat server命令用来删除负载分担内部服务器的配置。
需要注意的是:
· 通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。
· 内部服务器可以位于普通的内网内,也可以位于MPLS VPN实例内。该命令可以支持不同VPN之间通过NAT转换进行互访。
· 接口下可以配置的负载分担内部服务器数目以及系统中所允许配置的内部服务器数目均与设备的型号有关,请以设备的实际情况为准。
· 配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
相关配置可参考命令nat server-group和display nat server。
【举例】
# 指定局域网内部的Web服务器的IP地址是10.110.10.10,希望外部通过http://202.110.10.10:8080可以访问Web服务器。接口Serial2/1/0和外部网络连接。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.110.10.10 port 30
[Sysname-nat-server-group-1] quit
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat server protocol tcp global 202.110.10.10 8080 vpn vrf10 inside server-group 1
【命令】
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ] [ track vrrp virtual-router-id ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ] [ track vrrp virtual-router-id ]
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ] [ track vrrp virtual-router-id ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ] [ track vrrp virtual-router-id ]
【视图】
接口视图
【缺省级别】
2:系统级
【参数】
protocol pro-type:指定支持的协议类型。pro-type表示了具体的协议类型,可以支持TCP、UDP和ICMP协议。当指定为ICMP时,配置的内部服务器不带端口参数。
global-address:提供给外部访问的合法IP地址。
current-interface:使用当前接口地址作为内部服务器的外网地址。
interface:表示使用指定接口的地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。
interface-type interface-number:指定接口类型和接口编号,目前只支持Loopback接口,且Loopback接口必须存在,否则为非法配置。
global-port1、global-port2:通过两个端口指定一个端口范围,和内部主机的IP地址范围构成一种对应关系。global-port2必须大于global-port1。
local-address1、local-address2:定义一组连续的地址范围,和前面定义的端口范围构成一一对应的关系。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
local-port:内部服务器提供的服务端口号,取值范围为0~65535(FTP数据端口号20除外)。
· 常用的端口号可以用关键字代替。如:Web服务端口为80,可以用www代替。FTP服务端口号为21,可以用ftp代替。
· 取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于global-address和local-address之间有一个静态的连接。
global-port:提供给外部访问的服务端口号,取值范围为0~65535,缺省值及关键字的使用和local-port的规定一致。
local-address:服务器在内部局域网的IP地址。
vpn-instance global-name:对外公布的外网地址所属的VPN。global-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示对外公布的外网地址不属于任何一个VPN。vpn-instance local-name:内部服务器所属的VPN。local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内部服务器不属于任何一个VPN。
track vrrp virtual-router-id:指定内部服务器与VRRP备份组进行关联。virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果未指定本参数,则表示没有进行VRRP备份组关联。
【描述】
nat server命令用来定义一个内部服务器的映射表,用户可以通过global-address定义的地址和global-port定义的端口来访问地址和端口分别为local-address和local-port的内部服务器。undo nat server命令用来取消映射表。
需要注意的是:
· global-port和local-port只要有一个定义为any,则另一个要么不定义,要么定义为any,否则是非法配置。
· 通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。内部服务器可以位于普通的内网内,也可以位于MPLS VPN实例内。
· 在一个接口下最多可以配置2048条内部服务器地址转换命令,每条命令可以配置的内部服务器数目为global-port2与global-port1的差值,即配置多少个端口就对应多少个内部服务器。一个接口下最多可以配置2048个内部服务器。系统中最多可以配置4096个内部服务器地址转换命令。
· 配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
· 目前设备支持引用接口地址作为内部服务器的外网地址(Easy IP方式)。如果配置关键字current-interface表示外网地址使用的是当前接口的当前主地址;如果指定具体的接口,只能指定Loopback接口,外网地址使用的是配置的Loopback接口的当前主地址,且该Loopback接口必须是已存在的。
· 由于Easy IP方式的内部服务器使用了当前接口的IP地址作为它的外网地址,因此强烈建议在当前接口上配置了Easy IP方式的内部服务器之后,其它内部服务器不要配置该接口的IP地址作为它的外网地址,反之亦然。
· 请在双机热备组网环境下保证同一个接口下的内部服务器的外网地址所关联的VRRP组相同,否则系统默认该外网地址与组号最大的VRRP组进行关联。
相关配置可参考命令display nat server。
当pro-type不是udp(协议号为17)或tcp(协议号为6)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号的映射。
【举例】
# 指定局域网内部的Web服务器的IP地址是10.110.10.10,MPLS VPN vrf10内部的FTP服务器的IP地址是10.110.10.11,希望外部通过http://202.110.10.10:8080可以访问Web服务器,通过ftp://202.110.10.10可以访问FTP服务器。假设Serial1/0和外部网络连接。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
[Sysname-Serial2/1/0] quit
[Sysname] ip vpn-instance vrf10
[Sysname-vpn-instance] route-distinguisher 100:001
[Sysname-vpn-instance] vpn-target 100:1 export-extcommunity
[Sysname-vpn-instance] vpn-target 100:1 import-extcommunity
[Sysname-vpn-instance] quit
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
# 指定一个VPN vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial1/0] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
# 指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 用以下命令可以删除Web服务器。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] undo nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 www
# 用以下命令可以删除VPN vrf10内部的FTP服务器。
<Sysname> system-view
[Sysname] interface serial 2/1/0
[Sysname-Serial2/1/0] undo nat server protocol tcp global 202.110.10.11 21 inside 10.110.10.11 ftp vpn-instance vrf10
【命令】
nat server-group group-number
undo nat server-group group-number
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
group-number:内部服务器组索引号,取值范围为0~31。
【描述】
nat server-group命令用来配置一个内部服务器组。undo nat server-group命令用来删除指定的内部服务器组。
需要注意的是,当内部服务器组被接口下nat server配置引用后,将不能被删除。
相关配置可参考命令nat server。
【举例】
# 配置一个内部服务器组,内部服务器组的索引号为1。
<Sysname> system-view
[Sysname] nat server-group 1
【命令】
nat static local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ]
undo nat staticlocal-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ]
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
local-ip:内网IP地址。
vpn-instance local-name:内网IP地址所属的VPN名。local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN。
global-ip:外网IP地址。
vpn-instance global-name:外网IP地址所属的VPN。global-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN。
【描述】
nat static命令用于配置一对一静态地址转换映射。undo nat static命令用来取消一对一静态地址转换映射。
相关配置可参考命令display nat static。
【举例】
# 系统视图下,配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的静态地址转换。
<Sysname> system-view
[Sysname] nat static 192.168.1.1 2.2.2.2
【命令】
nat static net-to-net local-ip-address [ vpn-instance local-name ] global-ip-address [ vpn-instance global-name ] { mask-length | mask }
undo nat static net-to-net local-ip-address [ vpn-instance local-name ] global-ip-address [ vpn-instance global-name ] { mask-length | mask }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
local-ip-address:内网网段地址。
vpn-instance local-name:内网所属的VPN。local-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网不属于任何一个VPN。global-ip-address:外网网段地址。
vpn-instance global-name:外网所属的VPN。global-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网不属于任何一个VPN。mask-length:网络掩码长度。
mask:网络掩码。
【描述】
nat static net-to-net命令用于配置网段到网段的静态地址转换映射。undo nat static net-to-net命令用来取消网段到网段的静态地址转换映射。
需要注意的是,若支持指定出接口,则只有符合指定出接口的报文才能采用配置的静态地址映射进行转换。
相关配置可参考命令display nat static。
【举例】
# 配置网段到网段的静态转换映射:内网网段192.168.1.0/24,所属的VPN为vpn10,外网网段10.1.1.0,所属的VPN为vpn20。
<Sysname> system-view
[Sysname] nat static net-to-net 192.168.1.0 vpn-instance vpn10 10.1.1.0 vpn-instance vpn20 24
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
