- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-NAT命令
本章节下载: 01-NAT命令 (1.15 MB)
目 录
1.1.5 cu warm-load-balance-mode enable
1.1.6 cu warm-standby-mode enable
1.1.7 display nat address-group
1.1.11 display nat eim statistics
1.1.13 display nat instance address-group
1.1.14 display nat instance statistics
1.1.17 display nat mpls-tunnel
1.1.20 display nat outbound port-block-group
1.1.22 display nat port-block-group
1.1.24 display nat server-group
1.1.26 display nat srv6-tunnel
1.1.29 display nat statistics packet
1.1.37 nat address-group bind-ip-pool
1.1.38 nat address-group-usage threshold
1.1.41 nat centralized-backup auto switchback disable
1.1.42 nat centralized-backup enable
1.1.43 nat centralized-backup switchback delay
1.1.45 nat extended-port-block report-radius enable
1.1.46 nat gratuitous-arp-reply enable
1.1.48 nat hardware aging-accelerate dns enable
1.1.51 nat log bandwidth-usage threshold
1.1.58 nat log ip-usage threshold
1.1.59 nat log port-alloc-fail
1.1.60 nat log port-block port-usage threshold
1.1.61 nat log port-block usage threshold
1.1.62 nat log port-block-alloc-fail
1.1.63 nat log port-block-assign
1.1.64 nat log port-block-withdraw
1.1.65 nat mapping-behavior endpoint-independent { tcp | udp } *
1.1.67 nat outbound ds-lite-b4
1.1.68 nat outbound easy-ip failover-group
1.1.69 nat outbound port-block-group
1.1.70 nat per-global-ip user-limit
1.1.71 nat port-block flow-trigger enable
1.1.73 nat protect-tunnel inside-vpn
1.1.80 nat static outbound net-to-net
1.1.86 port-single-alloc enable
1.1.88 reset nat instance statistics
1.1.90 reset nat statistics packet
1.1.93 snmp-agent trap enable nat
1.1.96 user-table change-failover-group
address命令用来添加一个地址成员。
undo address命令用来删除一个地址成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
不存在地址成员。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【参数】
start-address end-address:地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。start-address和end-address之间的IP地址数量不能超过65536个。
【使用指导】
一个NAT地址组是多个地址成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址成员中的某个地址。
添加或删除地址成员时,需要注意:
· 同一个NAT地址组中可以多次执行本命令添加地址成员,但是添加的地址成员不能互相重叠。
· 所有NAT地址组中能够添加的地址成员总数为65536。
· 通过address命令向NAT地址组中添加地址成员后,不允许将该NAT地址组与全局NAT地址池绑定。反之,如果将NAT地址组与全局NAT地址池绑定,不允许通过address命令向该NAT地址组中添加地址成员。
· 绑定多个备份组的业务实例组被NAT实例关联后,如果NAT地址组在对应实例下用于出方向动态地址转换,不能再通过address命令向NAT地址组中添加成员。反之,如果NAT地址组通过address命令添加地址成员后,NAT实例不能关联绑定多个备份组的业务实例组。
· NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,如果NAT地址组在对应实例下用于出方向动态地址转换,不能再通过address命令向NAT地址组中添加成员。反之,如果NAT地址组通过address命令添加地址成员后,NAT实例下无法配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令。
· 当NAT地址组被地址转换规则引用时,无法通过undo address命令删除该地址组中的地址成员。
如果公网地址成员与NAT端口块静态映射中的公网地址成员重叠,请确保NAT端口块静态映射中的端口范围与NAT端口块动态映射中的端口范围不重叠。否则当用户上线时,如果设备为两个不同的用户分配了相同的公网IP地址和端口块,可能会导致无法为其中一个用户创建NAT会话。
【举例】
# 在NAT地址组2中添加地址成员。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· nat address-group
bind dhcp-server-pool命令用来将动态全局NAT地址池与DHCP服务器上的IP地址池或地址池组绑定。
undo bind dhcp-server-pool命令用来取消动态全局NAT地址池与DHCP服务器上IP地址池或地址池组的绑定关系。
【命令】
bind dhcp-server-pool server-pool-name
undo bind dhcp-server-pool
【缺省情况】
动态全局NAT地址池未绑定任何DHCP服务器上的IP地址池。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【参数】
server-pool-name:DHCP服务器上的IP地址池或者地址池组名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在转发与控制分离组网中,请在UP上配置本命令。配置本命令后,UP设备进行地址转换操作前,会向CP设备申请子网段地址空间。CP将申请到的子网段地址空间分配给UP设备上的动态全局NAT地址池进行地址转换。关于DHCP服务器的详细介绍,请参见“三层技术-IP业务”中的“DHCP服务器”。
将动态全局NAT地址池与DHCP服务器上的IP地址池/地址池组绑定、修改绑定关系或取消绑定关系时,需要注意:
· 不允许通过bind dhcp-server-pool命令将静态全局NAT地址池与DHCP服务器上的地址池/地址池组绑定。
· 在UP备份组网中,请先配置up-backup命令,再配置本命令,否则会导致up-backup命令配置失败。
· 在UP备份组网中,建议主、备UP上的动态全局NAT地址池绑定相同的IP地址池/地址池组。
· 不能通过重复执行本命令来修改动态全局NAT地址池与DHCP服务器上地址池/地址池组的绑定关系。如需修改,请先通过undo bind dhcp-server-pool命令取消绑定关系,再执行bind dhcp-server-pool命令。
· 当存在PPPoE或IPoE在线用户时,无法取消动态全局NAT地址池与DHCP服务器上IP地址池/地址池组的绑定关系。
· 绑定的IP地址池组中必须包含nat-central类型的地址池,否则无法为动态全局NAT地址池分配子网段。
【举例】
# 在UP上将名称为nat的动态全局NAT地址池与DHCP服务器上名称为pool1的IP地址池绑定。
<sysname> system-view
[sysname] nat ip-pool nat dynamic
[sysname-nat-ip-pool-nat] bind dhcp-server-pool pool1
【相关命令】
· ip-usage-threshold
· section
· subnet length
· up-backup
bind vsrp-instance命令用来将NAT实例与多机备份实例绑定。
undo bind vsrp-instance命令用来恢复缺省情况。
【命令】
bind vsrp-instance vsrp-instance-name
undo bind vsrp-instance [ vsrp-instance-name ]
【缺省情况】
NAT实例未绑定多机备份实例。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
vsrp-instance-name:多机备份实例名称,取值为1~31个字符的字符串,区分大小写。
【使用指导】
NAT实例绑定多机备份实例后,NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接,该连接即为NAT数据的备份通道。NAT模块通过数据备份通道实时备份以下信息:
· NAT模块为NAT与BRAS联动上线用户创建的用户表。
· 转发与控制分离场景中,DHCP服务器上的IP地址池为NAT分配的地址段信息。
· 私网侧VPN用户访问公网的场景中,主设备NAT会话中的VPN信息。
将NAT实例与多机备份实例绑定时,需要注意:
· 不同的NAT实例可以绑定同一个多机备份实例,但同一个NAT实例只能与一个多机备份实例绑定。
· 非转发与控制分离场景中,同一个NAT实例只能与一个多机备份实例绑定。
· 转发与控制分离的CGN N:1温备场景中,同一个NAT实例可以与多个多机备份实例绑定。
· 不能通过重复执行本命令修改NAT实例绑定的多机备份实例。如需修改NAT实例绑定的多机备份实例,请先通undo bind vsrp-instance命令删除NAT实例绑定的多机备份实例,再执行bind vsrp-instance命令。
· 如果NAT实例通过多机备份实例创建了NAT数据的备份通道,那么该NAT实例只能支持跨系统板间业务备份功能,即该NAT实例关联的业务实例组只能绑定跨系统板间业务的备份组。反之,如果NAT实例关联的业务实例组绑定了同一系统板间业务备份的备份组,那么该NAT实例只能支持同一系统板间业务备份功能,即不允许该NAT实例通过多机备份实例创建NAT数据备份通道。
· NAT实例绑定的多机备份实例可以不存在,但只有配置了多机备份实例后本命令才能生效。
解除NAT实例与多机备份实例的绑定关系时,需要注意需要在Master上执行cut access-user命令清除用户表项信息,然后再执行undo bind vsrp-instance命令。
【举例】
# 在NAT实例inst上绑定多机备份实例。
<Sysname> system-view
[Sysname] nat instance inst id 1
[Sysname-nat-instance-inst] bind vsrp-instance vsrp1
【相关命令】
· display nat instance
· service-instance-group
· vsrp instance(可靠性命令参考/多机备份)
block-size命令用来设置端口块大小。
undo block-size命令用来恢复缺省情况。
【命令】
block-size block-size
undo block-size
【缺省情况】
一个端口块中包含256个端口。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
【参数】
block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~max_number。其中max_number为65535。
【使用指导】
在一个端口块组中,需要根据私网IP地址个数,以及公网IP地址个数及其端口范围,确定一个合理的端口块大小值。端口块大小值不能超过公网地址的端口范围值。
【举例】
# 配置端口块组1的端口块大小为1024。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] block-size 1024
【相关命令】
· nat port-block-group
cu warm-load-balance-mode enable命令用来配置转控分离场景下的CGN备份模式为温备负载分担模式。
undo cu warm-load-balance-mode enable命令用来恢复缺省情况。
【命令】
cu warm-load-balance-mode enable
undo cu warm-load-balance-mode enable
【缺省情况】
转控分离场景下的CGN不进行备份。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
在转发与控制分离的温备场景中,当主UP故障时,流量能够切换到备UP上,由备UP进行地址转换。对于如下两种温备场景,主备之间的CGN备份机制不同:
· N:1温备场景,包含N个主用UP和一个备用UP,主用UP之间进行NAT业务的负载分担。同一时刻,备用UP只能为一个主用UP提供备份服务,备份采用抢占机制,哪个主用UP先故障就先为哪个UP提供备份。在所有的UP上配置cu warm-standby-mode enable命令后,主用UP会将用户表信息备份到备用UP,用户表中包含地址映射关系等信息。当备UP设备升级为主UP设备时,用户转换后的公网地址可能会发生变化。
· 1:N温备场景,N+1个主用UP,每个主用UP与另外N个主用UP两两之间形成N对主备备份关系。N+1个主用UP以负载分担方式处理NAT业务。当某对备份关系中的主用UP故障时,该备份关系中的备用UP升级为主用UP,由新的主用UP处理NAT业务。在所有的UP上配置cu warm-load-balance-mode enable命令后,主用UP会将用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息备份到备用UP。当备UP设备升级为主UP设备时,用户转换后的公网地址不会发生变化。
在转发与控制分离的温备场景中,需要保证选用的UP备份模式和CGN备份模式能够允许用户上线。具体情况如表1-1所示。
表1-1 UP备份模式和CGN备份模式的不同组合
|
UP备份模式 |
CGN备份模式 |
是否允许用户上线 |
|
冷备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
× |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
× |
|
|
双机框间热备 |
× |
|
|
1:N温备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
√ |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
× |
|
|
双机框间热备 |
× |
|
|
N:1温备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
× |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
√ |
|
|
双机框间热备 |
√ |
|
|
1:1热备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
× |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
× |
|
|
双机框间热备 |
√ |
NAT实例名称的长度为1~16个字符时,该NAT实例下才能配置cu warm-load-balance-mode enable命令。
NAT实例下,被NAT地址组绑定的动态全局NAT地址池需要满足如下条件:
· 被绑定的动态全局NAT地址池必须已经存在。
· 未被其他NAT实例下的地址组绑定。
· 被绑定的动态全局NAT地址池下未配置up-backup命令。
· 被绑定的动态全局NAT地址池的名称长度只能为1~16个字符。
CGN温备负载分担模式下的使用限制包括:
· 仅支持通过如下命令配置地址转换规则:
¡ nat outbound
¡ nat outbound ds-lite-b4
· NAT实例下配置cu warm-load-balance-mode enable命令后,该NAT实例下有如下配置限制:
¡ 配置service-instance-group命令时,NAT实例绑定的业务实例组下可绑定多个备份组,但这些备份组只能为同一系统板间备份备份组。
¡ 配置nat outbound命令时,不能指定no-pat参数。
地址转换规则只能引用已经存在的地址组,且该地址组必须通过port-block命令配置了端口块参数,同时该地址组未通过address命令添加地址成员。
¡ 配置nat address-group bind-ip-pool命令时,只能指定已经存在的地址组,且该地址组必须通过port-block命令配置了端口块参数,同时该地址组未通过address命令添加地址成员。
· 修改备份模式时,需要注意:
¡ 配置cu warm-load-balance-mode enable命令后,不能通过执行cu warm-standby-mode enable命令修改CGN的备份模式。如需修改,请先执行undo cu warm-load-balance-mode enable命令,再执行cu warm-standby-mode enable命令。
¡ 当存在PPPoE或IPoE在线用户时,不允许将CGN温备负载分担模式修改为其他备份模式。
¡ 当NAT实例绑定了多个多机备份实例时,不允许将CGN温备负载分担模式修改为其他备份模式。
· 在NAT实例下配置温备负载分担模式后,无法在该NAT实例下配置如下命令:
¡ nat centralized-backup enable
¡ nat outbound port-block-group
¡ nat port-block flow-trigger enable
¡ nat server
¡ nat static enable
【举例】
# 配置CGN备份模式为温备负载分担模式。
<Sysname> system-view
[Sysname] nat instance 1 id 1
[Sysname-nat-instance-1] cu warm-load-balance-mode enable
【相关命令】
· nat centralized-backup enable
· nat outbound port-block-group
· nat port-block flow-trigger enable
· nat server
· nat static enable
cu warm-standby-mode enable命令用来配置转控分离场景下的CGN备份模式为温备非负载分担模式。
undo cu warm-standby-mode enable命令用来恢复缺省情况。
【命令】
cu warm-standby-mode enable
undo cu warm-standby-mode enable
【缺省情况】
转控分离场景下的CGN不进行备份。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
在转发与控制分离的温备场景中,当主UP故障时,流量能够切换到备UP上,由备UP进行地址转换。对于如下两种温备场景,主备之间的备份机制不同:
· N:1温备场景,包含N个主用UP和一个备用UP,主用UP之间进行NAT业务的负载分担。同一时刻,备用UP只能为一个主用UP提供备份服务,备份采用抢占机制,哪个主用UP先故障就先为哪个UP提供备份。在所有的UP上配置cu warm-standby-mode enable命令后,主用UP会将用户表信息备份到备用UP,用户表中包含地址映射关系等信息。当备UP设备升级为主UP设备时,用户转换后的公网地址可能会发生变化。
· 1:N温备场景,N+1个主用UP,每个主用UP与另外N个主用UP两两之间形成N对主备备份关系。N+1个主用UP以负载分担方式处理NAT业务。当某对备份关系中的主用UP故障时,该备份关系中的备用UP升级为主用UP,由新的主用UP处理NAT业务。在所有的UP上配置cu warm-load-balance-mode enable命令后,主用UP会将用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息备份到备用UP。当备UP设备升级为主UP设备时,用户转换后的公网地址不会发生变化。
在转发与控制分离的温备场景中,需要保证选用的UP备份模式和CGN备份模式能够允许用户上线。具体情况如表1-2所示。
表1-2 UP备份模式和CGN备份模式的不同组合
|
UP备份模式 |
CGN备份模式 |
是否允许用户上线 |
|
冷备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
× |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
× |
|
|
双机框间热备 |
× |
|
|
1:N温备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
√ |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
× |
|
|
双机框间热备 |
× |
|
|
N:1温备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
× |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
√ |
|
|
双机框间热备 |
√ |
|
|
1:1热备 |
UP之间不备份 |
√ |
|
1:N温备负载分担模式(warm-load-balance-mode) |
× |
|
|
N:1温备非负载分担模式(warm-standby-mode) |
× |
|
|
双机框间热备 |
√ |
NAT实例下被NAT地址组绑定的动态全局NAT地址池需要满足如下条件:
· 被绑定的动态全局NAT地址池必须已经存在。
· 未被其他NAT实例下的地址组绑定。
· 被绑定的动态全局NAT地址池下未配置up-backup命令。
CGN温备非负载分担模式下的使用限制包括:
· 仅支持通过如下命令配置地址转换规则:
¡ nat outbound
¡ nat outbound ds-lite-b4
· NAT实例下配置cu warm-standby-mode enable命令后,该NAT实例下有如下配置限制:
¡ 配置service-instance-group命令时,NAT实例绑定的业务实例组下只能绑定一个备份组,且该备份组为同一系统板间备份备份组。
¡ 配置nat outbound命令时,不能指定no-pat参数。
地址转换规则只能引用已经存在的地址组,且该地址组必须通过port-block命令配置了端口块参数,同时该地址组未通过address命令添加地址成员。
¡ 配置nat address-group bind-ip-pool命令时,只能指定已经存在的地址组,且该地址组必须通过port-block命令配置了端口块参数,同时该地址组未通过address命令添加地址成员。
· 修改备份模式时,需要注意:
¡ 当NAT实例绑定了多个多机备份实例时,不允许将CGN温备非负载分担模式修改为其他备份模式。
¡ 配置cu warm-standby-mode enable命令后,不能通过执行cu warm-load-balance-mode enable命令修改CGN的备份模式。如需修改,请先执行undo cu warm-standby-mode enable命令,再执行cu warm-load-balance-mode enable命令。
¡ 当存在PPPoE或IPoE在线用户时,不允许将CGN温备非负载分担模式修改为其他备份模式。
· 在NAT实例下配置cu warm-standby-mode enable命令后,无法在该NAT实例下配置如下命令:
¡ nat centralized-backup enable
¡ nat outbound port-block-group
¡ nat port-block flow-trigger enable
¡ nat server
¡ nat static enable
【举例】
# 配置CGN备份模式为温备非负载分担模式。
<Sysname> system-view
[Sysname] nat instance cgn-a id 1
[Sysname-nat-instance-cgn-a] cu warm-standby-mode enable
【相关命令】
· cu warm-load-balance-mode enable
· nat centralized-backup enable
· nat outbound port-block-group
· nat port-block flow-trigger enable
· nat server
· nat static enable
display nat address-group命令用来显示NAT地址组的信息。
【命令】
display nat address-group [ group-id ] [ resource-usage [ verbose ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group-id:显示指定NAT地址组的信息。group-id表示地址组的编号,地址组的编号,取值范围为0~65535。如果未指定本参数,则显示所有NAT地址组的信息。
resource-usage:显示NAT地址组资源使用率的信息。如果未指定本参数,则不显示NAT地址组资源使用率的信息,仅显示NAT地址组的配置信息。
verbose:显示NAT地址组资源的总使用率以及各个地址组成员资源使用率的详细信息。如果未指定本参数,则仅显示NAT地址组资源的总使用率。
【使用指导】
在转发与控制分离的CGN温备负载分担模式下,用户上线成功后,会触发如下派生行为:
· NAT实例会派生出名称以“Sub”开头的子实例。派生出的子实例继承父实例的配置。
· 与CP上nat-central类型的IP地址池绑定的动态全局NAT地址池,派生出名称以“Sub”开头的子地址池。派生出的子地址池继承父地址池的配置。
· 与动态全局NAT地址池绑定的NAT地址组,派生出名称以“Sub”开头的子地址组。派生出的子地址组继承父地址组的配置。
后续,由子实例处理NAT业务,由子地址池为子地址组分配地址段,子地址组获取到地址段后,为用户分配地址转换后的IP地址。执行本命令可以查看地址组的信息以及该地址组派生的子地址组的信息。
非转发与控制分离的CGN温备负载分担模式,用户上线不会触发派生行为。执行本命令可以查看NAT地址的信息。
本命令显示的NAT地址组资源使用率包括:
· 地址使用率。地址使用率=被使用的IP地址数÷地址组拥有的地址总数。被使用的IP地址指的是,为用户分配的且已用于地址转换的公网IP。
· 端口使用率。端口使用率=已分配的端口数÷端口总数。配置nat per-global-ip user-limit命令后,端口使用率的计算方式不变。可能会导致查看到的端口使用率不准确,此为正常现象,无需处理。
【举例】
# 显示所有地址组的配置信息。
<Sysname> display nat address-group
NAT address group information:
Totally 8 NAT address groups.
Address group name/ID: group1/1
Port range: 1024-65535
Failover group name: nat
Address information:
Start address End address
202.110.10.10 202.110.10.15
Address group name/ID: group2/2
Port range: 1024-65535
Failover group name: trans
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group name/ID: group3/3
Port range: 1024-65535
Failover group name: nat
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group name/ID: group4/4
Port range: 10001-65535
Port block size: 500
Extended block number: 1
TCP port limit: 1000
UDP port limit: 2000
ICMP port limit: 3000
Port limit in total: 6000
Failover group name: nat
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group name/ID: group5/5
Port range: 10001-65535
Port block size: 6400
Extended block number: 1
Extended block size: 64
Address information:
Start address End address
202.110.10.70 202.110.10.75
Address group name/ID: group6
Port range: 1024-65535
Failover group name: nat
Address information:
Start address End address
--- ---
Address group name/ID: 7/7
Port range: 10000-40000
Nat per-global-ip user-limit: 1
Port-single-alloc
TCP port limit: 100
UDP port limit: 100
ICMP port limit: 200
Port limit in total: 500
Instance name/ID: nat7/7
Address information:
Start address End address
--- ---
Address group name/ID: 8/8
Port range: 10000-40000
Port block size: 1000
Instance name/ID: nat8/8
Totally 2 sub NAT address groups.
Address group name/ID: Sub_196630_7/98561
Instance name/ID: Sub_196630_nat7/129
Address information:
Start address End address
202.110.10.70 202.110.10.75
Address group name/ID: Sub_196631_7/98817
Instance name/ID: Sub_196631_nat7/130
Address information:
Start address End address
202.110.10.80 202.110.10.85
表1-3 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组信息 |
|
Totally n NAT address groups |
当前有n个地址组,仅显示父地址组的个数 |
|
Address group name/ID |
地址组的名称和编号 |
|
Port range |
地址的端口范围 |
|
Port block size |
端口块大小。如果未配置,则不显示 |
|
Extended block number |
增量端口块数。如果未配置,则不显示 |
|
Extended block size |
每个增量端口块中包含的端口数。如果未配置,则不显示 |
|
Port-single-alloc |
逐端口分配模式。如果未配置,则不显示 |
|
TCP port limit |
可分配给TCP协议的最大端口数目。如果未配置,则不显示 |
|
UDP port limit |
可分配给UDP协议的最大端口数目。如果未配置,则不显示 |
|
ICMP port limit |
可分配给ICMP协议的最大端口数目。如果未配置,则不显示 |
|
Port limit in total |
可分配给TCP、UDP和ICMP协议的最大端口总数。如果未配置,则不显示 |
|
Instance name/ID |
绑定NAT地址组的NAT实例名称和ID |
|
Totally n sub NAT address groups |
基于NAT父地址组派生出n个子地址组 |
|
Address group name/ID |
NAT地址组名称和ID |
|
Address information |
地址组成员信息 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示”---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示”---” |
# 显示指定地址组的配置信息。
<Sysname> display nat address-group 1
Address group name/ID: group1/1
Port range: 1024-65535
Instance name/ID: nat1/1
Address information:
Start address End address
202.110.10.10 202.110.10.15
表1-4 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
Address group name/ID |
NAT地址组的名称和编号 |
|
Instance name/ID |
NAT实例的名称和编号 |
|
Address information |
地址组成员信息 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示”---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示”---” |
# 显示NAT地址组的资源总使用率以及各个地址组成员资源使用率的详细信息。
<Sysname> display nat address-group resource-usage verbose
NAT address group information:
Totally 2 NAT address groups.
Address group name/ID: group2/2
Port range: 1024-1000
Port block size: 100
IP usage: 100%
Port usage: 0%
Port usage of group members:
Start address End address Port usage
202.110.10.10 202.110.10.15 50%
202.110.10.20 202.110.10.25 50%
Address group name/ID: group3/3
Port range: 1024-65535
TCP port limit: 100
UDP port limit: 100
ICMP port limit: 100
Instance name/ID: nat1/1
IP usage: 0%
Port usage: 0%
Port usage of group members:
Start address End address Port usage
10.1.1.1 10.1.1.10 0%
表1-5 display nat address-group resource-usage verbose命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组信息 |
|
Totally n NAT address groups |
当前有n个地址组 |
|
Address group name/ID |
地址组的名称和编号 |
|
Port range |
地址的端口范围 |
|
Port block size |
端口块大小。如果未配置,则不显示 |
|
Extended block number |
增量端口块数。如果未配置,则不显示 |
|
Extended block size |
每个增量端口块中包含的端口数。如果未配置,则不显示 |
|
TCP port limit |
可分配给TCP协议的最大端口数目。如果未配置,则不显示 |
|
UDP port limit |
可分配给UDP协议的最大端口数目。如果未配置,则不显示 |
|
ICMP port limit |
可分配给ICMP协议的最大端口数目。如果未配置,则不显示 |
|
Port limit in total |
可分配给TCP、UDP和ICMP协议的最大端口总数。如果未配置,则不显示 |
|
Instance name/ID |
NAT实例的名称和编号 |
|
IP usage |
地址组的地址使用率 |
|
Port usage |
地址组的端口使用率 |
|
Failover group name |
NAT地址组绑定的备份组的名称。如果未配置,则不显示 |
|
Port usage of group members |
地址组成员的端口使用率 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示”---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示”---” |
【相关命令】
· nat address-group
display nat all命令用来显示所有的NAT配置信息。
【命令】
display nat all
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有的NAT配置信息。(接口NAT)(独立运行模式)
<Sysname> display nat all
NAT address group information:
Totally 5 NAT address groups.
Address group name/ID: 1/1
Port range: 1024-65535
Failover group name: nat
Address information:
Start address End address
202.110.10.10 202.110.10.15
Address group name/ID: 2/2
Port range: 1024-65535
Failover group name: group1
Failover group name: trans
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group name/ID: 3/3
Port range: 1024-65535
Failover group name: abc
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group name/ID: 4/4
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Failover group name: trans
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group name/ID: 5/5
Port range: 10001-65535
Port block size: 6400
Extended block number: 1
Extended block size: 64
TCP port limit: 1000
UDP port limit: 2000
ICMP port limit: 3000
Port limit in total: 6000
Address information:
Start address End address
202.110.10.70 202.110.10.75
Address group name/ID: 6/6
Port range: 1024-65535
Address information:
Start address End address
--- ---
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: Ten-GigabitEthernet3/1/1
ACL: 2038 Address group: 2 Add route: Y
NO-PAT: Y Reversible: N
VPN instance: vpn_nat
Service card: Slot 2
Config status: Active
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: 2036 Address group: 1 Port-preserved: Y
NO-PAT: N Reversible: N
Config status: Active
Interface: Ten-GigabitEthernet3/1/2
ACL: 2037 Address group: 1 Port-preserved: N
NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Config status: Active
NAT internal server information:
Totally 4 internal servers.
Interface: Ten-GigabitEthernet3/1/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
ACL : 2000
Service card : Slot 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/4
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Service card : Slot 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
ACL : 3000
Service card : Slot 2
Config status : Inactive
Reasons for inactive status: Active
Interface: Ten-GigabitEthernet3/1/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
192.168.0.26/23 (Connections: 10)
192.168.0.27/23 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn3
Service card : Slot 2
Config status : Active
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 2.2.2.1 – 2.2.2.255
Local IP : 1.1.1.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Config status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
Global VPN : vpn3
Local VPN : vpn4
ACL : 2001
Reversible : Y
Config status: Active
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
Local VPN : vpn1
Global VPN : vpn2
ACL : 2000
Reversible : Y
Failover group name: abc
Config status: Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
Local VPN : vpn1
Global VPN : vpn2
ACL: : 2001
Reversible : Y
Failover group name: group1
Config status: Active
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: Ten-GigabitEthernet3/1/4
Service card : Slot 2
Config status: Active
Interface: Ten-GigabitEthernet3/1/6
Config status: Active
NAT DNS mappings:
Totally 2 NAT DNS mappings.
Domain name : www.example.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : service.example.com
Global IP : 10.1.1.1
Global port : 12
Protocol : TCP(6)
Config status: Active
NAT logging:
Log enable : Enabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(40%)
NAT hairpinning:
Totally 2 interfaces enabled with NAT hairpinning.
Interface: Ten-GigabitEthernet3/1/4
Service card : Slot 2
Config status: Active
Interface: Ten-GigabitEthernet3/1/6
Service card : Slot 2
Config status: Active
NAT mapping behavior:
Mapping mode : Endpoint-Independent
ACL : 2050
Config status: Active
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
NAT Agency ALG:
FTP : Enabled
ICMP-ERROR : Enabled
SIP : Disabled
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1024-65535
Block size: 256
TCP port limit: 1000
UDP port limit: 2000
ICMP port limit: 3000
Port limit in total: 6000
Failover group name: nat
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Failover group name: group1
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 ---
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1024-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: Ten-GigabitEthernet3/1/2
Port-block-group: 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/2
Port-block-group: 10
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
NAT extended port block report to RADIUS: Disabled
NAT hardware aging-accelerate dns : Disabled
# 显示所有的NAT配置信息。(全局NAT)
<Sysname> display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group name/ID: 1/1
Port range: 1024-65535
Address information:
Start address End address
--- ---
NAT instance information:
Totally 2 NAT instances.
Instance name/ID: a/10
service-instance-group sgrp
nat port-block flow-trigger enable
nat outbound 3000 address-group 1
nat outbound port-block-group 1
undo nat gratuitous-arp-reply enable
bind vsrp-instance 1
nat protect-tunnel inside-vpn vpn1
Instance name/ID: inst1/20
service-instance-group 2
cu warm-standby-mode enable
bind vsrp-instance 1
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
PPTP : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SIP : Enabled
SQLNET : Enabled
TFTP : Enabled
XDMCP : Enabled
NAT Agency ALG:
FTP : Enabled
ICMP-ERROR : Enabled
SIP : Disabled
Static NAT load balancing: Disabled
NAT VSRP port: 60046
NAT hardware aging-accelerate dns : Disabled
上述显示信息是目前所有NAT配置信息的集合。由于部分NAT配置(nat address-group、nat server-group、nat outbound、nat server、nat static、nat static net-to-net、nat static enable、nat dns-map、nat log、nat port-block-group和nat outbound port-block-group)有自己独立的显示命令,且此处显示信息的格式与各命令对应的显示信息的格式相同的,所以此处不对这些配置的显示字段的含义进行详细解释,如有需要,请参考各独立的显示命令。下面的表格将给出相关显示命令的参见信息并仅解释nat hairpin enable、nat mapping-behavior和nat alg配置的显示字段的含义。
表1-6 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组的配置信息,详细字段解释请参见“表1-5” |
|
NAT instance information |
NAT实例的配置信息,详细字段请参见“表1-10” |
|
NAT server group information |
NAT内部服务器组的配置信息,详细字段解释请参见“表1-27” |
|
NAT outbound information |
出方向动态地址转换的配置信息,详细字段解释请参见“表1-21” |
|
NAT internal server information |
NAT内部服务器的配置信息,详细字段解释请参见“表1-26” |
|
Static NAT mappings |
静态地址转换的配置信息,详细字段解释请参见“表1-30” |
|
NAT DNS mappings |
NAT DNS mapping的配置信息,详细字段解释请参见“表1-7” |
|
NAT logging |
NAT日志功能的配置信息,详细字段解释请参见“表1-18” |
|
NAT hairpinning |
NAT hairpin功能。如果未配置,则不显示该字段 |
|
Totally n interfaces enabled NAT hairpinning |
当前有n个接口开启NAT hairpin功能 |
|
Interface |
开启NAT hairpin功能的接口 |
|
Service card |
显示提供NAT处理的业务板。如果接口下没有指定业务板,则不显示该字段 |
|
Config status |
显示NAT hairpin配置的状态 · Active:生效 |
|
NAT mapping behavior |
PAT方式下的地址转换模式 · Connection-dependent:表示关心对端地址和端口的非共享转换模式 · Endpoint-Independent (TCP):表示不关心对端地址和端口的转换模式,且为传输层协议类型为TCP的报文在PAT方式出方向地址转换中仅创建EIM表项 · Endpoint-Independent (TCP-5-Tuple):表示不关心对端地址和端口的转换模式,为传输层协议类型为TCP的报文在PAT方式出方向地址转换中既创建五元组类型的会话表项,也创建EIM表项 · Endpoint-Independent (UDP):表示不关心对端地址和端口的转换模式,且为传输层协议类型为UDP的报文在PAT方式出方向地址转换中仅创建EIM表项 · Endpoint-Independent (UDP-5-Tuple):表示不关心对端地址和端口的转换模式,且为传输层协议类型为UDP的报文在PAT方式出方向地址转换中既创建五元组类型的会话表项,也创建EIM表项 |
|
ACL |
引用的ACL编号或名称。如果未配置,则显示“---” |
|
Config status |
显示NAT mapping behavior配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示NAT mapping behavior配置不生效的原因 · The following items don't exist or aren't effective: ACL:引用的ACL不存在 |
|
NAT ALG |
各协议的NAT ALG功能开启信息 |
|
NAT port block group information |
NAT端口块组的配置信息,详细字段解释请参见“表1-25” |
|
NAT outbound port block group information |
NAT端口块静态映射的配置信息,详细字段解释请参见“表1-22” |
|
NAT extended port block report to RADIUS |
NAT支持将用户私网IP与增量端口块的映射关系上报给RADIUS服务器功能的开启状态: · Enabled:表示开启 · Disabled:表示关闭 |
|
Static NAT load balancing |
静态NAT在多个NAT业务引擎上进行负载分担功能的开启状态: · Enabled:表示开启 · Disabled:表示关闭 |
|
NAT Agency ALG |
为代拨用户报文开启ALG功能的开启状态: · Enabled:表示开启 · Disabled:表示关闭 |
|
NAT VSRP port |
NAT通过VSRP建立数据备份通道使用的TCP端口号 |
|
NAT hardware aging-accelerate dns |
NAT加速老化处理DNS业务报文时生成的会话表项和EIM表项功能的开启状态: · Enabled:表示开启 · Disabled:表示关闭 |
display nat dns-map命令用来显示NAT DNS mapping配置信息。
【命令】
display nat dns-map
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
Totally 2 NAT DNS mappings.
Domain name : www.example.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : service.example.com
Global IP : 10.1.1.1
Global port : 12
Protocol : TCP(6)
Config status: Active
表1-7 display nat dns-map命令显示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping配置信息 |
|
Totally n NAT DNS mappings |
当前有n条DNS mapping配置 |
|
Domain name |
DNS域名 |
|
Global IP |
外网地址。如果配置使用的是Easy IP方式,则此处显示指定的接口的地址。“---”表示接口下未配置外网地址 |
|
Global port |
外网端口号 |
|
Protocol |
协议名称以及协议编号 |
|
Config status |
显示DNS mapping配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示DNS mapping配置不生效的原因 · The following items don't exist or aren't effective: interface IP address:引用的接口未配置IP地址 |
【相关命令】
· nat dns-map
display nat eim命令用来显示NAT EIM表项信息。
【命令】
(独立运行模式)
display nat eim [ slot slot-number [ cpu cpu-number ] ] [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ]
(IRF模式)
display nat eim [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有成员设备的所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
protocol:显示指定协议类型的EIM表项信息。
icmp:显示ICMP协议类型的EIM表项信息。
tcp:显示TCP协议类型的EIM表项信息。
udp:显示UDP协议类型的EIM表项信息。
local-ip local-ip:显示指定内网IP地址的EIM表项信息,local-ip表示内网IP地址。
local-ip b4 ipv6-address:显示指定B4设备IPv6地址的EIM表项信息,ipv6-address表示B4设备的IPv6地址。
local-port local-port:显示指定内网端口号的EIM表项信息,local-port表示内网端口号,取值范围为0~65535。
global-ip global-ip:显示指定公网IP地址的EIM表项信息,global-ip表示公网IP地址。
global-port global-port:显示指定公网端口号的EIM表项信息,global-port表示公网端口号,取值范围为0~65535。
【使用指导】
EIM三元组表项是报文在进行Endpoint-Independent Mapping方式的PAT转换时创建的,它记录了内网和外网的转换关系(内网地址和端口<-->NAT地址和端口),该表项有以下两个作用:
· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。
· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。
如果不指定local-ip、local-port、global-ip、global-port参数,将显示所有ICMP/TCP/UDP协议类型的EIM表项信息。
【举例】
# 显示指定slot上的NAT EIM表项信息。(独立运行模式)
<Sysname> display nat eim slot 1
Slot 1:
Local IP/port: 192.168.100.100/1024
Global IP/port: 200.100.1.100/2048
DS-Lite tunnel peer: -
Local VPN: vpn1
Global VPN: vpn2
Protocol: TCP(6)
Failover group name: -
Local IP/port: 192.168.100.200/2048
Global IP/port: 200.100.1.200/4096
DS-Lite tunnel peer: -
Protocol: UDP(17)
Failover group name: -
Total entries found: 2
# 显示指定slot上协议类型为TCP的NAT EIM表项信息。(独立运行模式)
<Sysname> display nat eim slot 1 cpu 0 protocol tcp
Slot 1:
Local IP/port: 192.168.100.100/1024
Global IP/port: 200.100.1.100/2048
DS-Lite tunnel peer: -
Local VPN: vpn1
Global VPN: vpn2
Protocol: TCP(6)
Failover group name: -
Total entries found: 1
表1-8 display nat eim命令显示信息描述表
|
字段 |
描述 |
|
CPU |
CPU编号 |
|
DS-Lite tunnel peer |
DS-Lite B4端隧道地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Protocol |
协议名称以及协议编号 |
|
Failover group name |
备份组的名称。如果未绑定任何备份组,本字段显示为“-” |
|
Total entries found |
当前查找到的EIM表项的个数 |
【相关命令】
· nat mapping-behavior
· nat outbound
display nat eim statistics命令用来显示NAT EIM表项的统计信息。
【命令】
(独立运行模式)
display nat eim statistics [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat eim statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
通过本命令可以查看NAT EIM表项的统计信息,包括EIM表项的数量、传输层协议为TCP或UDP的EIM表项创建速率等信息。
【举例】
# 显示指定slot上NAT EIM的统计信息。(独立运行模式)
<Sysname> display nat eim statistics slot 2
EIM: Total EIM entries.
TCP: Total EIM entries for TCP.
UDP: Total EIM entries for UDP.
Rate: Creating rate of EIM entries.
TCP rate: Creating rate of EIM entries for TCP.
UDP rate: Creating rate of EIM entries for UDP.
Slot EIM TCP UDP Rate TCP rate UDP rate
(entries/s) (entries/s) (entries/s)
2 0 0 0 0 0 0
表1-9 display nat eim statistics命令显示信息描述表
|
字段 |
描述 |
|
Total EIM entries |
EIM表项个数 |
|
Total EIM entries for TCP |
传输层协议为TCP的EIM表项个数 |
|
Total EIM entries for UDP |
传输层协议为UDP的EIM表项个数 |
|
Creating rate of EIM entries |
EIM表项的创建速率 |
|
Creating rate of EIM entries for TCP |
传输层协议为TCP的EIM表项创建速率 |
|
Creating rate of EIM entries for UDP |
传输层协议为UDP的EIM表项创建速率 |
【相关命令】
· nat mapping-behavior
display nat instance命令用来显示NAT实例的信息。
【命令】
display nat instance [ instance-name instance-name ] [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
instance-name instance-name:显示指定NAT实例的信息。instance-name表示NAT实例的名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,将显示所有NAT实例的信息。
brief:显示NAT实例的简要信息。
verbose:显示NAT实例的详细信息。
【使用指导】
如果未指定brief或verbose参数,则仅显示NAT实例的配置信息。
在转发与控制分离的CGN温备负载分担模式下,用户上线成功后,会触发如下派生行为:
· NAT实例会派生出名称以“Sub”开头的子实例。派生出的子实例继承父实例的配置。
· 与CP上nat-central类型的IP地址池绑定的动态全局NAT地址池,派生出名称以“Sub”开头的子地址池。派生出的子地址池继承父地址池的配置。
· 与动态全局NAT地址池绑定的NAT地址组,派生出名称以“Sub”开头的子地址组。派生出的子地址组继承父地址组的配置。
后续,由子实例处理NAT业务,由子地址池为子地址组分配地址段,子地址组获取到地址段后,为用户分配地址转换后的IP地址。执行本命令可以查看NAT实例的信息,以及该NAT实例派生的子实例的信息。
非转发与控制分离的CGN温备负载分担模式,用户上线不会触发派生行为。执行本命令可以查看NAT实例的信息。
【举例】
# 显示所有NAT实例的配置信息。
<Sysname> display nat instance
NAT instance information:
Totally 2 NAT instance.
Instance name/ID: instance1/10
service-instance-group sgrp
nat port-block flow-trigger enable
nat outbound 3000 address-group 1
nat outbound port-block-group 1
nat centralized-backup enable
nat centralized-backup manual switch
nat centralized-backup auto switchback disable
nat address-group 1 bind-ip-pool pool1
bind vsrp-instance 1
nat protect-tunnel inside-vpn vpn1
Instance instance2:
Instance ID: 11
service-instance-group group1
cu warm-load-balance-mode enable
bind vsrp-instance 1
bind vsrp-instance 2
nat protect-tunnel inside-vpn vpn1
# 显示指定NAT实例的配置信息。
<Sysname> display nat instance instance-name instance1
Instance name/ID: instance1/10
service-instance-group group1
nat outbound 3000 address-group 1
nat outbound port-block-group 1
nat port-block flow-trigger enable
nat centralized-backup enable
nat centralized-backup manual switch
nat centralized-backup auto switchback disable
表1-10 display nat instance命令显示信息描述表
|
字段 |
描述 |
|
Totally n NAT instances |
NAT实例的总数为n |
|
Instance xxx |
名称为xxx的NAT实例 |
|
Instance name/ID |
NAT实例的名称和编号 |
|
service-instance-group group1 |
NAT实例关联的业务实例组的名称 |
|
nat outbound 3000 address-group 1 |
出方向动态地址转换的配置 |
|
nat outbound port-block-group 1 |
出方向NAT端口块静态映射的配置 |
|
nat port-block flow-trigger enable |
流量触发分配端口块开关。如果未开启流量触发分配端口块功能,则不显示该字段 |
|
nat centralized-backup enable |
开启了集中式备份分布式CGN功能 |
|
nat centralized-backup manual switch |
将分布式部署CGN设备上的流量手工强制切换到集中式部署CGN设备上进行地址转换的配置 |
|
nat centralized-backup atuo switchback disable |
禁止集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的配置 |
|
nat address-group xxx bind-ip-pool yyy |
NAT地址组绑定全局NAT地址池的配置。xxx表示NAT地址组的编号,yyy表示全局NAT地址池的名称 |
|
cu warm-standby-mode enable |
CGN温备模式已开启。如果未开启CGN温备模式,则不显示该字段 |
|
cu warm-load-balance-mode enable |
CGN温备负载分担模式已开启。如果未开启CGN温备负载分担模式,则不显示该字段 |
|
bind vsrp-instance xxx |
绑定的多机备份实例,多机备份实例名称为xxx |
|
nat protect-tunnel inside-vpn xxx |
允许进入保护隧道的流量所属的私网侧VPN实例,私网侧VPN实例名称为xxx |
# 显示所有NAT实例的简要信息。
<Sysname> display nat instance brief
NAT instance information:
Totally 2 NAT instances.
Instance name/ID: nat1/1
Backup mode: Centralized backup for distributed CGN
Instance name/ID: nat2/2
Backup mode: 1:N Inter-device
Totally 3 NAT subinstances.
Instance name/ID: Sub_196630_nat5/129
Running role: Master
UPID (Local/Peer): 1024/1025
Virtual MAC of access interface: 0000-5e00-0102
Instance name/ID: Sub_196631_nat5/130
Running role: Master
UPID (Local/Peer): 1024/1026
Virtual MAC of access interface: 0000-5e00-0103
Instance name/ID: Sub_196627_nat5/131
Running role: Backup
UPID (Local/Peer): 1024/1025
Virtual MAC of access interface: 0000-5e00-0104
表1-11 display nat instance brief命令显示信息描述表
|
字段 |
描述 |
|
Totally n NAT instances |
NAT实例的总数为n |
|
Instance name/ID |
NAT实例的名称和编号 |
|
Backup mode |
NAT实例备份模式: · Intra-device:框内备份 · 1:1 Inter-device:1:1框间备份 · N:1 Inter-device:N:1框间备份 · 1:N Inter-device:1:N框间备份 · Centralized backup for distributed CGN:集中式备份分布式 · -:非备份 |
|
Running role |
NAT实例实际生效的角色: · Init:初始化 · Master:运行主 · Backup:运行备 · Failed:NAT实例故障(仅N:1框间备份模式存在该状态) |
|
Take over UPID |
N:1框间备份模式下,配置的备用UP接管配置的主用UP的ID |
|
Totally n NAT subinstances |
基于NAT父实例派生了n个子实例 |
|
UPID (Local/Peer) |
形成主备关系的UP管理实例ID · Local:本端的UP管理实例ID · Peer:对端的UP管理实例ID |
|
Virtual MAC of access interface |
用户上线口的虚拟MAC |
# 显示所有NAT实例的详细信息。
<Sysname> display nat instance vebose
NAT instance information:
Totally 3 NAT instance.
Instance name/ID: nat1/1
service-instance-group 1
nat outbound 3001 address-group 2
nat address-group 2 bind-ip-pool pool1
cu warm-load-balance-mode enable
bind vsrp-instance 12
Backup mode: 1:N Inter-device
Running role: Master
Instance name/ID: nat2/2
service-instance-group 2
nat outbound 3002 address-group 2
nat address-group 2 bind-ip-pool pool2
cu warm-load-balance-mode enable
bind vsrp-instance 12
Backup mode: 1:N Inter-device
Totally 2 NAT subinstances.
Instance name/ID: Sub_196630_nat2/129
service-instance-group 2
nat outbound 3002 address-group Sub_196630_2
nat address-group Sub_196630_2 bind-ip-pool Sub_196630_pool2
cu warm-load-balance-mode enable
bind vsrp-instance 12
Running role: Master
UPID (Local/Peer): 1024/1025
Virtual MAC of access interface: 0000-5e00-0102
Instance name/ID: Sub_196631_nat2/130
service-instance-group 2
nat outbound 3002 address-group Sub_196631_2
nat address-group Sub_196631_2 bind-ip-pool Sub_196631_pool2
cu warm-load-balance-mode enable
bind vsrp-instance 12
Running role: Master
UPID (Local/Peer): 1024/1026
Virtual MAC of access interface: 0000-5e00-0103
Instance name/ID: nat3/3
service-instance-group 3
nat outbound 3003 address-group 3
nat address-group 3 bind-ip-pool pool3
cu warm-load-balance-mode enable
bind vsrp-instance 12
Running mode: 1:N Inter-device
Totally 0 NAT subinstances.
表1-12 display nat instance vebose命令显示信息描述表
|
字段 |
描述 |
|
NAT instance information |
【相关命令】
· nat instance
display nat instance address-group命令用来显示NAT实例使用的地址组的信息。
【命令】
display nat instance instance-name instance-name address-group group-id [ failover-group group-name ] [ resource-usage ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
instance-name instance-name:指定全局NAT实例名称,取值范围为1~31个字符的字符串,区分大小写。
group-id:指定地址组编号,取值范围为0~65535。
failover-group group-name:指定备份组名称,为1~63个字符的字符串,区分大小写。如果未指定本参数,将显示NAT实例下地址组绑定的各个备份组的地址信息。
resource-usage:显示地址组的地址信息以及各个地址资源的使用率。如果未指定本参数,只显示地址组的地址信息和地址使用率的总体情况。
【使用指导】
NAT实例使用的NAT地址组存在单独配置或绑定全局NAT地址池的不同配置情况:
· NAT实例使用的地址组通过绑定全局NAT地址池获得地址资源的情况下,NAT实例关联的业务实例组配置了一个或多个备份组时,地址组绑定的全局NAT地址池会为各个备份组分配地址资源,通过本命令可以查看地址组和全局NAT地址池的信息,以及全局NAT地址池为各个备份组分配的地址信息和地址的使用情况。
· NAT实例使用的地址组通过address命令添加地址资源的情况下,通过本命令可以查看该地址组信息和地址的使用情况。
在转发与控制分离的CGN温备负载分担模式下,用户上线成功后,会触发如下派生行为:
· NAT实例会派生出名称以“Sub”开头的子实例。派生出的子实例继承父实例的配置。
· 与CP上nat-central类型的IP地址池绑定的动态全局NAT地址池,派生出名称以“Sub”开头的子地址池。派生出的子地址池继承父地址池的配置。
· 与动态全局NAT地址池绑定的NAT地址组,派生出名称以“Sub”开头的子地址组。派生出的子地址组继承父地址组的配置。
后续,由子实例处理NAT业务,由子地址池为子地址组分配地址段,子地址组获取到地址段后,为用户分配地址转换后的IP地址。执行本命令可以查看NAT实例使用的地址组的信息,以及该NAT实例派生的子实例使用的子地址组的信息。
非转发与控制分离的CGN温备负载分担模式,用户上线不会触发派生行为。执行本命令可以查看NAT实例使用的地址组的信息。
【举例】
# 显示NAT实例instance1中地址组1的信息。
<Sysname> display nat instance instance-name instance1 address-group 1
Instance : instance1
Address group name/ID : 1/1
IP pool name : 1
Subnet length (Initial/Extended) : 27/30
Usage thresholds (High/Low) : 80%/20%
Total IP usage : 1%
Total port usage : 0%
Address info:
Subnet Mask Total
202.38.1.0 255.255.255.224 32
Failover-group: cgn1
Total IP count : 16
IP usage : 1%
Port usage: 3%
Address info:
StartIP Total Initial
202.38.1.0 16 Y
Failover-group: cgn2
Total IP count : 16
IP usage : 1%
Port usage: 3%
Address info:
StartIP Total Initial
202.38.1.16 16 Y
表1-13 display nat instance address-group命令显示信息描述表
|
字段 |
描述 |
|
Instance |
NAT实例名称 |
|
Address group name/ID |
NAT实例下的地址组名称和编号 |
|
IP pool name |
地址组绑定的全局NAT地址池名称。如果NAT实例使用的地址组通过address命令添加地址资源,则不显示该字段 |
|
Subnet length(Initial/Extended) |
地址组绑定的全局NAT地址池初始段和扩展段大小 · Initial:初始网段掩码长度 · Extended:扩展网段掩码长度 如果NAT实例使用的地址组通过address命令添加地址资源,则不显示该字段 |
|
Usage thresholds(High/Low) |
全局NAT地址池上限/下限阈值 · High:表示申请阈值 · Low:表示释放阈值 如果NAT实例使用的地址组通过address命令添加地址资源,则不显示该字段 |
|
Totally n sub address groups |
基于NAT父地址组派生出n个子地址组 |
|
Total IP usage |
地址组中IP地址使用率(IP使用率只表示IP地址被分配使用的情况,无法表示当前地址组中资源使用是否到达临界值,请关注Total port usage) |
|
Total port usage |
地址组中端口资源使用率 |
|
Address info |
地址组获取的地址段使用信息: · Subnet:地址组获取地址段的起始网段 · Mask:地址组获取地址段的起始网段的子网掩码 · Total:地址组获取地址段IP总个数 |
|
Failover-group |
NAT实例关联的业务实例组中绑定的备份组名称: · Total IP count:备份组获取的地址段所包含的IP地址总数 · IP usage:备份组下IP地址的使用率 · Port usage:备份组中端口资源使用率 · Address info:备份组获取的地址段使用信息 ¡ StartIP:备份组获取的地址段起始地址 ¡ Total:备份组获取的地址段中包含的地址总数 ¡ Initial:初始段标志。地址组绑定全局NAT地址池时,Y表示该地址段为初始地址段,N表示该地址段为扩展地址段。未绑定全局NAT地址池时,本字段显示为“---” |
# 显示NAT实例instance1中地址组信息以及地址的使用情况。
<Sysname> display nat instance instance-name instance1 address-group 1 resource-usage
Instance : instance1
Address group name/ID : 1/1
IP pool name : nat-ip-pool1
Total IP usage : 75%
Total port usage : 63%
Failover-group: group1
Total IP count : 8
IP usage : 100%
Port usage : 100%
IP Port usage
150.1.1.0 100%
150.1.1.1 100%
150.1.1.2 100%
150.1.1.3 100%
150.1.1.4 100%
150.1.1.5 100%
150.1.1.6 100%
150.1.1.7 100%
Failover-group: group2
Total IP count : 8
IP usage : 12.5%
Port usage : 25%
IP Port usage
150.1.1.8 50%
150.1.1.9 50%
150.1.1.10 50%
150.1.1.11 50%
150.1.1.12 0%
150.1.1.13 0%
150.1.1.14 0%
150.1.1.15 0%
表1-14 display nat instance address-group resource-usage命令显示信息描述表
|
字段 |
描述 |
|
Instance |
NAT实例名称 |
|
Address group name/ID |
NAT实例下绑定的地址组名称和编号 |
|
IP pool name |
全局NAT地址池名称 |
|
Total IP usage |
地址组中IP地址使用率(IP地址使用率只表示地址被分配使用的情况,无法表示当前地址组中资源使用是否到达临界值,请关注端口资源使用率) |
|
Total port usage |
地址组中端口资源使用率 |
|
Failover-group |
NAT实例关联的业务实例组中绑定的备份组名称 |
|
Total IP count |
全局NAT地址池为该备份组分配的IP地址总数 |
|
IP usage |
备份组中IP地址使用率 |
|
Port usage |
备份组中端口资源的使用率或每个IP地址的端口资源的使用率,端口资源使用率=已使用的端口数/端口总数 |
|
IP |
NAT实例下地址组绑定的全局NAT地址池为各个备份组分配的IP地址 |
【相关命令】
· ip-usage-threshold
· nat ip-pool
· subnet length
display nat instance statistics命令用来在UP上查看NAT实例处理接入用户地址转换业务的统计信息。
【命令】
display nat instance [ instance-name instance-name ] statistics
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
【参数】
instance-name instance-name:表示NAT实例的名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,将显示所有NAT实例处理接入用户地址转换业务的统计信息。
【使用指导】
在转发与控制分离的CGN温备负载分担模式下,用户上线成功后,会触发如下派生行为:
· NAT实例会派生出名称以“Sub”开头的子实例。派生出的子实例继承父实例的配置。
· 与CP上nat-central类型的IP地址池绑定的动态全局NAT地址池,派生出名称以“Sub”开头的子地址池。派生出的子地址池继承父地址池的配置。
· 与动态全局NAT地址池绑定的NAT地址组,派生出名称以“Sub”开头的子地址组。派生出的子地址组继承父地址组的配置。
后续,由子实例处理NAT业务,由子地址池为子地址组分配地址段,子地址组获取到地址段后,为用户分配地址转换后的IP地址。执行本命令可以查看NAT实例的信息,以及该NAT实例派生的子实例处理接入用户地址转换业务的统计信息。
非转发与控制分离的CGN温备负载分担模式,用户上线不会触发派生行为。执行本命令可以查看NAT实例处理接入用户地址转换业务的统计信息。
【举例】
# 显示所有NAT实例处理接入用户地址转换业务的统计信息。
<Sysname> display nat instance statistics
NAT instance statistics:
Totally 2 NAT instances.
Instance name/ID: instance1/10
Failover group name: nat1
Session entries: 0
EIM entries: 0
User table entries: 0
Total session setup entries: 0
Total session teardown entries: 0
Total EIM setup entries: 0
Total EIM teardown entries: 0
Failover group name: nat2
Session entries: 0
EIM entries: 0
User table entries: 0
Total session setup entries: 0
Total session teardown entries: 0
Total EIM setup entries: 0
Total EIM teardown entries: 0
Instance name/ID: instance2/11
Totally 1 NAT subinstances.
Instance name/ID: Sub_196630_instance2/129
Failover group name: nat3
Session entries: 0
EIM entries: 0
User table entries: 0
Total session setup entries: 0
Total session teardown entries: 0
Total EIM setup entries: 0
Total EIM teardown entries: 0
Failover group name: nat4
Session entries: 0
EIM entries: 0
User table entries: 0
Total session setup entries: 0
Total session teardown entries: 0
Total EIM setup entries: 0
Total EIM teardown entries: 0
表1-15 display nat instance statistics命令显示信息描述表
|
字段 |
描述 |
|
Instance name/ID |
NAT实例的名称和编号 |
|
Totally n NAT subinstances |
基于NAT父实例派生了n个子实例 |
|
Failover group name |
备份组名称 |
|
Session entries |
当前正在使用的会话表项个数 |
|
EIM entries |
当前正在使用的EIM表项个数 |
|
User table entries |
用户表的个数 |
|
Total session setup entries |
备份组累计建立的会话表项总数,包括当前正在使用的会话表项个数和已经老化的会话表项个数 |
|
Total session teardown entries |
备份组累计老化的会话表项总数 |
|
Total EIM setup entries |
备份组累计建立的EIM表项总数 |
|
Total EIM teardown entries |
备份组累计老化的EIM表项总数 |
【相关命令】
· reset nat instance statistics
display nat ip-pool命令用来显示全局NAT地址池的配置信息以及全局NAT地址池的使用情况。
【命令】
display nat ip-pool [ pool-name [ section section-id ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
pool-name:显示指定的全局NAT地址池信息,为1~31个字符的字符串,区分大小写。如果地址池名称中包含空格,则必须在地址池名称两端加双引号,例如"pool 1"。如果未指定本参数,则显示所有全局NAT地址池的信息。
section section-id:指定全局NAT地址池的地址段序列号,取值范围为0~4294967295。如果未指定本参数,将显示全局NAT地址池中所有地址段的信息。
【使用指导】
在转发与控制分离的CGN温备负载分担模式下,用户上线成功后,会触发如下派生行为:
· NAT实例会派生出名称以“Sub”开头的子实例。派生出的子实例继承父实例的配置。
· 与CP上nat-central类型的IP地址池绑定的动态全局NAT地址池,派生出名称以“Sub”开头的子地址池。派生出的子地址池继承父地址池的配置。
· 与动态全局NAT地址池绑定的NAT地址组,派生出名称以“Sub”开头的子地址组。派生出的子地址组继承父地址组的配置。
后续,由子实例处理NAT业务,由子地址池为子地址组分配地址段,子地址组获取到地址段后,为用户分配地址转换后的IP地址。执行本命令可以查看全局NAT地址池的配置信息以及该地址池派生的子地址池的使用情况。
非转发与控制分离的CGN温备负载分担模式,用户上线不会触发派生行为。执行本命令可以查看全局NAT地址池的配置信息以及全局NAT地址池的使用情况。
【举例】
# 显示所有全局NAT地址池的配置信息以及全局NAT地址池的使用情况。
<Sysname> display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool
Type of pool : Static
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Total IP count : 65536
Available IP count : 65536
Usage : 0%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------
0 7.7.0.0 255.255.0.0 65536 0
表1-16 display nat ip-pool命令显示信息描述表
|
字段 |
描述 |
|
NAT IP pool information |
全局NAT地址池信息 |
|
Totally n NAT IP pools |
当前有n个全局NAT地址池,仅统计父地址池的个数 |
|
Pool name |
全局NAT地址池名称 |
|
Type of pool |
全局NAT地址池类型 · Dynamic:表示动态全局地址池 · Static:表示静态全局地址池 |
|
UPID (Local/Peer) |
UP管理实例ID · Local:本端的UP管理实例ID · Peer:对端的UP管理实例ID |
|
Subnet length (Initial/Extended) |
全局NAT地址池的初始网段掩码长度和扩展网段掩码长度 · Initial:初始网段掩码长度 · Extended:扩展网段掩码长度 |
|
Usage thresholds (High/Low) |
全局NAT地址池的地址段申请阈值和释放阈值 · High:表示申请阈值 · Low:表示释放阈值 |
|
Instance name/ID |
绑定全局NAT地址池的NAT实例名称和编号 |
|
Totally n sub IP pools |
基于全局NAT父地址池派生出n个子地址池 |
|
Total IP count |
全局NAT地址池中IP地址总数 |
|
Available IP count |
全局NAT地址池可用IP地址总数 |
|
Usage |
全局NAT地址池的地址使用率 |
|
Section info |
全局NAT地址池的地址段信息: · ID:地址段序列号 · Subnet:地址段 · Mask:地址段子网掩码 · Total:地址段中总共包含的地址数量 · Used:已使用的地址数量 |
# 显示全局NAT地址池pool1中序列号为0的地址段信息。
<Sysname> display nat ip-pool pool1 section 0
Section ID : 0
Subnet : 150.1.1.0
Mask : 255.255.255.0
Total IP count : 256
Available IP count : 240
Available IPs:
StartIP Total
150.1.1.16 16
150.1.1.32 32
150.1.1.64 64
150.1.1.128 128
Used IPs:
StartIP UsedCount InstanceID InstanceName
AddressGroupID AddressGroupName
150.1.1.0 8 1 cgn1
1 1
150.1.1.8 8 127 cgn2
10 10
表1-17 display nat ip-pool section命令显示信息描述表
|
字段 |
描述 |
|
Section ID |
全局NAT地址池地址段序列号 |
|
Subnet |
地址段 |
|
Mask |
地址段的子网掩码 |
|
Total IP count |
地址段中IP地址总数 |
|
Available IP count |
地址段中可用IP地址总数 |
|
Available IPs |
全局NAT地址池下地址段中可用地址的信息: · StartIP:全局NAT地址池下的地址段中可用地址的起始地址 · Total:全局NAT地址池下的地址段中可用地址总数 |
|
Used IPs |
全局NAT地址池下的地址段中已使用的地址信息: · StartIP:全局NAT地址池下的地址段的已使用地址的起始地址 · UsedCount:全局NAT地址池下的地址段中已使用地址的总数 · InstanceID:使用该地址段的NAT实例ID · InstanceName:使用该地址段的NAT实例名称 · AddressGroupID:使用该地址段的NAT地址组编号 · AddressGroupName:使用该地址段的NAT地址组名称,当前该字段与AddressGroupID的取值相同 |
【相关命令】
· ip-usage-threshold
· nat ip-pool
· subnet length
display nat log命令用来显示NAT日志功能的配置信息。
【命令】
display nat log
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT日志功能的配置信息。
<Sysname> display nat log
NAT logging:
Log enable : Enabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
Bandwidth-usage : Enabled(Threshold: 90%)
NAT ip-pool 1
IP-usage : Enabled(Threshold: 100%)
IP-alloc-fail : Enabled
表1-18 display nat log命令显示信息描述表
|
字段 |
描述 |
|
NAT logging |
NAT日志功能的配置信息 |
|
Log enable |
NAT日志开关 · Enabled:表示处于开启状态。如果指定了ACL,则同时显示指定的ACL编号或名称 · Disabled:表示处于关闭状态 |
|
Flow-begin |
NAT会话新建日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Flow-end |
NAT会话删除日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Flow-active |
NAT活跃流日志功能开关 · Enabled:表示处于开启状态。该状态下,将同时显示配置的生成活跃流日志的时间间隔(单位为分) · Disabled:表示处于关闭状态 |
|
Port-block-assign |
端口块分配的NAT444用户日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Port-block-withdraw |
端口块回收的NAT444用户日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Port-alloc-fail |
端口分配失败的日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Port-block-alloc-fail |
端口块分配失败的日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Port-usage |
端口块中端口使用率的日志功能开关 · Enabled:表示处于开启状态。该状态下,将同时显示配置的端口使用率的阈值(单位为百分比) · Disabled:表示处于关闭状态 |
|
Port-block-usage |
端口块使用率的日志功能处于开启(Enabled)状态,Threshold表示配置的端口块使用率的阈值,单位为百分比,缺省值为90% |
|
Bandwidth-usage |
CGN单板带宽使用率日志功能始终处于开启(Enabled)状态,同时显示触发系统输出日志信息的CGN单板带宽使用率阈值(单位为百分比),缺省值为90% |
|
NAT ip-pool xx |
全局NAT地址池的日志功能,xx表示全局NAT地址池的名称 |
|
IP-usage |
全局NAT地址池中地址使用率的日志功能处于开启(Enabled)状态,Threshold表示配置的地址使用率的阈值,单位为百分比,缺省值为80% |
|
IP-alloc-fail |
全局NAT地址池中地址分配失败的日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
【相关命令】
· nat log enable
· nat log flow-active
· nat log flow-begin
· nat log ip-alloc-fail
· nat log ip-usage threshold
display nat mpls-tunnel命令用来显示NAT使用的MPLS保护隧道信息。
【命令】
display nat mpls-tunnel [ instance instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
instance instance-name:显示指定NAT实例的MPLS保护隧道信息。instance-name表示NAT实例的名称,为1~31个字符的字符串,区分大小写。如果该值中包含空格,需要在值的首末添加英文格式的引号,形如"xxx xxx"。如果未指定本参数,将显示所有NAT实例的MPLS保护隧道信息。
【使用指导】
对于双机CGN框间热备或N:1温备场景中的CGN框间备份,需要将NAT实例与多机备份实例绑定,NAT使用多机备份实例创建的MPLS保护隧道或SRv6保护隧道完成如下业务:
· 对该NAT实例的数据进行备份。
· 流量到达处理NAT业务的备设备时,备设备通过保护隧道将流量透传到处理NAT业务的主设备。
通过本命令可以查看此类MPLS保护隧道的信息。
【举例】
# 显示NAT使用的MPLS保护隧道信息。
<Sysname> display nat mpls-tunnel
MPLS tunnel info:
NAT instance name/ID = instance1/100:
Local VPN:
VPN instance name/index: /0
MPLS label : 1279
Local label count: 1
Peer VPN:
VPN instance name/index: /0
NID : 2
MPLS label : 1407
Vsrp-instance : 1
Peer label count: 1
Total label statistics:
Total local labels: 1
Total peer labels : 1
表1-19 display nat mpls-tunnel命令显示信息描述表
|
字段 |
描述 |
|
MPLS tunnel info |
NAT使用的MPLS保护隧道信息 |
|
NAT instance name/ID |
NAT实例名称和ID信息 |
|
Local VPN |
本端MPLS标签信息 |
|
Peer VPN |
对端MPLS标签信息 |
|
VPN instance name/index |
VPN实例名称和索引 |
|
NID |
NHLFE表项索引 |
|
MPLS label |
MPLS标签值 |
|
Vsrp-instance |
NAT实例绑定的多机备份实例名称 |
|
Local label count |
NAT实例的本端标签个数 |
|
Peer label count |
NAT实例的对端标签个数 |
|
Total label statistics |
所有NAT实例的标签统计信息 |
|
Total local labels |
所有NAT实例的本端标签个数 |
|
Total peer labels |
所有NAT实例的对端标签个数 |
【相关命令】
· bind vsrp-instance
· protect lsp-tunnel for-all-instance(可靠性命令参考/多机备份)
display nat no-pat命令用来显示NAT NO-PAT表项信息。
【命令】
(独立运行模式)
display nat no-pat [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat no-pat [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
NO-PAT表项记录了动态分配的一对一地址映射关系,该表项有两个作用:
· 保证后续同方向的新连接使用与第一个连接相同的地址转换关系。
· 反方向的新连接可以使用NO-PAT表进行地址转换。
nat outbound配置的NO-PAT方式在转换报文地址之后都需要创建NO-PAT表。这两种配置创建的NO-PAT表类型不同,不能互相使用,因此分成两类进行显示。
【举例】
# 显示指定slot的NAT NO-PAT表项。(独立运行模式)
<Sysname> display nat no-pat slot 1
Slot 1:
Global IP: 200.100.1.100
Local IP: 192.168.100.100
Global VPN: vpn2
Local VPN: vpn1
Reversible: N
Type : Inbound
Local IP: 192.168.100.200
Global IP: 200.100.1.200
Reversible: Y
Type : Outbound
Total entries found: 2
表1-20 display nat no-pat命令显示信息描述表
|
字段 |
描述 |
|
Global IP |
外网地址 |
|
Local IP |
内网地址 |
|
Local VPN |
内网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例,则该行不显示 |
|
Global VPN |
外网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例,则该行不显示 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
Type |
NO-PAT表项类型 · Inbound:入方向动态地址转换过程中创建的NO-PAT表项 · Outbound:出方向动态地址转换过程中创建的NO-PAT表项 |
|
Total entries found |
当前查找到的NO-PAT表项的个数 |
【相关命令】
· nat outbound
display nat outbound命令用来显示出方向动态地址转换的配置信息。
【命令】
display nat outbound
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示出方向动态地址转换的配置信息。(接口NAT)(独立运行模式)
<Sysname> display nat outbound
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/1
ACL: 2036 Address group: 1 Port-preserved: Y
NO-PAT: N Reversible: N
Service card: Slot 5
Config status: Active
Interface: Ten-GigabitEthernet3/1/2
ACL: 2037 Address group: 2 Port-preserved: N
NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Service card: Slot 5
Config status: Active
Interface: Ten-GigabitEthernet3/1/1
DS-Lite B4 ACL: 2100 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Service card: Slot 5
Config status: Active
# 显示出方向动态地址转换的配置信息。(全局NAT)
<Sysname> display nat outbound
NAT outbound information:
Totally 3 NAT outbound rules.
nat instance: instance1
ACL: 3001 Address group: 1 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
nat instance: instance2
ACL: 3010 Address group: 10 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
nat instance: instance3
ACL: 3011 Address group: 11 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
表1-21 display nat outbound命令显示信息描述表
|
字段 |
描述 |
|
NAT outbound information |
出方向动态地址转换的配置信息 |
|
Totally n NAT outbound rules |
当前存在n条出方向动态地址转换 |
|
Interface |
出方向动态地址转换配置所在的接口 |
|
nat instance |
出方向动态地址转换配置所在的NAT实例的名称 |
|
ACL |
引用的IPv4 ACL编号或名称。如果未配置,则显示“---” |
|
DS-Lite B4 ACL |
DS-Lite B4引用的IPv6 ACL编号或名称 |
|
Address group |
出方向动态地址转换使用的地址组。如果未配置,则显示“---” |
|
Port-preserved |
PAT方式下,是否尽量不转换端口 |
|
NO-PAT |
是否使用NO-PAT方式进行转换。若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
VPN instance |
地址组所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Service card |
显示提供NAT处理的业务板。如果接口下未指定业务板,则不显示该字段 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因 · The following items don't exist or aren't effective: global VPN, interface IP address, address group, and ACL:配置中地址组所属的VPN实例、接口地址、地址组、ACL不存在或不生效 · NAT address conflicts:NAT地址冲突 |
【相关命令】
· nat outbound
display nat outbound port-block-group命令用来显示NAT端口块静态映射的配置信息。
【命令】
display nat outbound port-block-group
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT端口块静态映射的配置信息。(接口NAT)
<Sysname> display nat outbound port-block-group
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: Ten-GigabitEthernet3/1/2
Port-block-group: 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/2
Port-block-group: 10
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
# 显示NAT端口块静态映射的配置信息。(全局NAT)
<Sysname> display nat outbound port-block-group
NAT outbound port block group information:
Totally 1 outbound port block group items.
nat instance: hello
port-block-group: 10
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
表1-22 display nat outbound port-block-group命令显示信息描述表
|
字段 |
描述 |
|
NAT outbound port block group information |
NAT端口块静态映射的配置信息 |
|
Totally n outbound port block group items |
当前存在n条NAT端口块静态映射配置 |
|
Interface |
NAT端口块静态映射配置所在的接口 |
|
nat instance |
NAT端口块静态映射配置所在的NAT实例的名称 |
|
Port-block-group |
端口块组编号 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因 · The following items don't exist or aren't effective: port block group:配置中端口块组不存在或不生效 |
【相关命令】
· nat outbound port-block-group
display nat port-block命令用来显示端口块表项。
【命令】
(独立运行模式)
display nat port-block { dynamic | static } [ { global-ip | local-ip } ipv4-source-address ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
display nat port-block dynamic ds-lite-b4 [ ipv6 ipv6-source-address ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
(IRF模式)
display nat port-block { dynamic | static } [ { global-ip | local-ip } ipv4-source-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
display nat port-block dynamic ds-lite-b4 [ ipv6 ipv6-source-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
dynamic:显示动态端口块表项。
ds-lite-b4:显示基于DS-Lite B4地址的端口块表项。
static:显示静态端口块表项。
global-ip ipv4-source-address:显示指定公网IPv4地址的端口块表项。ipv4-source-address表示公网地址。
local-ip ipv4-source-address:显示指定私网IPv4地址的端口块表项。ipv4-source-address表示私网侧NAT会话发起方的源地址。
ipv6 ipv6-source-address:显示指定DS-Lite B4设备IPv6地址的端口块表项。ipv6-source-address表示DS-Lite B4设备的IPv6地址。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示单板上的端口块表项的详细信息。如果不配置则显示端口块表项的概要信息。
【举例】
# 显示指定slot上的静态端口块表项。(独立运行模式)
<Sysname> display nat port-block static slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections Extend
--- 100.100.100.113 202.202.100.101 513-768 0 ---
--- 100.100.100.114 202.202.100.101 769-1024 0 ---
--- 100.100.100.112 202.202.100.101 257-512 0 ---
--- 100.100.100.111 202.202.100.101 1-256 0 ---
Total mappings found: 4
# 显示指定slot上静态端口块表项的详细信息。(独立运行模式)
<Sysname> display nat port-block static slot 1 verbose
Slot 1:
Static port block entry
Local IP : 200.1.24.219
Local vpn : ---(0)
Global IP : 202.2.1.8
Global vpn : ---(0)
Port block : 24774-26023
Connections : 0
FailgroupID : 16
PortLimit TCP : N/A
PortLimit UDP : N/A
PortLimit ICMP : N/A
PortLimit total : 100
PortUsed TCP : 0
PortUsed UDP : 0
PortUsed ICMP : 0
PortUsed total : 0
Extend port block: N
Static port block entry
Local IP : 200.1.40.231
Local vpn : ---(0)
Global IP : 0.0.0.0
Global vpn : ---(0)
Port block : ---
Connections : 0
FailgroupID : 16
PortLimit TCP : N/A
PortLimit UDP : N/A
PortLimit ICMP : N/A
PortLimit total : 100
PortUsed TCP : 0
PortUsed UDP : 0
PortUsed ICMP : 0
PortUsed total : 0
Extend port block: N
Total mappings found: 2
# 显示指定slot上的动态端口块表项。(独立运行模式)
<Sysname> display nat port-block dynamic slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections Extend
--- 101.1.1.12 192.168.135.201 10001-11024 1 ---
Total mappings found: 1
# 显示指定slot上的基于DS-Lite B4地址的端口块表项。(独立运行模式)
<Sysname> display nat port-block dynamic ds-lite-b4 slot 1
Slot 1:
Local VPN DS-Lite B4 addr Global IP Port block Connections Extend
--- 2000::2 192.168.135.201 10001-11024 1 ---
Total mappings found: 1
# 显示指定slot上动态端口块表项的详细信息。(独立运行模式)
<Sysname> display nat port-block dynamic slot 1 verbose
Slot 1:
Dynamic port block entry
Local IP : 200.1.24.219
Local vpn : ---(0)
Global IP : 202.2.1.8
Global vpn : ---(0)
Port block : 24774-26023
Connections : 0
FailgroupID : 16
PortLimit TCP : N/A
PortLimit UDP : N/A
PortLimit ICMP : N/A
PortLimit total : 100
PortUsed TCP : 0
PortUsed UDP : 0
PortUsed ICMP : 0
PortUsed total : 0
Extend port block: N
Dynamic port block entry
Local IP : 200.1.40.231
Local vpn : ---(0)
Global IP : 202.2.1.10
Global vpn : ---(0)
Port block : 32274-33523
Connections : 0
FailgroupID : 16
PortLimit TCP : N/A
PortLimit UDP : N/A
PortLimit ICMP : N/A
PortLimit total : 100
PortUsed TCP : 0
PortUsed UDP : 0
PortUsed ICMP : 0
PortUsed total : 0
Extend port block: N
Total mappings found: 2
表1-23 display nat port-block命令显示信息描述表
|
字段 |
描述 |
|
Local VPN |
私网IP地址所属VPN实例,“---”表示不属于任何VPN实例 |
|
Local IP |
私网IP地址 |
|
DS-Lite B4 addr |
DS-Lite B4设备的IPv6地址 |
|
Global IP |
公网IP地址。显示为0.0.0.0表示公网资源不足,未能分配到公网IP地址 |
|
Port block |
端口块(起始端口-结束端口)。当公网资源不足时,本字段显示为“---” |
|
Connections |
当前和本端口块关联的连接数 |
|
Extend |
是否为增量端口块: · Ext:表示是增量端口块 · ---:表示非增量端口块 |
|
Total mappings found |
当前查找到的端口块表项的个数 |
表1-24 display nat port-block verbose命令详细显示信息描述表
|
字段 |
描述 |
|
Local IP |
私网IP地址 |
|
Local vpn |
私网IP地址所属VPN实例,“---(0)”表示不属于任何VPN实例 |
|
Global IP |
公网IP地址。显示为0.0.0.0表示公网资源不足,未能分配到公网IP地址 |
|
Global vpn |
公网IP地址所属VPN实例,“---(0)”表示不属于任何VPN实例 |
|
Port block |
端口块(起始端口-结束端口)。当公网资源不足时,本字段显示为“---” |
|
Connections |
当前和本端口块关联的连接数 |
|
FailgroupID |
端口块表项所属的备份组 |
|
PortLimit TCP |
最多可分配给TCP协议的端口数量 |
|
PortLimit UDP |
最多可分配给UDP协议的端口数量 |
|
PortLimit ICMP |
最多可分配给ICMP协议的端口数量 |
|
PortLimit total |
最多可分配的端口数量 |
|
PortUsed TCP |
TCP报文分配的端口数 |
|
PortUsed UDP |
UDP报文分配的端口数 |
|
PortUsed ICMP |
ICMP报文分配的端口数 |
|
PortUsed total |
分配的端口总数 |
|
Extend port block |
是否为增量端口块: · Y:表示是增量端口块 · N:表示非增量端口块 |
|
Total mappings found |
当前查找到的端口块表项的个数 |
display nat port-block-group命令用来显示NAT端口块组配置信息。
【命令】
display nat port-block-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group-id:端口块组的编号,取值范围为0~65535。如果不设置该值,则显示所有端口块组的配置信息。
【举例】
# 显示所有端口块组的配置信息。
<Sysname> display nat port-block-group
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1024-65535
Block size: 256
TCP port limit: 1000
UDP port limit: 2000
ICMP port limit: 3000
Port limit in total: 6000
Failover group name: nat
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Failover group name: trans
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 ---
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1024-65535
Block size: 256
Failover group name: nat
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
# 显示端口块组1的配置信息。
<Sysname> display nat port-block-group 1
Port block group 1:
Port range: 1024-65535
Block size: 256
TCP port limit: 1000
UDP port limit: 2000
ICMP port limit: 3000
Port limit in total: 6000
Failover group name: nat
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
表1-25 display nat port-block-group 命令显示信息描述表
|
字段 |
描述 |
|
NAT port block group information |
NAT端口块组信息 |
|
Totally n NAT port block groups |
当前有n个端口块组 |
|
Port block group |
端口块组的编号 |
|
Port range |
公网地址的端口范围 |
|
Block size |
端口块大小 |
|
TCP port limit |
限制分配给TCP协议的端口数量。如果未配置,则不显示 |
|
UDP port limit |
限制分配给UDP协议的端口数量。如果未配置,则不显示 |
|
ICMP port limit |
限制分配给ICMP协议的端口数量。如果未配置,则不显示 |
|
Port limit in total |
限制分配给TCP、UDP和ICMP协议的端口数量。如果未配置,则不显示 |
|
Failover group name |
NAT端口块组绑定的备份组的名称。如果未配置,则不显示 |
|
Local IP address information |
私网IP地址成员信息 |
|
Global IP pool information |
公网IP地址成员信息 |
|
Start address |
私网/公网IP地址成员的起始IP地址。如果未配置,则显示“---” |
|
End address |
私网/公网IP地址成员的成员结束IP地址。如果未配置,则显示“---” |
|
VPN instance |
私网IP地址成员所属的VPN实例。如果未配置,则显示“---” |
【相关命令】
· nat port-block-group
display nat server命令用来显示NAT内部服务器的配置信息。
【命令】
display nat server
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT内部服务器的信息。(接口NAT)(独立运行模式)
<Sysname> display nat server
NAT internal server information:
Totally 4 internal servers.
Interface: Ten-GigabitEthernet3/1/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
Config status : Active
Interface: Ten-GigabitEthernet3/1/4
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Config status : Active
Interface: Ten-GigabitEthernet3/1/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
Service card : Slot 5
Config status : Active
Interface: Ten-GigabitEthernet3/1/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
1.1.1.1/21 (Connections: 10)
192.168.100.200/80 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn10
Service card : Slot 5
Config status : Active
# 显示NAT内部服务器的信息。(全局NAT)
<Sysname> display nat server
NAT internal server information:
Totally 4 internal servers.
NAT instance: a
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
Config status : Active
NAT instance: b
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Config status : Active
NAT instance: c
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
Config status : Active
NAT instance: d
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
1.1.1.1/21 (Connections: 10)
192.168.100.200/80 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn3
Config status : Active
表1-26 display nat server命令显示信息描述表
|
字段 |
描述 |
|
NAT internal server information |
NAT内部服务器的配置信息 |
|
Totally n internal servers |
当前存在n条内部服务器配置 |
|
NAT instance |
内部服务器配置所在的NAT实例 |
|
Interface |
内部服务器配置所在的接口 |
|
Protocol |
内部服务器的协议编号以及协议名称 |
|
Global IP/port |
内部服务器的外网地址/端口号 · Global IP可以是单个地址,也可以是一个连续的地址段。如果使用Easy IP方式,则此处显示指定的接口的地址;如果接口下未配置地址,则Global IP显示为“---” · port可以是单个端口,也可以是一个连续的端口段。如果指定的协议没有端口的概念,则port显示为“---” |
|
Local IP/port |
对于普通内部服务器,显示服务器的内网地址/端口号 · Local IP可以是单个地址,也可以是一个连续的地址段 · port可以是单个端口,也可以是一个连续的端口段。如果指定的协议没有端口的概念,则port显示为“---” 对于负载分担内部服务器,显示内部服务器组编号以及服务器组成员的IP地址、端口和连接数 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。 如果不属于任何VPN实例,则不显示该字段 |
|
ACL |
引用的ACL编号或名称。如果未配置,则不显示该字段 |
|
Service card |
显示提供NAT处理的业务板。如果接口下未指定业务板,则不显示该字段 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因 · The following items don't exist or aren't effective: local VPN, global VPN, interface IP address, server group, and ACL:配置中内网地址所属的VPN实例、外网地址所属的VPN实例、接口地址、服务器组、ACL不存在或不生效 · Server configuration conflicts:NAT内部服务器配置冲突 · NAT address conflicts:NAT地址冲突 |
【相关命令】
· nat server
display nat server-group命令用来显示NAT内部服务器组的配置信息。
【命令】
display nat server-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group-id:NAT内部服务器组的编号,取值范围为0~65535。如果不指定该参数,则显示所有内部服务器组。
【举例】
# 显示所有NAT内部服务器组的配置信息。
<Sysname> display nat server-group
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
# 显示指定NAT内部服务器组的配置信息。
<Sysname> display nat server-group 1
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
表1-27 display nat server-group命令显示信息描述表
|
字段 |
描述 |
|
NAT server group information |
NAT内部服务器组信息 |
|
Totally n NAT server groups |
当前有n个内部服务器组 |
|
Group Number |
内部服务器组的编号 |
|
Inside IP |
内部服务器组成员在内网的IP地址。如果未配置,则显示“---” |
|
Port |
内部服务器组成员在内网的端口。如果未配置,则显示“---” |
|
Weight |
内部服务器组成员的权重值。如果未配置,则显示“---” |
【相关命令】
· nat server-group
display nat session命令用来显示NAT会话,即经过NAT地址转换处理的会话。
【命令】
(独立运行模式)
display nat session [ { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ slot slot-number [ cpu cpu-number ] ] [ brief | verbose ]
(IRF模式)
display nat session [ { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn-instance-name ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
source-ip source-ip:显示指定源地址的会话。source-ip表示源地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip:显示指定目的地址的会话。destination-ip表示目的地址,该地址必须是创建会话的报文的目的地址。
vpn-instance vpn-instance-name:显示指定目的VPN实例的会话。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须是报文中携带的VPN实例。如果不指定该参数,则显示目的IP不属于任何VPN实例的会话。
protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite }:显示指定协议类型的IPv4单播会话表项。其中,IPv4传输层协议类型可包括DCCP、ICMP、RawIP、SCTP、TCP、UDP和UDP-Lite。如果未指定本参数,则显示所有支持的协议类型的NAT会话。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
brief:显示NAT会话的简要信息。
verbose:显示NAT会话的详细信息。如果不配置则显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有的NAT会话的详细信息。
【举例】
# 显示指定slot上NAT会话的详细信息。(独立运行模式)
<Sysname> display nat session slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_SYN_SENT
Application: SSH
Start time: 2011-07-29 19:12:36
Role: Standby
Failover group ID: 1
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 显示指定slot上NAT会话的简要信息。(独立运行模式)
<Sysname> display nat session slot 1 brief
Slot 1:
Protocol Source IP/port Destination IP/port Global IP/port
TCP 10.2.1.58/2477 20.1.1.2/1025 30.2.4.9/226
Total sessions found: 1
表1-28 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN instance/VLAN ID/VLL ID |
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
传输层协议类型,包括:DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
报文的入接口 |
|
State |
会话状态 |
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
Role |
slot在备份组中的角色: · Master:备份组的主节点 · Standby:备份组的备节点 |
|
Failover group ID |
备份组ID,当备份组中的主节点处理业务时,备节点上创建了会话,此时显示为“-” |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
当前查找到的会话的总数 |
|
Source IP/port |
发起方的源IP地址/端口号 |
|
Destination IP/port |
发起方的目的IP地址/端口号 |
|
Global IP/port |
公网IP地址/端口号 |
【相关命令】
· reset nat session
display nat srv6-tunnel命令用来显示NAT使用的SRv6保护隧道信息。
【命令】
display nat srv6-tunnel [ instance instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
instance instance-name:显示指定NAT实例的SRv6保护隧道信息。instance-name表示NAT实例的名称,为1~31个字符的字符串,区分大小写。如果该值中包含空格,需要在值的首末添加英文格式的引号,形如"xxx xxx"。如果未指定本参数,将显示所有NAT实例的SRv6保护隧道信息。
【使用指导】
对于双机CGN框间热备或N:1温备场景中的CGN框间备份,需要将NAT实例与多机备份实例绑定,NAT使用多机备份实例创建的MPLS保护隧道或SRv6保护隧道完成如下业务:
· 对该NAT实例的数据进行备份。
· 流量到达处理NAT业务的备设备时,备设备通过保护隧道将流量透传到处理NAT业务的主设备。
通过本命令可以查看此类SRv6保护隧道的信息。
【举例】
# 显示NAT使用的SRv6保护隧道信息。
<Sysname> display nat srv6-tunnel
SRv6 tunnel info:
NAT instance name/ID = instance1/1:
Local VPN:
VPN instance name/index: /0
Locator name : locator1
End.DT4 SID : 400::1:0:0
End.DT6 SID : 400::1:0:1
VPN instance name/index: vpn1/1
Locator name : locator1
End.DT4 SID : 400::1:0:2
End.DT6 SID : 400::1:0:3
Local SID count: 2
Peer VPN:
VPN instance name/index: /0
Locator name : locator2
End.DT4 SID : 100:1::100
End.DT6 SID : 100:1::101
VPN instance name/index: vpn1/1
Locator name : locator2
End.DT4 SID : 100:1::102
End.DT6 SID : 100:1::103
Peer SID count: 2
Total SID statistics:
Total local SIDs: 2
Total peer SIDs : 2
表1-29 display nat srv6-tunnel命令显示信息描述表
|
字段 |
描述 |
|
SRv6 tunnel info |
NAT使用的SRv6保护隧道信息 |
|
NAT instance name/ID |
NAT实例的名称和ID |
|
Local VPN |
本端SRv6保护隧道信息 |
|
Peer VPN |
对端SRv6保护隧道信息 |
|
VPN instance name/index |
VPN实例名称和索引 |
|
Locator name |
Locator名称 |
|
End.DT4 SID |
End.DT4类型的SID值 |
|
End.DT6 SID |
End.DT6类型的SID值 |
|
Local SID count |
NAT实例的本端SID个数 |
|
Peer SID count |
NAT实例的对端SID个数 |
|
Total SID statistics |
所有NAT实例的SID统计信息 |
|
Total local SIDs |
所有NAT实例的本端SID个数 |
|
Total peer SIDs |
所有NAT实例的对端SID个数 |
【相关命令】
· bind vsrp-instance
· protect srv6-tunnel for-all-instance(可靠性命令参考/多机备份)
display nat static命令用来显示NAT静态地址转换的配置信息。
【命令】
display nat static
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示NAT静态地址转换的配置信息。(接口NAT)(独立运行模式)
<Sysname> display nat static
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 1.1.1.1 - 1.1.1.255
Local IP : 2.2.2.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Config status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
Global VPN : vpn3
Local VPN : vpn4
ACL : 2001
Reversible : Y
Config status: Active
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
Local VPN : vpn1
Global VPN : vpn2
ACL : 2000
Reversible : Y
Config status: Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
Local VPN : vpn4
Global VPN : vpn3
ACL: : 2000
Reversible : Y
Config status: Active
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: Ten-GigabitEthernet3/1/2
Service card : Slot 5
Config status: Active
Interface: Ten-GigabitEthernet3/1/3
Config status: Active
# 显示NAT静态地址转换的配置信息。(全局NAT)
<Sysname> display nat static
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 1.1.1.1 - 1.1.1.255
Local IP : 2.2.2.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Config status: Active
IP-to-IP:
Global IP : 4.4.4.4
Local IP : 5.5.5.5
Global VPN : vpn4
Local VPN : vpn3
ACL : 2000
Reversible : Y
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: local VPN, global VPN.
NAT instances enabled with static NAT:
Totally 2 NAT instances enabled with static NAT.
NAT instance: instance1
Config status: Active
NAT instance: instance2
Config status: Active
表1-30 display nat static命令显示信息描述表
|
字段 |
描述 |
|
Static NAT mappings |
静态地址转换的配置信息 |
|
Totally n inbound static NAT mappings |
当前存在n条入方向静态地址转换的配置 |
|
Totally n outbound static NAT mappings |
当前存在n条出方向静态地址转换的配置 |
|
Net-to-net |
网段到网段的静态地址转换映射 |
|
IP-to-IP |
IP到IP的静态地址转换映射 |
|
Local IP |
内网IP地址或地址范围 |
|
Global IP |
外网IP地址或地址范围 |
|
Netmask |
IP地址掩码 |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
ACL |
引用的ACL编号或名称。如果未配置,则不显示该字段 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换 如果未配置,则不显示该字段 |
|
Interfaces enabled with static NAT |
静态地址转换在接口下的开启情况 |
|
Totally n interfaces enabled with static NAT |
当前有n个接口开启了静态地址转换 |
|
Interface |
开启静态地址转换功能的接口 |
|
NAT instances enabled with static NAT |
静态地址转换在NAT实例下的开启情况 |
|
Totally n NAT instances enabled with static NAT |
当前有n个NAT实例开启了静态地址转换 |
|
NAT instance |
NAT实例的名称 |
|
Service card |
显示提供NAT服务的业务板。如果接口下未指定业务板,则不显示该字段 |
|
Config status |
显示配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因 · The following items don't exist or aren't effective: local VPN, global VPN, and ACL:配置中内网地址所属的VPN实例、外网地址所属的VPN实例、ACL不存在或不存在 · NAT address conflicts:NAT地址冲突 |
【相关命令】
· nat static
· nat static net-to-net
· nat static enable
display nat statistics命令用来显示NAT统计信息。
【命令】
(独立运行模式)
display nat statistics [ summary ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat statistics [ summary ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
summary:显示NAT统计信息的摘要信息。不指定该参数时,显示NAT统计信息的详细信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有NAT统计信息的详细信息。
<Sysname> display nat statistics
Slot 0:
Total session entries: 100
Total EIM entries: 1
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 10
Total dynamic port block entries: 15
Active static port block entries: 0
Active dynamic port block entries: 0
Total PAT entries: 0
表1-31 display nat statistics命令显示信息描述表
|
字段 |
描述 |
|
Total session entries |
NAT会话表项个数 |
|
Total EIM entries |
EIM表项个数 |
|
Total inbound NO-PAT entries |
入方向的NO-PAT表项个数 |
|
Total outbound NO-PAT entries |
出方向的NO-PAT表项个数 |
|
Total static port block entries |
当前配置创建的静态端口块表项个数 |
|
Total dynamic port block entries |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块。如果用户设置的端口块参数中增量端口块与预分配端口块大小不同,系统将按照端口块大小为64来计算可创建的动态端口块表项个数 |
|
Active static port block entries |
当前正在使用的静态端口块表项个数 |
|
Active dynamic port block entries |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
|
Total PAT entries |
PAT表项个数 |
# 显示所有NAT统计信息的概要信息。
<Sysname> display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
0 100 1 10 15 0 0
表1-32 display nat statistics summary命令显示信息描述表
|
字段 |
描述 |
|
Sessions |
NAT会话表项个数 |
|
EIM |
EIM表项个数 |
|
SPB |
当前配置创建的静态端口块表项个数 |
|
DPB |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块。如果用户设置的端口块参数中增量端口块与预分配端口块大小不同,系统将按照端口块大小为64来计算可创建的动态端口块表项个数 |
|
ASPB |
当前正在使用的静态端口块表项个数 |
|
ADPB |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
display nat statistics packet命令用来显示CGN单板处理报文的统计信息。
【命令】
(独立运行模式)
display nat statistics packet [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display nat statistics packet [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
本命令仅用于实时查看CGN单板处理的报文数、字节数以及速率,来判断流量是否均匀分担到各个CGN单板上。
【举例】
# 显示CGN单板处理报文的统计信息。
<Sysname> display nat statistics packet
slot 5:
Bandwidth use ratio : 80%
Input : 100 packets, 10000 bytes
Output: 100 packets, 10000 bytes
Last 3 seconds input rate : 100 packets/sec, 10000 bytes/sec
Last 3 seconds output rate: 100 packets/sec, 10000 bytes/sec
Peak bandwidth usage: 80%
Peak time: 2021-05-13 10:14:41
表1-33 display nat statistics packet命令显示信息描述表
|
字段 |
描述 |
|
Bandwidth use ratio |
CGN单板带宽使用率,单位为百分比。对于非CGN单板,显示为0% |
|
Input |
CGN单板从接口板总计接收到的报文数和总计接收到的字节数。对于非CGN单板,显示为0 |
|
Output |
CGN单板向接口板总计发送的报文数和总计发送的字节数。对于非CGN单板,显示为0 |
|
Last n seconds input rate |
最近n秒的接收速率,包括: · packets/sec:表示平均每秒接收到的包数 · bytes/sec:表示平均每秒接收到的字节数 |
|
Last n seconds output rate |
最近n秒的发送速率,包括: · packets/sec:表示平均每秒发送的包数 · bytes/sec:表示平均每秒发送的字节数 |
|
Peak bandwidth usage |
CGN单板带宽使用率的历史峰值。历史峰值指的是从CGN单板启动到执行display nat statistics packet命令期间,或者从执行reset nat statistics packet命令到执行display nat statistics packet命令期间,CGN单板带宽使用率的最大值。没有流量上送CGN单板,或者执行了reset nat statistics packet命令时,本字段显示为0% |
|
Peak time |
CGN单板带宽使用率达到历史峰值的UTC(Coordinated Universal Time,国际协调时间)时间,单位为YYYY-MM-DD hh:mm:ss,其中YYYY为年,MM为月,DD为日,hh为小时,mm为分钟,ss为秒。没有流量上送CGN单板,或者执行了reset nat statistics packet命令时,本字段显示为0000-00-00 00:00:00 如果设备的系统时间不是UTC时间,需要重新计算峰值时间 |
【相关命令】
· reset nat statistics packet
display nat user-table命令用来显示已上线用户的用户表信息。
(独立运行模式)
display nat user-table [ local { ipv4 ipv4-address | ipv6 ipv6–address } | user-id user-id | user-name user-name | nat-instance instance-name ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ]
(IRF模式)
display nat user-table [ local { ipv4 ipv4-address | ipv6 ipv6–address } | user-id user-id | user-name user-name | nat-instance instance-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
local ipv4 ipv4-address:显示指定内网IPv4地址的已上线用户的用户表信息。
local ipv6 ipv6-address:显示指定内网IPv6地址的已上线用户的用户表信息。
user-id user-id:显示指定用户ID的上线用户的用户表信息。user-id表示用户ID,取值范围为十六进制数1~FFFFFFFF。
user-name user-name:显示指定用户名的已上线用户的用户表信息。user-name表示用户名称,取值范围为1~253个字符的字符串。
nat-instance instance-name:显示指定NAT实例名称的已上线用户的用户表信息。instance-name表示NAT实例名称,取值范围为1~31个字符的字符串。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
verbose:显示已上线用户的用户表详细信息。如果未指定本参数,则显示已上线用户的用户表概要信息。
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
本命令用于查看NAT与BRAS联动场景中的已上线用户的用户表信息。
在NAT与BRAS联动的场景中,在PPPoE或IPoE用户上线后,如果想指定user-id或user-name参数查看已上线用户的用户表信息,请执行如下步骤:
(1) 通过display access-user命令查看已上线用户的用户ID和用户名。
(2) 在display nat user-table user-id user-id命令中将user-id指定为上一步查看到的用户ID,或在display nat user-table user-name user-name命令中将user-name指定为上一步查看到的用户名。
转发与控制分离场景中,在UP上通过display nat user-table user-name user-name命令无法查看到已上线用户的用户表信息。
# 显示指定slot上已上线用户的用户表概要信息。
<Sysname> display nat user-table slot 1
Slot 1:
UP User ID : 0x382005a0
CP User ID : 0x81bb7b25
Local IP : 1.1.8.192
VPN instance name/index : ---/0
Address group : 9
NAT instance : 1
Global IP : 6.1.1.123
Start port : 13003
Block size : 1001
Port total : 1001
Number of extended port block allocated : 0
Number of ports used in the extended port block : 0
First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0
Number of times to allocate extended port block : 1
Number of times to withdraw extended port block : 1
Peak number of extended port block allocated : 1
Peak time : 2022-08-30 21:29:44
Total/TCP/UDP/ICMP port limit : ---/---/---/---
TCP/UDP/ICMP port current : 0/0/0
Total/TCP/UDP/ICMP sessions : 0/0/0/0
UP User ID : 0x38200443
CP User ID : 0x81bb7b26
Local IP : 1.1.5.90
VPN instance name/index : ---/0
Address group : 9
NAT instance : 1
Global IP : 6.1.1.237
Start port : 13003
Block size : 1001
Port total : 1001
Number of extended port block allocated : 0
Number of ports used in the extended port block : 0
First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0
Number of times to allocate extended port block : 0
Number of times to withdraw extended port block : 0
Peak number of extended port block allocated : 0
Peak time : 0000-00-00 00:00:00
Total/TCP/UDP/ICMP port limit : ---/---/---/---
TCP/UDP/ICMP port current : 0/0/0
Total/TCP/UDP/ICMP sessions : 0/0/0/0
Total Users found: 2
# 显示指定slot上已上线用户的用户表详细信息。
<Sysname> display nat user-table slot 3 verbose
User type : NAT444
UP User ID : 0x382016e8
CP User ID : 0x81bb7b31
Local IP : 1.1.1.11
VPN instance name/index : ---/0
Address group : 9
NAT instance : 9
Global IP : 6.1.1.130
Start port : 35025
Block size : 1001
Port total : 1001
Number of extended port block allocated : 0
Number of ports used in the extended port block : 0
First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0
Number of times to allocate extended port block : 0
Number of times to withdraw extended port block : 0
Peak number of extended port block allocated : 0
Peak time : 0000-00-00 00:00:00
Total/TCP/UDP/ICMP port limit : ---/---/---/---
TCP/UDP/ICMP port current : 0/2/0
Port limit discard count : 0
Total/TCP/UDP/ICMP sessions : 2/0/2/0
Total/TCP/UDP/ICMP reverse sessions : 0/0/0/0
User type : NAT444
UP User ID : 0x382016e7
CP User ID : 0x81bb7b33
Local IP : 1.1.1.10
VPN instance name/index : ---/0
Address group : 9
NAT instance : 9
Global IP : 6.1.1.239
Start port : 29019
Block size : 1001
Port total : 1001
Number of extended port block allocated : 0
Number of ports used in the extended port block : 0
First/Second/Third/Fourth/Fifth extend port start : 0/0/0/0/0
Number of times to allocate extended port block : 0
Number of times to withdraw extended port block : 0
Peak number of extended port block allocated : 0
Peak time : 0000-00-00 00:00:00
Total/TCP/UDP/ICMP port limit : ---/---/---/---
TCP/UDP/ICMP port current : 0/2/0
Port limit discard count : 0
Total/TCP/UDP/ICMP sessions : 2/0/2/0
Total/TCP/UDP/ICMP reverse sessions : 0/0/0/0
Total Users found: 2
表1-34 display nat user-table命令显示信息描述表
|
字段 |
描述 |
|
User type |
用户类型: · NAT444 · DS-Lite |
|
UP User ID |
BRAS为本地上线用户分配的ID: · 在NAT与BRAS联动的情况下,显示BRAS为本地上线用户分配的ID · 除上述情况外的其他情况均显示为“---” |
|
CP User ID |
转发与控制分离场景下,CP为上线用户分配的ID: · 在转发与控制分离且NAT与BRAS联动的情况下,显示CP为上线用户分配的ID · 除上述情况外的其他情况均显示为“---” |
|
Local IP |
用户私网IP地址 |
|
VPN instance name/index |
用户所在VPN的实例名称和索引。“---/0”表示不属于任何VPN实例 |
|
Address group |
用户所使用的NAT动态地址组编号 |
|
Port block group |
用户所使用的NAT静态端口块组编号 |
|
NAT instance |
用户所使用的NAT实例名称。对于接口NAT,该字段显示为空 |
|
Global IP |
用户经过NAT转化后的公网IP地址 |
|
Start port |
给用户预分配的起始端口号 |
|
Block size |
给用户预分配的端口块大小 |
|
Port total |
用户拥有的端口总数,包括: · 给用户预分配的端口块中的端口 · 所有增量端口块中的端口 |
|
Number of extended port block allocated |
给用户分配的增量端口块个数 |
|
Number of ports used in the extended port block |
增量端口块中已使用的端口个数 |
|
First/Second/Third/Fourth/Fifth extend port start |
第一、二、三、四、五次分配增量端口块的起始端口。 |
|
Number of times to allocate extended port block |
用户在线期间,为用户分配的增量端口块的次数 |
|
Number of times to withdraw extended port block |
用户在线期间,回收为用户分配的增量端口块的次数 |
|
Peak number of extended port block allocated |
给用户分配的增量端口块个数的历史峰值 |
|
Peak time |
给用户分配的增量端口块个数达到历史峰值的时间,单位为YYYY-MM-DD hh:mm:ss,其中YYYY为年,MM为月,DD为日,hh为小时,mm为分钟,ss为秒。若用户在线期间,未给用户分配过增量端口块,本字段显示为0000-00-00 00:00:00 |
|
Total/TCP/UDP/ICMP port limit |
通过port-limit命令限制分配给协议的端口数量 |
|
TCP/UDP/ICMP port current |
当前TCP/UDP/ICMP协议已经使用的NAT端口数。EIM模式下,可以为不同的协议分配相同的端口号 |
|
Port limit discard count |
NAT端口超限后,无法为新连接分配端口块的次数。显示为“0”表示未发生NAT端口超限事件 |
|
Total/TCP/UDP/ICMP sessions |
当前各个协议新建的正向会话总数/TCP协议新建的正向会话数/UDP协议新建的正向会话数/ICMP协议新建的正向会话数,包括五元组会话和EIM会话 |
|
Total/TCP/UDP/ICMP reverse sessions |
当前各个协议新建的反向会话总数/TCP协议新建的反向会话数/UDP协议新建的反向会话数/ICMP协议新建的反向会话数,包括五元组会话和EIM会话 |
|
Total Users found |
已上线的用户总数 |
【相关命令】
· display access-user(BRAS业务命令参考/UCM)
failover-group命令用来配置NAT地址组或NAT端口块组与备份组绑定。
undo failover-group命令用来恢复缺省情况。
【命令】
failover-group group-name
undo failover-group
【缺省情况】
NAT地址组或NAT端口块组未绑定任何备份组。
【视图】
NAT地址组视图
NAT端口块组视图
【缺省用户角色】
network-admin
【参数】
group-name:备份组的名称,为1~63个字符的字符串,区分大小写。绑定的备份组可以不存在,但要使配置生效,必须通过failover group命令创建备份组。
【使用指导】
使用CGN单板提供NAT功能的环境中,对于动态地址转换或NAT端口块地址转换,需要将NAT地址组与节点为CGN单板的备份组绑定。
NAT地址组或NAT端口块组与备份组绑定后,不能通过nat service命令来指定处理NAT业务的slot。
在NAT地址组视图或NAT端口块组视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在NAT地址组视图或NAT端口块组视图下配置本命令。
【举例】
# 将NAT地址组与名称为nat-failover的备份组绑定。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] failover-group nat-failover
# 将NAT端口块组与名称为nat-failover的备份组绑定。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] failover-group nat-failover
【相关命令】
· failover group(可靠性命令参考/备份组)
· nat instance
· nat service
· user-group(BRAS业务命令参考/AAA)
global-ip-pool命令用来添加一个公网地址成员。
undo global-ip-pool命令用来删除一个公网地址成员。
【命令】
global-ip-pool start-address end-address
undo global-ip-pool start-address end-address
【缺省情况】
不存在公网地址成员。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
【参数】
start-address end-address:公网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
在NAT端口块静态映射中,端口基于公网地址成员的IP地址为私网地址成员的IP地址分配端口块。一个公网IP地址可对应的端口块个数,由端口块组配置的公网地址端口范围和端口块大小决定(端口范围除以端口块大小)。
一个端口块组内,一次添加的公网地址成员的数量不能超过256个,且各公网地址成员之间的IP地址不能重叠。
使用接口NAT方式进行地址转换的情况下,请注意:
· 不同端口块组间的公网地址成员的IP地址可以重叠,但要保证在有地址重叠时端口范围不重叠。
· 如果公网地址成员与NAT端口块静态映射中的公网地址成员重叠,请确保NAT端口块静态映射中的端口范围与NAT端口块动态映射中的端口范围不重叠。否则当用户上线时,如果设备为两个不同的用户分配了相同的公网IP地址和端口块,可能会导致无法为其中一个用户创建NAT会话。
使用全局NAT方式进行地址转换时,不同端口块组间的公网地址成员的IP地址不可以重叠。
【举例】
# 在端口块组1中添加一个公网地址成员,IP地址从202.10.1.1到202.10.1.10。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] global-ip-pool 202.10.1.1 202.10.1.10
【相关命令】
· nat instance
· nat port-block-group
inside ip命令用来添加一个内部服务器组成员。
undo inside ip命令用来删除一个内部服务器组成员。
【命令】
inside ip inside-ip port port-number [ weight weight-value ]
undo inside ip inside-ip port port-number
【缺省情况】
内部服务器组内没有内部服务器组成员。
【视图】
内部服务器组视图
【缺省用户角色】
network-admin
【参数】
inside-ip:内部服务器组成员的IP地址。
port port-number:内部服务器组成员提供服务的端口号,取值范围为1~65535。
weight weight-value:内部服务器组成员的权重。weight-value表示权值,取值范围为1~1000,缺省值为100。内部服务器组成员按照权重比例对外提供服务,权重值越大的内部服务器组成员对外提供服务的比重越大。
【举例】
# 为内部服务器组1添加一个内部服务器组成员,其IP地址为10.1.1.2,服务端口号为30。
<Sysname> system-view
[Sysname] nat server-group 1
[Sysname-nat-server-group-1] inside ip 10.1.1.2 port 30
【相关命令】
· nat server-group
ip-usage-threshold命令用来配置全局NAT地址池的地址段申请阈值和释放阈值。
undo ip-usage-threshold命令用来恢复缺省情况。
【命令】
ip-usage-threshold upper-limit upper-value lower-limit lower-value
undo ip-usage-threshold
【缺省情况】
全局NAT地址池的地址段申请阈值为80%,释放阈值为20%。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【参数】
upper-value:指定全局NAT地址池的地址段申请阈值,取值范围为1~100,单位为百分比。
lower-value:指定全局NAT地址池的地址段释放阈值,取值范围为0~99,单位为百分比。lower-value配置值必须小于upper-value配置值。
【使用指导】
NAT地址组与全局NAT地址池绑定后,当NAT地址组的地址使用率大于等于申请阈值时,该NAT地址组向绑定的全局NAT地址池申请扩展地址段;当NAT地址组中地址的使用率小于释放阈值时,该NAT地址组向全局NAT地址池释放未被使用的扩展地址段。
动态全局NAT地址池与DHCP服务器上的IP地址池绑定后,NAT设备周期性统计动态全局NAT地址池的地址使用率,当动态全局NAT地址池的地址使用率大于等于申请阈值时,CP向DHCP服务器发送地址段申请消息,向DHCP服务器申请地址段;当动态全局NAT地址池的地址使用率小于释放阈值时,CP设备通知DHCP服务器回收空闲的地址段。
建议采用缺省的全局NAT地址池的地址段申请和释放阈值。如需设置全局NAT地址池的地址段申请和释放阈值,请将upper-value和lower-value的差值设置在60%以上。
【举例】
# 配置全局NAT地址池pool1的地址段申请阈值为90%,释放阈值为20%。
<Sysname> system-view
[Sysname] nat ip-pool pool1
[Sysname-nat-ip-pool-pool1] ip-usage-threshold upper-limit 90 lower-limit 20
【相关命令】
· nat ip-pool
· section
local-ip-address命令用来添加私网地址成员。
undo local-ip-address命令用来删除私网地址成员。
【命令】
local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
undo local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在私网地址成员。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
【参数】
start-address end-address:私网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址。
vpn-instance vpn-instance-name:私网地址成员所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示私网地址成员不属于任何一个VPN实例。
【使用指导】
私网地址成员的IP地址作为端口块的使用者,基于端口块组配置的公网地址成员的IP地址为其分配端口块。在一个端口块组内,一个私网IP地址只分配一个端口块。
同一个端口块组内,可配置多个私网地址成员:
· 属于同一VPN实例的各私网地址成员之间的IP地址不能重叠。
· 不属于任何VPN实例的私网地址成员之间的IP地址不能重叠。
不同端口块组内,执行本命令且指定相同的VPN实例时,配置的私网地址成员的IP地址不要重叠,否则可能导致无法正确处理NAT业务。
如果一个端口块组中的私网地址总数超过可分配的端口块总数(端口范围除以端口块大小),则在进行NAT端口块静态映射时,超出部分的私网地址将无法分配到端口块。
【举例】
# 在端口块组1中添加一个私网地址成员,IP地址从172.16.1.1到172.16.1.255。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] local-ip-address 172.16.1.1 172.16.1.255
【相关命令】
· nat port-block-group
nat address-group命令用来创建地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo nat address-group命令用来删除指定的地址组。
【命令】
nat address-group group-id
undo nat address-group group-id
【缺省情况】
不存在地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-id:地址组编号,取值范围为0~65535。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时,其源地址将被转换为地址组成员中的某个地址。
地址组被地址转换的配置引用时,无法通过undo nat address-group命令删除该地址组。
【举例】
# 创建一个地址组,编号为1。
<Sysname> system-view
[Sysname] nat address-group 1
【相关命令】
· address
· display nat address-group
· display nat all
· nat outbound
nat address-group bind-ip-pool命令用来配置NAT地址组与全局NAT地址池绑定。
undo nat address-group bind-ip-pool命令用来取消NAT地址组与全局NAT地址池的绑定关系。
【命令】
nat address-group group-id bind-ip-pool pool-name
undo nat address-group group-id bind-ip-pool
【缺省情况】
NAT地址组未绑定任何全局NAT地址池。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
group-id:地址组编号,取值范围为0-65535。
pool-name:全局NAT地址池名称,为1~31个字符的字符串,区分大小写。如果地址池名称中包含空格,则必须在地址池名称两端加双引号,例如"pool 1"。引用的全局NAT地址池必须已经存在。
【使用指导】
将NAT地址组与全局NAT地址池绑定后,全局NAT地址池将为该NAT地址组分配初始网段。对于全局NAT负载分担的情况,初始网段的分配规则如下:
· 在NAT与BRAS联动的场景中,NAT地址组根据NAT实例所关联的业务实例组中备份组的数量向全局NAT地址池申请相应数量的初始网段。即不同的备份组使用不同地址范围的初始网段。
· 非联动场景中,NAT地址组向全局NAT地址池申请一个初始网段,即NAT实例所关联的业务实例组中的所有备份组共用一个初始网段。
对于全局NAT非负载分担的情况,不管何种场景,NAT地址组仅向全局NAT地址池申请一个初始网段。
满足如下条件之一的NAT地址组才能与全局NAT地址池绑定:
· NAT地址组中通过port-block命令配置了端口块参数。
· NAT地址组中通过port-single-alloc命令配置了逐端口分配方式。
NAT地址组与全局NAT地址池绑定后,不允许执行如下操作:
· 通过address命令向该NAT地址组中添加地址成员。
· 取消该NAT地址组与全局NAT地址池的绑定条件,包括:
¡ 取消NAT地址组中端口块参数的配置。
¡ 将NAT地址组中端口分配方式修改为端口复用分配方式。
· NO-PAT方式的出方向动态地址转换规则中指定该地址组。
同一个NAT实例中,将NAT地址组与全局NAT地址池绑定或取消绑定关系时,需要注意:
· 同一个NAT地址组只能绑定一个全局NAT地址池,不同的NAT地址组可以绑定同一个全局NAT地址池。
· NAT实例中有用户在线的情况下,不允许取消NAT地址组与全局NAT地址池的绑定关系。
· NAT实例下存在引用NAT地址组的nat outbound配置时,不允许取消NAT地址组与全局NAT地址池的绑定关系。
· 如果NAT实例关联的业务实例组中绑定了跨系统板间业务备份的备份组,对应的NAT实例视图下不允许将NAT地址组与静态全局NAT地址池绑定。反之,如果NAT实例视图下将NAT地址组与静态全局NAT地址池绑定后,关联的业务实例组不能绑定跨系统板间业务备份的备份组。关于跨系统板间业务备份的备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
· NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,NAT地址组绑定的全局NAT地址池下不能配置up-backup命令,否则不允许NAT地址组与全局NAT地址池绑定。
全局NAT负载分担方式下,NAT地址组与某个全局NAT地址池绑定后,不允许其他NAT实例下的NAT地址组再与该全局NAT地址池绑定。
【举例】
# 配置NAT地址组1与全局NAT地址池pool1绑定。
<Sysname> system-view
[Sysname] nat instance cgn1 id 1
[Sysname-nat-instance-cgn1] nat address-group 1 bind-ip-pool pool1
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· ip-usage-threshold
· nat ip-pool
· subnet length
· up-backup
nat address-group-usage threshold命令用来配置NAT地址组资源使用率的告警阈值。
undo nat address-group-usage threshold命令用来恢复缺省情况。
【命令】
nat address-group-usage threshold threshold-value
undo nat address-group-usage threshold
【缺省情况】
NAT地址组资源使用率告警阈值为90%。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:NAT地址组资源使用率的告警阈值,取值范围为40~100,单位为百分比。
【使用指导】
当NAT地址组资源的使用率大于或等于设定的告警阈值时,系统将会输出日志信息进行预警。当NAT地址组资源的使用率小于设定的告警阈值的87.5%时,系统会输出资源使用率恢复日志信息。
只有开启NAT的告警功能(通过snmp-agent trap enable nat)之后,本命令才能生效。
【举例】
# 配置NAT地址组资源使用率的告警阈值为80%。
<Sysname> system-view
[Sysname] nat address-group-usage threshold 80
【相关命令】
· snmp-agent trap enable nat
nat alg命令用来开启指定或所有协议类型的NAT ALG功能。
undo nat alg命令用来关闭指定或所有协议类型的NAT ALG功能。
【命令】
nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
undo nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
【缺省情况】
FTP协议、ICMP差错控制报文和RTSP协议的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:所有可指定的协议的ALG功能。
dns:表示DNS协议的ALG功能。
ftp:表示FTP协议的ALG功能。
h323:表示H323协议的ALG功能。
icmp-error:表示ICMP差错控制报文的ALG功能。
ils:表示ILS(Internet Locator Service,互联网定位服务)协议的ALG功能。
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议的ALG功能。
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议的ALG功能。
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议的ALG功能。
rsh:表示RSH(Remote Shell,远程外壳)协议的ALG功能。
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议的ALG功能。
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议的ALG功能。
sip:表示SIP(Session Initiation Protocol,会话初始协议)协议的ALG功能。
sqlnet:表示SQLNET协议的ALG功能。
tftp:表示TFTP协议的ALG功能。
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议的ALG功能。
【使用指导】
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换,以保证后续数据连接的正确建立。
如果使用nat mapping-behavior endpoint-independent命令配置了在PAT方式出方向地址转换中仅创建EIM表项(即未指定tcp-5-tuple、udp-5-tuple参数),则无法配置nat alg h323命令。
【举例】
# 开启FTP协议的ALG功能。
<Sysname> system-view
[Sysname] nat alg ftp
【相关命令】
· display nat all
· nat mapping-behavior endpoint-independent
nat attack-defense命令用来限制NAT业务板上的协议报文上送CPU的速率。
undo nat attack-defense命令用来恢复缺省情况。
【命令】
(独立运行模式)
nat attack-defense { alg | other | tcp | tcp-syn } rate rate-value slot slot-number [ cpu cpu-number ]
undo nat attack-defense { alg | other | tcp | tcp-syn } rate slot slot-number [ cpu cpu-number ]
nat attack-defense forward udp rate rate-value slot slot-number [ cpu cpu-number ]
undo nat attack-defense forward udp rate slot slot-number [ cpu cpu-number ]
nat attack-defense reverse udp { packet-rate packet-rate-value | rate rate-value } slot slot-number [ cpu cpu-number ]
undo nat attack-defense reverse udp { packet-rate | rate } slot slot-number [ cpu cpu-number ]
(IRF模式)
nat attack-defense { alg | other | tcp | tcp-syn } rate rate-value chassis chassis-number slot slot-number [ cpu cpu-number ]
undo nat attack-defense { alg | other | tcp | tcp-syn } rate chassis chassis-number slot slot-number [ cpu cpu-number ]
nat attack-defense forward udp rate rate-value chassis chassis-number slot slot-number [ cpu cpu-number ]
undo nat attack-defense forward udp rate chassis chassis-number slot slot-number [ cpu cpu-number ]
nat attack-defense reverse udp { packet-rate packet-rate-value | rate rate-value } chassis chassis-number slot slot-number [ cpu cpu-number ]
undo nat attack-defense reverse udp { packet-rate | rate } chassis chassis-number slot slot-number [ cpu cpu-number ]
【缺省情况】
限制正向UDP报文上送CPU的速率为4000Kpps,反向UDP报文上送CPU的流速率为65Mbps,反向UDP报文上送CPU的包速率是100Kpps;限制正向TCP SYN报文上送CPU的速率为4000Kpps;限制TCP报文(正向TCP SYN报文除外)上送CPU的速率为100Kpps;限制ALG解析和处理后的报文上送CPU的速率为500Kpps;不限制其他协议类型报文上送CPU的速率。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
alg:限制ALG解析和处理后的报文上送CPU的速率。
other:其他协议类型报文(包括分片报文、RawIP协议等)上送CPU的速率。
tcp:限制TCP报文(正向TCP SYN报文除外)上送CPU的速率。
tcp-syn:限制正向TCP SYN报文上送CPU的速率。
forward:限制从会话发起方收到的协议报文上送CPU的速率,即限制正向报文上送CPU的速率。
reverse:限制从会话响应方收到的协议报文上送CPU的速率,即限制反向报文上送CPU的速率。
udp:限制UDP报文上送CPU的速率。
packet-rate packet-rate-value:指定反向UDP报文上送CPU的速率,整数形式,取值范围为1~4000,单位为Kpps。本参数用于限制反向UDP报文上送CPU的包速率。
rate rate-value:指定协议报文上送CPU的速率,整数形式,取值范围为1~4000。对于other类型的报文,速率单位为Mbps;对于tcp-syn、tcp、alg类型的报文,速率单位为Kpps;对于udp类型的报文,正向UDP报文上送CPU的速率为Kpps,反向UDP报文上送CPU的速率为Mbps。对于other类型的报文以及反向UDP报文,本参数用于限制报文上送CPU的流速率;对于tcp-syn、tcp、alg类型的报文以及正向UDP报文,本参数用于限制报文上送CPU的包速率。
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
为了保护系统资源,防止因处理大量协议报文而导致的资源耗尽,根据实际需要可以调整NAT业务板上的协议报文上送至CPU的速率阈值。
当NAT业务板上的协议报文上送CPU的速率超过限定值时,NAT业务板认为存在攻击并进入攻击防范状态。在这种状态下,NAT业务板将丢弃后续收到的协议报文。通过上述机制可防止CPU因处理大量协议报文导致的资源耗尽,确保系统在面对此类攻击时能够正常运行。
通过display session statistics命令查看系统创建单播会话的速率,以及创建各协议会话的速率,当某协议创建会话的速率过高时,可以使用本命令限制该协议报文上送CPU的速率。
限制反向UDP报文上送CPU的速率时,如果UDP数据包较大、但数量较少,则建议使用nat attack-defense reverse udp rate命令限速;如果UDP数据包较小、且数量较多,则建议使用nat attack-defense reverse udp packet-rate命令限速。通常情况下建议用户使用nat attack-defense reverse udp packet-rate命令限制反向UDP报文上送CPU的速率。
nat attack-defense reverse udp packet-rate命令和nat attack-defense reverse udp rate命令互斥,不能同时配置。
【举例】
# 限制指定slot上正向UDP报文上送CPU的速率为20Kpps。
<Sysname> system-view
[Sysname] nat attack-defense forward udp rate 20 slot 2
# 限制指定slot上反向UDP报文上送CPU的速率为30Mbps。
<Sysname> system-view
[Sysname] nat attack-defense reverse udp rate 30 slot 2
# 限制指定slot上反向UDP报文上送CPU的速率为40Kpps。
<Sysname> system-view
[Sysname] nat attack-defense reverse udp packet-rate 40 slot 2
【相关命令】
· display session statistics(安全命令参考/会话管理)
nat centralized-backup auto switchback disable命令用来禁止集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换。
undo nat centralized-backup auto switchback disable命令用来恢复缺省情况。
【命令】
nat centralized-backup auto switchback disable
undo nat centralized-backup auto switchback disable
【缺省情况】
允许集中式备份分布式CGN设备上的流量回切到分布式部署CGN设备上进行地址转换。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
在集中式备份分布式CGN组网环境中,有如下两种方式可以使流量切换到集中式部署CGN的设备上进行地址转换:
· 自动切换。配置nat centralized-backup enable命令后,当分布式部署CGN设备的CGN单板故障时,流量会自动切换到集中式部署CGN的设备上进行地址转换。
· 手工切换。执行nat centralized-backup manual switch命令后,流量将被强制切换到集中式部署CGN设备上进行地址转换。
如果希望不管CGN单板故障是否恢复、分布式部署CGN设备是否可用,都需要在集中式部署CGN设备上进行地址转换,请在分布式部署CGN设备上配置本命令。若无特殊需求,建议用户不要配置本命令。
只有开启集中式备份分布式CGN功能(通过nat centralized-backup enable命令)之后,才能配置本命令。
【举例】
# 在NAT实例cgn1下禁止集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换。
<Sysname> system-view
[Sysname] nat instance cgn1 id 1
[Sysname-nat-instance- cgn1] nat centralized-backup enable
[Sysname-nat-instance- cgn1] nat centralized-backup auto switchback disable
【相关命令】
· nat centralized-backup enable
· nat centralized-backup manual switch
nat centralized-backup enable命令用来开启集中式备份分布式CGN功能。
undo nat centralized-backup enable命令用来关闭集中式备份分布式CGN功能。
【命令】
nat centralized-backup enable
undo nat centralized-backup enable
【缺省情况】
集中式备份分布式CGN功能处于关闭状态。
【视图】
系统视图
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
在集中式备份分布式CGN组网环境中,开启本功能后,当分布式部署CGN设备的CGN业务板故障时,将流量引到集中式部署CGN设备上的QoS策略或策略路由生效,使得流量自动切换到集中式部署CGN的设备上进行地址转换。当分布式部署的CGN单板故障恢复时,将流量引到集中式部署CGN设备上的QoS策略或策略路由不再生效,流量将自动回切到分布式部署CGN的设备上进行地址转换。流量切换或回切期间已上线的用户不会下线。
以下情况无法开启或关闭集中式备份分布式CGN功能:
· 存在nat centralized-backup manual switch和nat centralized-backup auto switchback disable中任意一种配置时,无法配置undo nat centralized-backup enable命令。
· 在系统视图下开启本功能后,将无法创建NAT实例。反之,如果存在NAT实例,将无法在系统视图下开启本功能。
· NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,无法在该NAT实例下配置nat centralized-backup enable命令。
【举例】
# 开启集中式备份分布式CGN功能。
<Sysname> system-view
[Sysname] nat centralized-backup enable
# 在名称为cgn、编号为1的NAT实例下开启集中式备份分布式CGN功能。
<Sysname> system-view
[Sysname] nat instance cgn id 1
[Sysname-nat-instance-cgn] nat centralized-backup enable
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· nat centralized-backup manual switch
· nat centralized-backup auto switchback disable
· nat instance
nat centralized-backup switchback delay命令用来配置集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间。
undo nat centralized-backup switchback delay命令用来恢复缺省情况。
【命令】
nat centralized-backup switchback delay delay-time
undo nat centralized-backup switchback delay
【缺省情况】
集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间为60秒。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
delay-time:延迟时间,取值范围为0~1800秒。设置为0表示分布式部署CGN的设备可用时,流量立刻从集中式备份分布式CGN设备上回切到该设备上。
【使用指导】
在集中式备份分布式CGN场景中,当分布式部署的CGN单板发生故障时,流量切换到集中式部署CGN单板的设备上,由集中式部署的CGN单板负责进行地址转换。当分布式部署的CGN单板故障恢复时,流量回切到分布式部署CGN单板的设备上进行地址转换。使用本命令可以控制流量回切的延迟时间。
回切延迟时间的配置建议如下:
· 通常情况下,建议用户使用缺省值。
· 集中式备份分布式CGN叠加全局NAT业务负载分担的场景中,当流量回切时,可能会出现回切初始阶段未能将流量均匀地分配到负载分担组中的各个备份组、后续重新分配流量的情况,导致在某个CGN单板上建立部分用户的会话表或EIM表建立后被删除,重新在其他CGN单板上建立这部分用户的用户表或EIM表。为了让NAT有足够的时间将流量均匀地分配到负载分担组中的各个备份组中,可以适当增加回切延迟时间。
只有开启集中式备份分布式CGN功能(通过nat centralized-backup enable命令)之后,才能配置本命令。
【举例】
# 配置集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间为80秒。
<Sysname> system-view
[Sysname] nat instance cgn1 id 1
[Sysname-nat-instance-cgn1] nat centralized-backup enable
[Sysname-nat-instance-cgn1] nat centralized-backup switchback delay 80
【相关命令】
· nat centralized-backup enable
nat dns-map命令用来配置一条域名到内部服务器的映射。
undo nat dns-map命令用来删除一条域名到内部服务器的映射。
【命令】
nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port
undo nat dns-map domain domain-name
【缺省情况】
不存在域名到内部服务器的映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:指定内部服务器的合法域名。domain-name表示内部服务器的域名,由“.”分隔的字符串组成(如example.com),每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”。
protocol pro-type:指定内部服务器的协议类型。pro-type表示具体的协议类型,取值为tcp或udp。
interface interface-type interface-number:表示使用指定接口的地址作为内部服务器的外网地址。interface-type interface-number表示接口类型和接口编号。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。global-ip表示外网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号,可输入的形式如下:
· 数字:取值范围为1~65535。
· 协议名称:为1~15个字符的字符串,例如ftp、telnet等。
【使用指导】
NAT的DNS mapping功能需要和内部服务器配合使用,主要应用于DNS服务器在外网,应用服务器在内网(在NAT设备上有对应的nat server配置),内网用户需要通过域名访问内网应用服务器的场景。NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
设备可支持配置多条域名到内部服务器的映射。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.example.com,对外的IP地址为202.112.0.1,服务端口号为12345。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain www.example.com protocol tcp ip 202.112.0.1 port 12345
【相关命令】
· display nat all
· display nat dns-map
· nat server
nat extended-port-block report-radius enable命令用来开启NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能。
undo nat extended-port-block report-radius enable命令用来关闭NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能。
【命令】
nat extended-port-block report-radius enable
undo nat extended-port-block report-radius enable
【缺省情况】
NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能处于关闭状态。
【视图】
系统视图
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
在NAT与BRAS联动的场景中,用户通过RADIUS认证并分配得到私网地址之后,设备会为其预先分配公网IP和端口块,并创建地址映射关系,然后通过RADIUS报文将上线用户获得的私网IP地址及其对应的公网IP和端口块等信息上报给RADIUS服务器。RADIUS服务器获得用户的地址映射关系后,将这些信息记录到在线用户信息中,以提供用户溯源服务。之后,如果用户向公网发起的连接使用了增量端口块,设备并不会将私网IP地址及其对应的公网IP和增量端口块等信息上报给RADIUS服务器,导致无法对使用增量端口块的用户进行溯源。开启本功能可以避免上述问题的产生。
全局NAT配置环境下,本功能在NAT实例视图下开启。接口NAT配置环境下,本功能在系统视图下开启。
当存在PPPoE或IPoE在线用户时,无法改变本功能的开启或关闭状态。
在系统视图下,本命令与nat instance命令互斥,不能同时配置。
【举例】
# 开启NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能。
<Sysname> system-view
[Sysname] nat extended-port-block report-radius enable
【相关命令】
· nat instance
· port-block block-size
nat gratuitous-arp-reply enable命令用来开启NAT设备收到免费ARP报文时的应答能力。
undo nat gratuitous-arp-reply enable命令用来关闭NAT设备收到免费ARP报文时的应答能力。
【命令】
nat gratuitous-arp-reply enable
undo nat gratuitous-arp-reply enable
【缺省情况】
NAT收到免费ARP报文时的应答能力处于开启状态。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,NAT设备收到同一网络中其他设备发送的免费ARP报文后,如果报文中携带的IP地址与NAT设备上的NAT地址相同,NAT设备将发送ARP应答报文。发送免费ARP报文的设备收到应答报文即认为IP地址发生冲突,那么设备将不会使用该IP地址,并打印日志提示管理员修改IP地址。
在同一网络中,已经保证其他设备上的地址不会与NAT设备上的地址冲突的情况下,可以配置undo nat gratuitous-arp reply enable命令,关闭NAT设备收到免费ARP报文时的应答能力,以减少NAT设备向网络中发送ARP应答报文的数量。
【举例】
# 关闭NAT设备收到免费ARP报文时的应答能力。
<Sysname> system-view
[Sysname] nat instance inst id 1
[Sysname-nat-instance-inst] undo nat gratuitous-arp reply enable
【相关命令】
· display nat instance
nat hairpin enable命令用来开启NAT hairpin功能。
undo nat hairpin enable用来关闭NAT hairpin功能。
【命令】
nat hairpin enable
undo nat hairpin enable
【缺省情况】
NAT hairpin功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
NAT hairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求,需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。
在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
【举例】
# 在Ten-GigabitEthernet3/1/1接口下开启NAT hairpin功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat hairpin enable
【相关命令】
· display nat all
· nat instance
nat hardware aging-accelerate dns enable命令用来开启NAT加速老化处理DNS业务报文时生成的会话表项和EIM表项的功能。
undo nat hardware aging-accelerate dns enable命令用来关闭NAT加速老化处理DNS业务报文时生成的会话表项和EIM表项的功能。
【命令】
nat hardware aging-accelerate dns enable
undo nat hardware aging-accelerate dns enable
【缺省情况】
NAT加速老化处理DNS业务报文时生成的会话表项和EIM表项的功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
使用CGN单板处理NAT业务的环境中,当用户流量中存在大量DNS域名解析报文时,可能会因为硬件表项老化慢,导致端口资源耗尽,造成用户无法开展新业务的问题。使用本功能能够有效缓解或解决上述问题。
NAT设备对DNS请求报文和应答报文进行地址转换时,会生成NAT会话表项。如果在NAT设备上开启Endpoint-Independent Mapping模式,则NAT设备还会生成EIM表项。缺省情况下,NAT会话表项的更新和老化由会话管理模块维护,EIM表项会在与其相关联的所有NAT会话表项老化后老化。
开启本功能后,NAT设备会加速老化处理DNS业务报文时生成的会话表项和EIM表项,以便尽快释放端口资源,尽可能避免出现因端口资源耗尽引发的无法开展新业务的问题。
使用CGN单板处理NAT业务的环境中,建议开启本功能。
本命令仅在安装了CGN单板的设备上生效。
【举例】
# 开启加速老化DNS业务表项的功能。
<Sysname> system-view
[Sysname] nat hardware aging-accelerate dns enable
【相关命令】
· display nat all
nat instance命令用来创建NAT实例并进入NAT实例视图。如果指定的NAT实例已经存在,则直接进入NAT实例视图。
undo nat instance命令用来删除指定的NAT实例。
【命令】
nat instance instance-name [ id id ]
undo nat instance instance-name
【缺省情况】
不存在任何NAT实例。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
instance-name:NAT实例名称,为1~31个字符的字符串,区分大小写,不能以“Sub”开头。如果该值中包含空格,需要在值的首末添加英文格式的引号,形如"xxx xxx"。
id id:表示NAT实例编号,取值范围为1~127。创建NAT实例时,该参数为必选;进入已经存在的NAT实例时,该参数可选。
【使用指导】
根据NAT规则的应用范围,将NAT地址转换方式分为接口NAT和全局NAT:
· 接口NAT。该方式下,需要在接口上配置静态地址转换、接口上的动态地址转换等NAT规则。此种方式适用于出接口比较固定的场景。
· 全局NAT。该方式下,需要配置NAT实例,并在NAT实例中配置NAT规则以及指定与该NAT实例关联的业务实例组,同时还需要通过QoS策略将需要进行地址转换的流量引到NAT实例中,由NAT实例关联的业务实例组中的slot进行地址转换。此种方式适用于出接口不固定的场景,当出接口发生变化时,用户无需更改相关配置。
NAT实例满足如下条件时才能生效:
· NAT实例与业务实例组关联。
· NAT实例关联的业务实例组和备份组关联,且该备份组中的主节点可以正常处理业务。
创建或删除NAT实例时,需要注意:
· NAT实例名称与实例编号一一对应,不同名称的NAT实例不能使用同一个编号。
· 最多可创建16个NAT实例。
· 如果已经有与某NAT实例绑定的用户上线,则无法删除该NAT实例。
· 创建NAT实例后,无法在相应的视图下配置如下命令:
¡ failover-group(NAT地址组视图/NAT端口块组视图)
¡ nat centralized-backup enable(系统视图)
¡ nat extended-port-block report-radius enable(系统视图)
¡ nat hairpin enable(接口视图)
¡ nat inbound(接口视图)
¡ nat outbound(接口视图)
¡ nat outbound ds-lite-b4(接口视图)
¡ nat outbound easy-ip failover-group(接口视图)
¡ nat outbound port-block-group(接口视图)
¡ nat port-block flow-trigger enable(系统视图)
¡ nat server(接口视图)
¡ nat service(接口视图)
¡ nat static enable(接口视图)
【举例】
# 创建一个NAT实例,名称为cgn1,实例编号为1,并进入该NAT实例的视图。
<Sysname> system-view
[Sysname] nat instance cgn1 id 1
[Sysname-nat-instance-cgn1]
【相关命令】
· display nat instance
· failover-group
· nat centralized-backup enable
· nat extended-port-block report-radius enable
· nat hairpin enable
· nat inbound
· nat outbound
· nat outbound ds-lite-b4
· nat outbound easy-ip failover-group
· nat outbound port-block-group
· nat port-block flow-trigger enable
· nat server
· nat service
· nat static enable
nat ip-pool命令用来创建全局NAT地址池,并进入全局NAT地址池视图。如果指定的全局NAT地址池已经存在,则直接进入全局NAT地址池视图。
undo nat ip-pool命令用来删除指定的全局NAT地址池以及全局NAT地址池视图下的所有配置。
【命令】
nat ip-pool pool-name [ dynamic [ backup ] ]
undo nat ip-pool pool-name
【缺省情况】
不存在全局NAT地址池。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pool-name:全局NAT地址池名称,为1~31个字符的字符串,区分大小写,不能以“Sub”开头。如果地址池名称中包含空格,则必须在地址池名称两端加双引号,例如"pool 1"。
dynamic:指定全局地址池为动态地址池,如果未指定本参数,那么该全局地址池为静态地址池。
backup:指定该全局地址池为备份地址池。只能在备份UP设备上配置本参数。
【使用指导】
全局NAT地址池是公网IPv4地址的集合,分为静态全局地址池和动态全局地址池:
· 静态全局地址池,由NAT模块为单台设备提供统一的地址池管理功能。其工作机制如下:
¡ 将NAT地址组与静态全局NAT地址池绑定后,全局NAT地址池将为该NAT地址组分配初始网段。
¡ 对于内网用户向公网发起的首次连接,NAT设备使用静态全局NAT地址池为NAT地址组分配的初始网段中的地址进行地址转换。
¡ 当NAT地址组中初始网段地址的使用率大于等于申请阈值时,向全局NAT地址池申请扩展地址段;当NAT地址组中地址的使用率小于释放阈值时,向全局NAT地址池释放未被使用的扩展地址段。
· 动态全局地址池,用于在转发与控制分离组网中为所有UP设备提供统一的NAT地址申请与管理功能。在UP上将动态全局NAT地址池与DHCP服务器上的IP地址池或地址池组绑定,当CP接收到UP的地址申请时,CP向DHCP服务器上的IP地址池或地址池组动态申请公网IP地址,由DHCP服务器提供地址池管理功能,实现不同的NAT设备共享同一个地址池的地址资源。
对于备份UP设备,仅当前其切换为主UP时,其上的全局备份NAT地址池才能生效。
存在NAT地址组绑定全局NAT地址池的配置时,不允许删除此全局NAT地址池。
不能通过重复执行本命令修改全局NAT地址池的类型。如需修改,请先通过undo nat ip-pool命令删除已经创建的静态或动态全局NAT地址池,再执行nat ip-pool命令创建新的全局NAT地址池。
【举例】
# 创建一个静态全局NAT地址池,名称为pool1,并进入全局NAT地址池的视图。
<sysname> system-view
[sysname] nat ip-pool pool1
[sysname-nat-ip-pool-pool1]
【相关命令】
· bind dhcp-server-pool
· ip-usage-threshold
· nat instance
· section
· subnet length
nat log bandwidth-usage threshold命令用来配置CGN单板带宽使用率的告警阈值。
undo nat log bandwidth-usage threshold命令用来恢复缺省情况。
【命令】
nat log bandwidth-usage threshold threshold-value
undo nat log bandwidth-usage threshold
【缺省情况】
CGN单板带宽使用率的告警阈值为90%。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
threshold-value:CGN单板带宽使用率的告警阈值,取值范围为20~100,单位为百分比。
【使用指导】
当CGN单板带宽使用率大于或等于设定的告警阈值时,系统将会输出日志信息进行预警。当CGN单板带宽使用率小于设定的告警阈值的87.5%时,系统会输出带宽使用率恢复日志信息。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 配置CGN单板带宽使用率的告警阈值为80%。
<Sysname> system-view
[Sysname] nat log bandwidth-usage threshold 80
【相关命令】
· nat log enable
nat log enable命令用来开启NAT日志功能。
undo nat log enable用来关闭NAT日志功能。
【命令】
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat log enable
【缺省情况】
NAT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
acl:指定ACL的编号或名称。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【使用指导】
必须开启NAT日志功能,NAT会话日志功能(包括NAT新建会话、NAT删除会话和NAT活跃流的日志功能)、NAT444用户日志功能(包括NAT444端口块分配和NAT444端口块回收的日志功能)和NAT444告警信息日志功能才能生效。
acl参数只对NAT会话日志功能有效,对其他NAT日志功能无效。如果指定了ACL,则只有符合ACL permit规则的数据流才有可能触发输出NAT会话日志;如果没有指定ACL,则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。
【举例】
# 开启NAT日志功能。
<Sysname> system-view
[Sysname] nat log enable
【相关命令】
· display nat all
· display nat log
· nat log flow-active
· nat log flow-begin
· nat log flow-end
· nat log port-alloc-fail
· nat log port-block-alloc-fail
· nat log port-block-assign
· nat log port-block-withdraw
nat log flow-active命令用来开启NAT活跃流日志功能,并设置生成活跃流日志的时间间隔。
undo nat log flow-active命令用来关闭NAT活跃流的日志功能。
【命令】
nat log flow-active time-value
undo nat log flow-active
【缺省情况】
NAT活跃流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
time-value:表示触发输出NAT活跃流日志的时间间隔,取值范围为10~120,单位为分钟。
【使用指导】
对于一些长时间没有断开的NAT会话(即活跃流),如果需要定期记录其连接情况,则可以通过活跃流日志功能来实现。
开启NAT活跃流日志功能后,对于NAT活跃流,每经过指定的时间间隔,设备就会记录一次NAT日志。
只有开启NAT日志功能(通过nat log enable命令)之后,活跃流日志功能才能生效。
【举例】
# 开启NAT活跃流日志功能,并设置输出NAT活跃流日志的时间间隔为10分钟。
<Sysname> system-view
[Sysname] nat log flow-active 10
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-begin命令用来开启NAT新建会话的日志功能,即新建NAT会话时,输出NAT日志。
undo nat log flow-begin命令用来关闭NAT新建会话的日志功能。
【命令】
nat log flow-begin
undo nat log flow-begin
【缺省情况】
NAT新建会话的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有开启NAT日志功能(通过nat log enable命令)之后,NAT新建会话的日志功能才能生效。
【举例】
# 开启NAT新建会话的日志功能。
<Sysname> system-view
[Sysname] nat log flow-begin
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-end命令用来开启NAT删除会话的日志功能。
undo nat log flow-end命令用来关闭NAT删除会话的日志功能。
【命令】
nat log flow-end
undo nat log flow-end
【缺省情况】
NAT删除会话的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有开启NAT日志功能(通过nat log enable命令)之后,NAT删除会话的日志功能才能生效。
【举例】
# 开启NAT删除会话的日志功能。
<Sysname> system-view
[Sysname] nat log flow-end
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log ip-add-fail命令用来开启全局NAT地址池中地址添加失败的日志功能。
undo nat log ip-add-fail命令用来关闭全局NAT地址池中地址添加失败的日志功能。
【命令】
nat log ip-add-fail
undo nat log ip-add-fail
【缺省情况】
全局NAT地址池中地址添加失败的日志功能处于关闭状态。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当全局NAT地址池无法将IP地址添加到地址池时,设备会输出日志信息进行提示。
导致UP无法将IP地址添加到全局NAT地址池的常见情况包括:
· UP上的动态全局NAT地址池向CP申请到的子网段中的IP地址与其他全局NAT地址池中的地址重叠。
· UP上的全局NAT地址池中包含的地址数量已经达到上限。
只有开启NAT日志功能(通过nat log enable命令)之后,本功能才能生效。
【举例】
# 开启全局NAT地址池中地址添加失败的日志功能。
<Sysname> system-view
[Sysname] nat ip-pool pool1
[Sysname-nat-ip-pool-pool1] nat log ip-add-fail
【相关命令】
· display nat all
· display nat log
· ip-usage-threshold
· nat log enable
nat log ip-alloc-fail命令用来开启全局NAT地址池中地址分配失败的日志功能。
undo nat log ip-alloc-fail命令用来关闭全局NAT地址池中地址分配失败的日志功能。
【命令】
nat log ip-alloc-fail
undo nat log ip-alloc-fail
【缺省情况】
全局NAT地址池中地址分配失败的日志功能处于关闭状态。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当全局NAT地址池中的地址资源耗尽无法进行地址分配时,系统将会输出日志信息进行预警。当全局NAT地址池中地址使用率降低至87.5%时,系统也会输出日志进行提示。
只有开启NAT日志功能(通过nat log enable命令)之后,本功能才能生效。
【举例】
# 开启全局NAT地址池中地址分配失败的日志功能。
<Sysname> system-view
[Sysname] nat ip-pool pool1
[Sysname-nat-ip-pool-pool1] nat log ip-alloc-fail
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log ip-usage threshold命令用来配置全局NAT地址池中地址使用率的阈值。
undo nat log ip-usage threshold命令用来恢复缺省情况。
【命令】
nat log ip-usage threshold value
undo nat log ip-usage threshold
【缺省情况】
全局NAT地址池中地址使用率阈值为80%。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【参数】
value:全局NAT地址池中地址使用率阈值,取值范围为60~100,单位为百分比。
【使用指导】
当全局NAT地址池中的地址使用率超过设定的阈值时,系统将会输出日志信息进行预警。当全局NAT地址池中的地址的使用率降低到value的87.5%时,系统也会输出日志进行提示。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 配置名称为pool1的全局NAT地址池中地址使用率的阈值为70%。
<Sysname> system-view
[Sysname] nat ip-pool pool1
[Sysname-nat-ip-pool-pool1] nat log ip-usage threshold 70
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-alloc-fail命令用来开启NAT端口分配失败的日志功能。
undo nat log port-alloc-fail命令用来关闭NAT端口分配失败的日志功能。
【命令】
nat log port-alloc-fail
undo nat log port-alloc-fail
【缺省情况】
NAT端口分配失败的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当动态方式的NAT地址转换发生端口分配失败的情况时,系统会输出端口分配失败的日志。通常,端口块中所有的端口资源都被占用时会导致端口分配失败。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 开启NAT端口分配失败的日志功能。
<Sysname> system-view
[Sysname] nat log port-alloc-fail
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block port-usage threshold命令用来开启NAT端口块中端口使用率的日志信息功能,并设置NAT端口使用率的阈值。
undo nat log port-block port-usage threshold命令用来关闭NAT端口块中端口使用率的日志信息功能。
【命令】
nat log port-block port-usage threshold value
undo nat log port-block port-usage threshold
【缺省情况】
NAT端口块中端口使用率的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:告警阈值,取值范围为40~100,单位为百分比。
【使用指导】
开启本功能后,当端口块中端口数的使用率超过设定的百分比时,系统将会输出日志信息。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 开启NAT端口块中端口使用率的日志信息功能,并设置NAT端口使用率的阈值为90%。
<Sysname> system-view
[Sysname] nat log port-block port-usage threshold 90
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block usage threshold命令用来配置NAT端口块使用率的阈值。
undo nat log port-block usage threshold命令恢复缺省情况。
【命令】
nat log port-block usage threshold value
undo nat log port-block usage threshold
【缺省情况】
NAT端口块使用率的阈值为90%。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
value:端口块使用率的阈值,取值范围为40~100,单位为百分比。
【使用指导】
当端口块的使用率超过设定的百分比时,系统将会输出日志信息。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 配置NAT端口块的使用率告警阈值为80%。
<Sysname> system-view
[Sysname] nat log port-block usage threshold 80
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block-alloc-fail命令用来开启NAT端口块分配失败的日志功能。
undo nat log port-block-alloc-fail命令用来关闭NAT端口块分配失败的日志功能。
【命令】
nat log port-block-alloc-fail
undo nat log port-block-alloc-fail
【缺省情况】
NAT端口块分配失败的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当NAT端口块地址转换发生端口块分配失败的情况时,系统会输出端口块分配失败的日志。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 开启NAT端口块分配失败的日志功能。
<Sysname> system-view
[Sysname] nat log port-block-alloc-fail
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block-assign命令用来开启端口块分配的NAT444用户日志功能。
undo nat log port-block-assign命令用来关闭端口块分配的NAT444用户日志功能。
【命令】
nat log port-block-assign
undo nat log port-block-assign
【缺省情况】
端口块分配的NAT444用户日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志。
端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志。
只有开启NAT日志功能(通过nat log enable命令)之后,端口块分配的NAT444用户日志功能才能生效。
【举例】
# 开启端口块分配的NAT444用户日志功能。
<Sysname> system-view
[Sysname] nat log port-block-assign
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block-withdraw命令用来开启端口块回收的NAT444用户日志功能。
undo nat log port-block-withdraw命令用来关闭端口块回收的NAT444用户日志功能。
【命令】
nat log port-block-withdraw
undo nat log port-block-withdraw
【缺省情况】
端口块回收的NAT444用户日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志。
端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志。
只有开启NAT日志功能(通过nat log enable命令)之后,端口块回收的NAT444用户日志功能才能生效。
【举例】
# 开启端口块回收的NAT444用户日志功能。
<Sysname> system-view
[Sysname] nat log port-block-withdraw
【相关命令】
· display nat all
· display nat log
· nat log enable
nat mapping-behavior endpoint-independent命令用来配置PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping。
undo nat mapping-behavior endpoint-independent命令用来恢复缺省情况。
【命令】
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
undo nat mapping-behavior endpoint-independent
【缺省情况】
PAT出方向动态方式地址转换的模式为Connection-Dependent Mapping。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
tcp:表示配置设备为传输层协议类型为TCP的报文在PAT方式出方向地址转换创建EIM表项。
udp:表示配置设备为传输层协议类型为UDP的报文在PAT方式出方向地址转换创建EIM表项。
tcp-5-tuple:表示配置设备为传输层协议类型为TCP的报文在PAT方式出方向地址转换中创建五元组(源地址、源端口号、协议类型、目的地址、目的端口号)类型的会话表项。如果不指定该参数,则表示仅创建EIM表项。
udp-5-tuple:表示配置设备为传输层协议类型为UDP的报文在PAT方式出方向地址转换中创建五元组(源地址、源端口号、协议类型、目的地址、目的端口号)类型的会话表项。如果不指定该参数,则表示仅创建EIM表项。
【使用指导】
PAT方式出方向动态地址转换支持两种模式:
· Endpoint-Independent Mapping(不关心对端地址和端口的转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访。
· Connection-Dependent Mapping(关心对端地址和端口的非共享转换模式):来自同一源地址和源端口号并且去往特定目的地址和端口号的报文,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号。同一源地址和源端口号并且去往不同目的地址和端口号的报文,通过PAT映射后,其源地址和源端口号被转换为不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,这种模式安全性好,即NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。
创建EIM表项时,有如下配置约束:
· 接口NAT方式下,存在nat server、nat static outbound、nat static outbound net-to-net、nat alg h323中任意一种配置的情况下,无法配置nat mapping-behavior endpoint-independent tcp和nat mapping-behavior endpoint-independent udp命令。
· 全局NAT方式下,存在nat alg h323配置的情况下,无法配置nat mapping-behavior endpoint-independent tcp和nat mapping-behavior endpoint-independent udp命令。
配置本命令后,对于ICMP报文,始终会创建EIM表项和五元组类型的会话表项。
存在NO-PAT方式的动态地址转换配置的情况下,配置PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping后,新增和当前已存在的NO-PAT方式的动态地址转换配置均无法生效。
【举例】
# 对TCP报文以Endpoint-Independent Mapping模式进行地址转换,且仅创建EIM表项。
<Sysname> system-view
[Sysname] nat mapping-behavior endpoint-independent tcp
【相关命令】
· display nat eim
· display nat eim statistics
· nat outbound
· nat server
· nat static outbound
· nat static outbound net-to-net
nat outbound命令用来配置出方向动态地址转换。
undo nat outbound命令用来删除指定的出方向动态地址转换。
【缺省情况】
不存在动态地址转换配置。
【命令】
· NO-PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] no-pat [ reversible ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
· PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ vpn-instance vpn-instance-name ] [ port-preserved ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
【视图】
接口视图
NAT实例视图
【缺省用户角色】
network-admin
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。group-id为地址组的编号,取值范围为0~65535。如果不指定该参数,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
vpn-instance vpn-instance-name:指定地址组中的地址所属的VPN实例。vpn-instance-name表示MPLS L3VPN中的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示地址组中的地址不属于任何一个VPN实例。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息;如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,我们将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即,在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
port-preserved:PAT方式分配端口时尽量不转换端口。port-preserved参数对NAT444端口块动态映射无效。
【使用指导】
一般情况下,出方向动态地址转换配置在和外部网络连接的接口上,一个接口下可同时配置多条出方向地址转换。动态地址转换有两种转换方式:
· PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址或该接口的地址(Easy IP方式)进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2);如果同时配置了PAT方式下的地址转换模式为EIM(Endpoint-Independent Mapping),则外网可以通过IP2/port2主动访问内网,NAT设备根据EIM表项转换目的地址和端口(IP2/port2转换为IP1/port1)。
· NO-PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果同时配置了reversible,则允许外网通过IP2主动访问内网,对于此类报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。NAT端口块动态映射不支持该方式。
指定出方向和入方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被PAT方式的nat outbound配置引用后,不能再被NO-PAT方式的nat outbound配置引用,反之亦然。
· 如果PAT方式的nat outbound所引用的地址组中配置了端口范围和端口块参数,则将对匹配的报文进行NAT端口块动态映射。
· 当PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping时,NO-PAT方式的配置将无法生效。
指定出方向动态地址转换引用的ACL时,需要注意:
· 在一个接口下,一个ACL只能被一个nat outbound引用。
· 配置多条出方向动态地址转换时,只有一个nat outbound可以不引用ACL。
· 不指定ACL编号或名称的情况下,不对转换对象进行限制。
· 对于同一接口下的出方向动态地址转换配置,指定了ACL的配置的优先级高于未指定ACL的配置的优先级;对于指定了ACL的出方向动态地址转换配置,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
· NAT端口块动态映射环境下,在同一接口下新增出方向动态转换的配置时,如果已经有流量与已存在配置中的ACL规则匹配,那么新增配置中的ACL规则不要与已存在配置中的ACL规则有重叠。
在VPN组网中,配置出方向动态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
配置NAT实例中的出方向动态地址转换时,需要注意:
· 必须指定address-group参数。指定的地址组如果绑定了全局NAT地址池,那么必须在该绑定关系所属的全局NAT实例下配置出方向动态地址转换规则,且必须是PAT方式的动态地址转换规则。
· 与NAT实例关联的业务实例组关联了多个备份组时,不允许通过address命令向该NAT实例中出方向动态地址转换规则指定的地址组添加地址成员。
· 不同的NAT实例中的出方向动态地址转换不能使用同一个NAT地址组。
在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
【举例】
# 配置ACL 2001,允许对10.110.10.0/24网段的主机报文进行地址转换。
<Sysname> system-view
[Sysname] acl basic 2001
[Sysname-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-acl-ipv4-basic-2001] rule deny
[Sysname-acl-ipv4-basic-2001] quit
# 配置地址组1,并添加地址组成员:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] nat address-group 1
[Sysname-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-address-group-1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置出方向动态地址转换,允许对匹配ACL 2001的报文使用地址组1中的地址进行地址转换,且在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound 2001 address-group 1
[Sysname-Ten-GigabitEthernet3/1/1] quit
# 如果在接口Ten-GigabitEthernet3/1/1上不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound 2001 address-group 1 no-pat
[Sysname-Ten-GigabitEthernet3/1/1] quit
# 如果直接使用接口Ten-GigabitEthernet3/1/1接口的IP地址进行地址转换,可以使用如下的配置。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound 2001
[Sysname-Ten-GigabitEthernet3/1/1] quit
# 内网10.110.10.0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络。如果要在内网用户向外网主动发起访问之后,允许外网用户主动向10.110.10.0/24网段的主机发起访问,并利用已建立的地址转换表项进行反向地址转换,可以使用如下配置。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound 2001 address-group 1 no-pat reversible
【相关命令】
· address
· display nat eim
· display nat outbound
· nat instance
· nat mapping-behavior
nat outbound ds-lite-b4命令用来配置DS-Lite B4端口块映射。
undo nat outbound ds-lite-b4命令用来删除指定的DS-Lite B4端口块映射。
【命令】
nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id
undo nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name }
【缺省情况】
不存在DS-Lite B4端口块映射。
【视图】
接口视图
NAT实例视图
【缺省用户角色】
network-admin
【参数】
ipv6-acl-number:用于匹配B4设备IPv6地址的IPv6 ACL编号,取值范围为2000~3999。
name ipv6-acl-name:用于匹配B4设备IPv6地址的IPv6 ACL名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。group-id为地址组的编号,取值范围为0~65535。
【使用指导】
在使用DS-Lite隧道技术实现通过IPv6网络连接IPv4网络的组网环境下,DS-Lite B4端口块映射配置在NAT444网关设备连接外部网络的接口上,通常用于在NAT444网关设备已知B4设备或DS-Lite主机的IPv6地址的情况下为DS-Lite用户提供NAT地址转换。
通过在NAT网关设备上配置DS-Lite B4地址转换,可以实现基于端口块的公网IP地址复用,使一个DS-Lite B4 IPv6地址在一个时间段内独占一个公网IP地址的某个端口块。
在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
【举例】
# 配置IPv6 ACL 2100,允许对2000::/64网段的主机报文进行地址转换。
<Sysname> system-view
[Sysname] acl ipv6 basic 2100
[Sysname-acl-ipv6-basic-2100] rule permit source 2000::/64
[Sysname-acl-ipv6-basic-2100] quit
# 配置地址组1,并添加地址组成员:202.110.10.10~202.110.10.12。
[Sysname] nat address-group 1
[Sysname-nat-address-group-1] address 202.110.10.10 202.110.10.12
# 配置地址组1的端口块参数,端口块大小为256。
[Sysname-nat-address-group-1] port-block block-size 256
[Sysname-nat-address-group-1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置DS-Lite B4端口块映射,允许对匹配IPv6 ACL 2100的报文使用地址组1中的地址进行地址转换。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound ds-lite-b4 2100 address-group 1
【相关命令】
· display nat outbound
· nat instance
nat outbound easy-ip failover-group命令用来为Easy IP方式的动态地址转换指定备份组。
undo nat outbound easy-ip failover-group命令用来恢复缺省情况。
【命令】
nat outbound easy-ip failover-group group-name
undo nat outbound easy-ip failover-group
【缺省情况】
没有为Easy IP方式的动态地址转换指定备份组。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
group-name:备份组的名称,为1~63个字符的字符串,区分大小写。
【使用指导】
通过nat outbond命令配置的Easy IP方式的动态地址转换中,本命令用于将需要进行动态地址转换的流量引到指定的备份组进行处理。
本命令与nat service命令互斥,不能同时配置。
在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
【举例】
# 在接口Ten-GigabitEthernet3/1/1上为出方向动态地址转换指定名字为nat-failover的备份组。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound easy-ip failover-group nat-failover
【相关命令】
· display nat outbound
· nat instance
· nat outbond
· nat service
nat outbound port-block-group命令用来配置NAT端口块静态映射。
undo nat outbound port-block-group命令用来删除指定的NAT端口块静态映射配置。
【命令】
nat outbound port-block-group group-id
undo nat outbound port-block-group group-id
【缺省情况】
不存在NAT端口块静态映射配置。
【视图】
接口视图
NAT实例视图
【缺省用户角色】
network-admin
【参数】
group-id:端口块组的编号,取值范围为0~65535。
【使用指导】
NAT规则引用指定的端口块组后,根据端口块组内的配置数据,按照固定的算法为每个私网IP地址分配一个静态端口块并创建静态端口块表项。当某私网IP地址向公网发起连接时,通过该私网IP地址查找静态端口块表项,使用表项中记录的公网IP地址进行地址转换,并从对应的端口块中动态分配一个端口进行TCP/UDP端口转换。
一个接口下可以配置多条基于不同端口块组的NAT端口块静态映射。
不同的NAT实例不能引用同一个端口块组。
如下情况无法配置nat outbound port-block-group命令:
· 在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
· 与NAT实例关联的业务实例组关联了多个备份组时,不允许在该NAT实例下配置本命令。反之,如果在NAT实例下配置了本命令,则与该NAT实例关联的业务实例组无法关联多个备份组。
· 在NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,表明CGN备份模式为N:1温备,此种备份模式下,仅支持为联动上线的用户动态分配端口块,因此相应的NAT实例下无法配置nat outbound port-block-group命令。
【举例】
# 在接口Ten-GigabitEthernet3/1/1的出方向上配置基于端口组1的NAT端口块静态映射。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat outbound port-block-group 1
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· display nat all
· display nat outbound port-block-group
· display nat port-block
· nat instance
· nat port-block-group
nat per-global-ip user-limit命令用来配置PAT模式或端口块方式下允许共享单个公网IP的私网用户的最大数目。
undo nat per-global-ip user-limit命令用来恢复缺省情况。
【命令】
nat per-global-ip user-limit max-number
undo nat per-global-ip user-limit
【缺省情况】
不限制允许共享单个公网IP的私网用户数。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【参数】
max-number:最大用户数,取值范围为1~4096。
【使用指导】
PAT模式或端口块方式的地址转换中,一个公网IP可以被多个私网用户共享。当私网用户接入数过多导致端口分配失败时,新上线的用户将无法访问外网,已经上线的用户将无法发起新的连接。使用本命令可以限制共享单个公网IP的私网用户数,把用户均摊到各个公网IP下,从而避免过多用户同时将同一个公网IP作为转换后的地址。
配置本命令后,只对新上线的用户数进行限制。已上线用户不受此命令限制。
【举例】
# 配置PAT模式下允许共享单个公网IP的私网用户的最大数目为500。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] nat per-global-ip user-limit 500
nat port-block flow-trigger enable命令用来开启流量触发分配端口块功能。
undo nat port-block flow-trigger enable命令用来关闭流量触发分配端口块功能。
【命令】
nat port-block flow-trigger enable
undo nat port-block flow-trigger enable
【缺省情况】
流量触发分配端口块功能处于关闭状态。
【视图】
系统视图
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
对于端口块方式的地址转换,若NAT与BRAS没有联动,则需要开启本功能来驱动NAT设备通过用户的业务流量来触发端口块分配。在NAT与BRAS联动场景中,不要开启本功能,否则会导致用户无法上线。
以下情况无法更改流量触发分配端口块功能的开启或关闭状态:
· 存在在线用户
· 存在使用NAT实例进行地址转换创建的表项
如下情况无法配置nat port-block flow-trigger enable命令:
· 在系统视图下配置本命令后,将无法配置nat instance命令。反之,如果配置了nat instance命令,将无法在系统视图下配置本命令。
· 在NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,表明CGN备份模式为N:1或1:N温备,此种备份模式下,仅支持为联动上线用户分配端口块,因此相应的NAT实例下无法配置nat port-block flow-trigger enable命令。
【举例】
# 开启流量触发分配端口块功能。
<Sysname> system-view
[Sysname] nat port-block flow-trigger enable
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· nat instance
nat port-block-group命令用来创建NAT端口块组,并进入NAT端口块组视图。如果指定的NAT端口块组已经存在,则直接进入NAT端口块组视图。
undo nat port-block-group命令用来删除指定的NAT端口块组。
【命令】
nat port-block-group group-id
undo nat port-block-group group-id
【缺省情况】
不存在NAT端口块组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-id:NAT端口块组的编号,取值范围为0~65535。
【使用指导】
创建的NAT端口块组用于配置NAT端口块静态映射。一个端口块组中包含如下内容:
· 一个或多个私网地址成员,通过local-ip-address命令配置。
· 一个或多个公网地址成员,通过global-ip-pool命令配置。
· 公网地址的端口范围,通过port-range命令配置。
· 端口块大小,通过block-size命令配置。
在进行NAT端口块静态映射时,系统根据相应端口块组的配置计算出私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。
【举例】
# 创建一个NAT端口块组,编号为1。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1]
【相关命令】
· block-size
· display nat all
· display nat port-block-group
· global-ip-pool
· local-ip-address
· nat outbound port-block-group
· port-range
nat protect-tunnel inside-vpn命令用来配置允许进入保护隧道的流量所属的私网侧VPN实例。
undo nat protect-tunnel inside-vpn命令用来恢复缺省情况。
【命令】
nat protect-tunnel inside-vpn vpn-instance-name
undo nat protect-tunnel inside-vpn vpn-instance-name
【缺省情况】
不允许私网侧VPN实例流量进入保护隧道。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
vpn-instance-name:表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
【使用指导】
私网侧VPN用户通过双机框间备份NAT访问公网,当上下行流量路径不一致时,用户侧去往公网侧的流量通过CGN双机框间备设备进行转发,由于备设备无法处理NAT业务,这些流量将被丢弃。为了避免上述问题,需要在双机备份的两台设备间建立保护隧道。
配置允许进入保护隧道的流量所属的私网侧VPN实例后,当私网侧VPN用户去往网络侧的流量到达NAT业务的备设备时,备设备使用保护隧道将私网VPN用户流量透传到主设备,由主设备进行NAT业务处理。
需要保证允许进入保护隧道的流量所属的私网侧VPN实例与用户所属的VPN实例名称一致,否则,当上下行流量路径不一致时,私网侧VPN实例流量无法进入保护隧道。
【举例】
# 配置允许进入保护隧道的流量所属的私网侧VPN实例名称为vpn1。
<Sysname> system-view
[Sysname] nat instance inst id 1
[Sysname-nat-instance-inst] nat protect-tunnel inside-vpn vpn1
【相关命令】
· display nat instance
nat server命令用来配置NAT内部服务器,即定义内部服务器的外网地址和端口与内网地址和端口的映射表项。
undo nat server命令用来删除指定的内部服务器配置。
【命令】
普通内部服务器
· 外网地址单一,未使用外网端口或外网端口单一
nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ]
undo nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外网地址单一,外网端口连续
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ]
· 外网地址连续,未使用外网端口
nat server protocol pro-type global global-address1 global-address2 [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外网地址连续,外网端口单一
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside { local-address [ local-port1 local-port2 ] | [ local-address | local-address1 local-address2 ] [ local-port ] } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ]
负载分担内部服务器
nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ]
基于ACL的内部服务器
nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ]
undo nat server global { ipv4-acl-number | name ipv4-acl-name }
【缺省情况】
不存在内部服务器。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
protocol pro-type:指定协议类型。只有当协议类型是TCP、UDP协议时,配置的内部服务器才能带端口参数。如果不指定协议类型,则表示对所有协议类型的报文都生效。pro-type可输入以下形式:
· 数字:取值范围为1~255。
· 协议名称:取值包括icmp、tcp和udp。
global:指定服务器向外提供服务的外网信息。
global-address:内部服务器向外提供服务时对外公布的外网IP地址。
global-address1、global-address2:外网IP地址范围,所包含的地址数目不能超过256。global-address1表示起始地址,global-address2表示结束地址。global-address2必须大于global-address1。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
current-interface:使用当前接口的主用IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。
interface interface-type interface-number:表示使用指定接口的主用IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。interface-type interface-number表示接口类型和接口编号。目前只支持Loopback接口。
global-port1、global-port2:外网端口范围,和内部主机的IP地址范围构成一一对应的关系。global-port1表示起始端口,global-port2表示结束端口。global-port2必须大于global-port1,且端口范围中的端口数目不能大于256。外网端口可输入以下形式:
· 数字:取值范围为1~65535。起始端口和结束端口均支持此形式。
· 协议名称:为1~15个字符的字符串,例如http、telnet等。仅起始端口支持该形式。
inside:指定服务器的内网信息。
local-address1、local-address2:定义一组连续的内网IP地址范围,和外网端口范围构成一一对应的关系。local-address1表示起始地址,local-address2表示结束地址。local-address2必须大于local-address1。该地址范围的数量必须和global-port1、global-port2定义的端口数量相同。
local-port:内部服务器的内网端口号,可输入以下形式:
· 数字:取值范围为1~65535(FTP数据端口号20除外)。
· 协议名称:为1~15个字符的字符串,例如http、telnet等。
global-port:外网端口号,缺省值以及取值范围的要求和local-port的规定一致。
local-address:服务器的内网IP地址。
vpn-instance global-vpn-instance-name:对外公布的外网地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示对外公布的外网地址不属于任何一个VPN实例。
vpn-instance local-vpn-instance-name:内部服务器所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内部服务器不属于任何一个VPN实例。
server-group group-id:服务器在内网所属的服务器组。若指定了该参数,则表示要配置一个负载分担内部服务器。group-id表示内部服务器组的编号,取值范围为0~65535。
acl:指定ACL的编号或名称。若指定了该参数,则表示与指定的ACL permit规则匹配的报文才可以使用内部服务器的映射表进行地址转换。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时,将私网地址转换为内部服务器向外提供服务的外网IP地址。
【使用指导】
通过该配置可以利用NAT设备将一些内部网络的服务器提供给外部网络使用,例如内部的Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。这些内部服务器可以位于普通的内网内,也可以位于MPLS VPN实例内。
NAT内部服务器通常配置在NAT设备的外网侧接口上。外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器。当pro-type不是TCP(协议号为6)或UDP(协议号为17)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号之间的映射。需要注意的是,请不要将global-address和local-address指定为相同的IP地址,否则会导致NAT功能异常或报文丢弃。
NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。
表1-35 NAT内部服务器的地址与端口映射关系
|
外网 |
内网 |
|
一个外网地址 |
一个内网地址 |
|
一个外网地址、一个端口号 |
一个内网地址、一个内网端口号 |
|
一个外网地址,N个连续的外网端口号 |
· 一个内网地址,一个内网端口 · N个连续的内网地址,一个内网端口号 · 一个内网地址,N个连续的内网端口号 |
|
N个连续的外网地址 |
· 一个内网地址 · N个连续的内网地址 |
|
N个连续的外网地址连续,一个外网端口号 |
· 一个内网地址,一个内网端口号 · N个连续的内网地址,一个内网端口号 · 一个内网地址,N个连续的内网端口号 |
|
一个外网地址,一个外网端口号 |
一个内部服务器组 |
|
一个外网地址,N个连续的外网端口号 |
|
|
N个连续的外网地址,一个外网端口号 |
|
|
外网地址(通过ACL进行匹配) |
· 一个内网地址 · 一个内网地址、一个内网端口号 |
一个接口下允许配置的nat server命令个数与设备的型号有关。对于同一个接口下配置的NAT服务器,其协议类型、外网地址和外网端口号的组合必须是唯一的,否则认为是配置冲突。本规则同样适用于Easy IP方式的NAT服务器。每个nat server命令下可以配置的NAT内部服务器数目为global-port2与global-port1的差值,即配置多少个外网端口就对应多少个NAT内部服务器。
由于Easy IP方式的NAT内部服务器使用了当前接口或其它接口的IP地址作为它的外网地址,因此强烈建议在配置了Easy IP方式的NAT内部服务器之后,其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址,反之亦然。
对于Easy IP方式的NAT服务器,如果其引用的接口的IP地址发生改变,导致跟现有的其它非Easy IP方式的NAT服务器冲突,则Easy IP方式的NAT服务器配置失效;如果接口地址又修改为不冲突的IP,或者之前与之冲突的NAT服务器被删除,则Easy IP方式的NAT配置重新生效。
在配置负载分担内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。
在VPN组网中,配置NAT内部服务器时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
【举例】
# 在接口Ten-GigabitEthernet3/1/1上配置NAT内部服务器,指定局域网内部的Web服务器的IP地址是10.110.10.10,希望外部通过https://202.110.10.10:8080可以访问Web服务器。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 https
[Sysname-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置NAT内部服务器,指定MPLS VPN实例vrf10内部的FTP服务器的IP地址是10.110.10.11,希望外部通过ftp://202.110.10.10可以访问FTP服务器。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat server protocol tcp global 202.110.10.10 21 inside 10.110.10.11 vpn-instance vrf10
[Sysname-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置NAT内部服务器,指定一个VPN实例vrf10内部的主机10.110.10.12,希望外部网络的主机可以利用ping 202.110.10.11命令ping通它。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat server protocol icmp global 202.110.10.11 inside 10.110.10.12 vpn-instance vrf10
[Sysname-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/1上配置NAT内部服务器,指定一个外部地址202.110.10.10,从端口1001~1100分别映射MPLS VPN实例vrf10内主机10.110.10.1~10.110.10.100的telnet服务。202.110.10.10:1001访问10.110.10.1,202.110.10:1002访问10.110.10.2,依此类推。
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat server protocol tcp global 202.110.10.10 1001 1100 inside 10.110.10.1 10.110.10.100 telnet vpn-instance vrf10
# 正确的服务器地址为10.0.0.172,用户配置的错误地址为192.168.0.0/24网段的地址,在接口Ten-GigabitEthernet3/1/1上配置基于ACL的内部服务器对这部分用户的配置错误进行纠正。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule 5 permit ip destination 192.168.0.0 0.0.0.255
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat server global 3000 inside 10.0.0.172
【相关命令】
· display nat all
· display nat server
· nat instance
· nat server-group
nat server命令用来配置NAT内部服务器,即定义内部服务器的外网地址和端口与内网地址和端口的映射表项。
undo nat server命令用来删除指定的内部服务器配置。
【命令】
· 外网地址单一,未使用外网端口
nat server global global-address [ vpn-instance global-vpn-instance-name ] inside local-address [ vpn-instance local-vpn-instance-name ] [ reversible ]
undo nat server global global-address [ vpn-instance global-vpn-instance-name ]
· 外网地址单一,外网端口单一
nat server protocol pro-type global { global-address | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ reversible ]
undo nat server protocol pro-type global { global-address | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ]
· 外网地址使用接口的地址,外网端口单一
nat server protocol pro-type global interface interface-type interface-number global-port [ vpn-instance global-vpn-instance-name ] inside local-address local-port [ vpn-instance local-vpn-instance-name ] [ reversible ]
undo nat server protocol pro-type global interface interface-type interface-number global-port [ vpn-instance global-vpn-instance-name ]
【缺省情况】
不存在内部服务器。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
protocol pro-type:指定协议类型。只有当协议类型是TCP、UDP协议时,配置的内部服务器才能带端口参数。pro-type可输入以下形式:
· 数字:取值范围为1~255。
· 协议名称:取值包括icmp、tcp和udp。
global:指定服务器向外提供服务的外网信息。
global-address:内部服务器向外提供服务时对外公布的外网IP地址。
interface interface-type interface-number:表示使用指定接口的主用IP地址作为内部服务器的外网地址,即实现Easy IP方式的内部服务器。interface-type interface-number表示接口类型和接口编号。目前只支持Loopback接口。
inside:指定服务器的内网信息。
local-port:内部服务器的内网端口号,可输入以下形式:
· 数字:取值范围为1~65535(FTP数据端口号20除外)。
· 协议名称:为1~15个字符的字符串,例如http、telnet等。
global-port:外网端口号,输入形式的要求和local-port的规定一致。
local-address:服务器的内网IP地址。
vpn-instance global-vpn-instance-name:对外公布的外网地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示对外公布的外网地址不属于任何一个VPN实例。
vpn-instance local-vpn-instance-name:内部服务器所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内部服务器不属于任何一个VPN实例。
reversible:表示支持私网侧内部服务器主动访问外网。内部服务器主动访问外网时,将私网地址转换为内部服务器向外提供服务的外网IP地址。
【使用指导】
通过该配置可以利用NAT设备将一些内部网络的服务器提供给外部网络使用,例如内部的Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。这些内部服务器可以位于普通的内网内,也可以位于MPLS VPN实例内。
外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器。当pro-type不是TCP(协议号为6)或UDP(协议号为17)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号之间的映射。
NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。
表1-36 NAT内部服务器的地址与端口映射关系
|
外网 |
内网 |
|
一个外网地址 |
一个内网地址 |
|
一个外网地址、一个端口号 |
一个内网地址、一个内网端口号 |
配置Easy IP方式的NAT内部服务器时,需要注意:
· 由于Easy IP方式的NAT内部服务器使用了接口的IP地址作为外网地址,因此强烈建议在配置了Easy IP方式的NAT内部服务器之后,其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址,反之亦然。
· 对于Easy IP方式的NAT服务器,如果其引用的接口的IP地址发生改变,导致跟现有的其它非Easy IP方式的NAT服务器冲突,则Easy IP方式的NAT服务器配置失效;如果接口地址又修改为不冲突的IP,或者之前与之冲突的NAT服务器被删除,则Easy IP方式的NAT配置重新生效。
在VPN组网中,配置NAT内部服务器时需要指定vpn-instance参数,且外公布的外网地址所属的VPN实例必须与出接口关联的VPN实例一致、内部服务器所属的VPN实例必须与入接口关联的VPN实例一致。
如下情况会导致配置失败或无法生效:
· 如果硬件资源不足,nat server命令可能无法生效。
· 同一个NAT实例下的不同NAT内部服务器,其协议类型、外网地址和外网端口号的组合必须唯一。
· 绑定多个备份组的业务实例组被NAT实例关联后(即全局NAT负载分担方式),不允许存在一个公网地址映射多个私网地址的NAT内部服务器配置。相反的,如果存在一个公网地址映射多个私网地址的NAT内部服务器配置,则不允许将NAT实例与绑定多个备份组的业务实例组关联。
· NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,无法在该NAT实例下配置内部服务器。
【举例】
# 在NAT实例inst上配置NAT内部服务器,指定局域网内部的Web服务器的IP地址是10.110.10.10,希望外部通过https://202.110.10.10:8080可以访问Web服务器。
<Sysname> system-view
[Sysname] nat instance inst id 1
[Sysname-nat-instance-inst] nat server protocol tcp global 202.110.10.10 8080 inside 10.110.10.10 https
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· display nat all
· display nat server
· nat server-group
nat server-group命令用来创建内部服务器组,并进入内部服务器组视图。如果指定的内部服务器组已经存在,则直接进入内部服务器组视图。
undo nat server-group命令用来删除指定的内部服务器组。
【命令】
nat server-group group-id
undo nat server-group group-id
【缺省情况】
不存在内部服务器组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-id:服务器组编号,取值范围为0~65535。
【使用指导】
一个内部服务器组中可以包括多个内部服务器组成员(通过inside ip命令配置)。
【举例】
# 配置一个内部服务器组,编号为1。
<Sysname> system-view
[Sysname] nat server-group 1
【相关命令】
· display nat all
· display nat server-group
· inside ip
· nat server
nat service命令用来指定处理NAT业务的slot。
undo nat service命令用来恢复缺省情况。
【命令】
(独立运行模式)
nat service slot slot-number
undo nat service slot
(IRF模式)
nat service chassis chassis-number slot slot-number
undo nat service chassis
【缺省情况】
未指定处理NAT业务的slot。
【视图】
接口视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定成员设备上指定单板的槽位号。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
【使用指导】
如果需要使用具有NAT能力的业务板进行NAT处理,必须在配置了NAT业务的接口上指定提供NAT处理的slot。否则接口的NAT功能不生效。
一个接口上的NAT业务只能由一个slot处理,该slot可以是设备上的任意可提供NAT处理的slot。通常,如果接口所在的slot具有NAT处理能力,那么建议将接口所在slot指定为处理NAT业务的slot。
多个接口引用了同一个地址组或外网地址时,这些接口必须指定同一个slot进行NAT处理。否则,可能会出现配置成功但实际不生效的情况,并且在配置恢复(由设备重启、软件升级等原因导致)时可能会造成配置丢失。
在接口上,不能通过重复执行本命令来修改接口上指定处理NAT业务的slot。如需修改,请先通过undo nat service命令取消指定的slot,再执行nat service命令。
接口上配置本命令后,该接口的动态地址转换(包括出方向动态地址转换、Easy IP方式的动态地址转换和NAT端口块动态映射)和NAT端口块静态映射中,不能将地址组/端口块组与备份组绑定。
在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
【举例】
# 指定slot 5作为提供NAT业务处理的slot。(独立运行模式)
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat service slot 5
【相关命令】
· failover-group
· nat instance
nat static enable命令用来开启接口上或NAT实例的NAT静态地址转换功能。
undo nat static enable命令用来关闭接口上或NAT实例的NAT静态地址转换功能。
【命令】
nat static enable
undo nat static enable
【缺省情况】
NAT静态地址转换功能处于关闭状态。
【视图】
接口视图
NAT实例视图
【缺省用户角色】
network-admin
【使用指导】
接口或NAT实例下开启NAT静态地址转换功能后,所有已配置的静态地址转换映射都会在该接口上或NAT实例生效。
以下情况无法开启NAT静态地址转换功能:
· 在接口视图下配置本命令后,将无法在系统视图下配置nat instance命令。反之,如果在系统视图下配置了nat instance命令,将无法在接口视图下配置本命令。
· 如果NAT实例关联的业务实例组中存在负载分担组,无法在该NAT实例下开启NAT静态地址转换功能。
· NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,无法在该NAT实例下开启NAT静态地址转换功能。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向一对一静态地址转换,并且在接口Ten-GigabitEthernet3/1/1上开启静态地址转换功能。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] nat static enable
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· display nat all
· display nat static
· nat instance
· nat static
· nat static net-to-net
nat static outbound命令用来配置出方向一对一静态地址转换映射。
undo nat static outbound命令用来删除出方向一对一静态地址转换映射。
【命令】
nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]
undo nat static outbound local-ip [ vpn-instance local-vpn-instance-name ]
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
local-ip:内网IP地址。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
global-ip:外网IP地址。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
acl:指定ACL的编号或名称,本参数用于控制内网主机可以访问的目的地址。
ipv4-acl-number:ACL的编号,取值范围为3000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
failover-group group-name:指定该地址转换映射绑定的备份组。group-name表示备份组的名称,为1~63个字符的字符串,区分大小写。有关备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
【使用指导】
对于从内网到外网的报文,将其源地址local-ip转换为global-ip;对于从外网到内网的报文,将其目的地址global-ip转换为local-ip。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound和nat static outbound net-to-net)。
在VPN组网中,配置出方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
以下情况必须将出方向一对一静态地址转换映射与备份组绑定:
· 使用CGN单板处理NAT业务的环境中,需要将出方向一对一静态地址转换映射与节点为CGN单板的备份组绑定,否则会导致反向报文地址转换失败。
· 用于NAT实例的出方向一对一静态地址转换映射,需要指定该地址转换映射绑定的备份组,否则该配置不生效,无法进行地址转换。
【举例】
# 配置内网IP地址192.168.1.1到外网IP地址2.2.2.2的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound 192.168.1.1 2.2.2.2
# 配置出方向静态地址转换映射,允许内网用户192.168.1.1访问外网网段3.3.3.0/24时,使用外网IP地址2.2.2.2。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound 192.168.1.1 2.2.2.2 acl 3001
【相关命令】
· display nat all
· display nat static
· nat instance
· nat static enable
nat static outbound net-to-net命令用来配置出方向网段到网段的静态地址转换映射。
undo nat static outbound net-to-net命令用来删除出方向网段到网段的静态地址转换映射。
【命令】
nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]
undo nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ]
【缺省情况】
不存在任何地址转换映射。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
local-start-address local-end-address:内网地址范围,所包含的地址数目不能超过256。local-start-address表示起始地址,local-end-address表示结束地址。local-end-address必须大于或等于local-start-address,如果二者相同,则表示只有一个地址。
vpn-instance local-vpn-instance-name:内网IP地址所属的VPN实例。local-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示内网IP地址不属于任何一个VPN实例。
global-network:外网网段地址。
vpn-instance global-vpn-instance-name:外网IP地址所属的VPN实例。global-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示外网IP地址不属于任何一个VPN实例。
mask-length:外网网络地址的掩码长度,取值范围为8~31。
mask:外网网络地址掩码。
acl:指定ACL的编号或名称,本参数用于控制内网主机可以访问的目的地址。
ipv4-acl-number:ACL的编号,取值范围为3000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换。
failover-group group-name:指定该地址转换映射绑定的备份组。group-name表示备份组的名称,为1~63个字符的字符串,区分大小写。有关备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
【使用指导】
内网网段通过起始地址和结束地址来指定,外网网段通过外网地址和掩码来指定。
对于从内网到外网的报文,使用其源地址匹配内网地址,将源地址转换为外网地址;对于从外网到内网的报文,使用其目的地址匹配外网地址,将目的地址转换为内网地址。
内网结束地址不能大于内网起始地址和外网掩码所决定的网段中的最大IP地址。比如:外网地址配置为2.2.2.0,掩码为255.255.255.0,内网起始地址为1.1.1.100,则内网结束地址不应该大于1.1.1.0/24网段中可用的最大IP地址,即1.1.1.255。
指定引用的ACL时,需要注意:
· 如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换。
· 如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换。
· 如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACL permit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换。
如果接口下既配置了NAT动态地址转换,又配置了NAT静态地址转换,则优先使用静态地址转换。
设备可支持配置多条出方向静态地址转换映射(包括nat static outbound和nat static outbound net-to-net)。
在VPN组网中,配置出方向静态地址转换时需要指定vpn-instance参数,且VPN实例的名称必须与该接口关联的VPN实例一致。
以下情况必须将出方向网段到网段的静态地址转换映射与备份组绑定:
· 使用CGN单板处理NAT业务的环境中,需要将出方向网段到网段的静态地址转换映射与节点为CGN单板的备份组绑定,否则会导致反向报文地址转换失败。
· 用于NAT实例的出方向网段到网段的静态地址转换映射,需要指定该地址转换映射绑定的备份组,否则该配置不生效,无法进行地址转换。
【举例】
# 配置内网网段192.168.1.0/24到外网网段2.2.2.0/24的出方向静态地址转换映射。
<Sysname> system-view
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24
# 配置出方向网段到网段的静态地址转换映射,允许内网192.168.1.0/24网段的用户访问外网网段3.3.3.0/24时,使用外网网段2.2.2.0/24中的地址。
<Sysname> system-view
[Sysname] acl advanced 3001
[Sysname-acl-ipv4-adv-3001] rule permit ip destination 3.3.3.0 0.0.0.255
[Sysname-acl-ipv4-adv-3001] quit
[Sysname] nat static outbound net-to-net 192.168.1.1 192.168.1.255 global 2.2.2.0 24 acl 3001
【相关命令】
· display nat all
· display nat static
· nat instance
· nat static enable
nat user-agency alg命令用来为代拨用户报文开启ALG功能。
undo nat user-agency alg命令用来关闭代拨用户报文的ALG功能。
【命令】
nat user-agency alg { all | ftp | icmp-error | sip }
undo nat user-agency alg { all | ftp | icmp-error | sip }
【缺省情况】
代拨用户的FTP协议报文和ICMP差错控制报文的ALG功能处于开启状态,SIP协议报文的ALG功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:所有可指定的协议报文的ALG功能。
ftp:表示FTP协议报文的ALG功能。
icmp-error:表示ICMP差错控制报文的ALG功能。
sip:表示SIP(Session Initiation Protocol,会话初始协议)协议报文的ALG功能。
【使用指导】
用户通过PPPoE代拨功能上线成功后,对于用户发送到外网的报文以及外网发给该用户的报文,当报文的目的端口和协议类型符合ALG转换的条件时,NAT设备将对这些报文应用层数据载荷中的IP地址和端口号进行转换。关于PPPoE代拨功能的详细介绍,请参见“二层技术-广域网接入”中的“PPP”。
ALG功能会占用设备ACL资源,当ACL资源不足时会导致本命令下发失败。建议用户通过display qos-acl resource命令查看ACL资源的使用情况,在ACL资源充足时重新配置本命令。
本命令仅在标准模式下支持。
【举例】
# 为代拨用户开启SIP协议报文的ALG功能。
<Sysname> system-view
[Sysname] nat user-agency alg sip
【相关命令】
· display qos-acl resource(ACL和QoS命令参考/ACL)
nat vsrp-port命令用来配置NAT通过VSRP建立数据备份通道使用的TCP端口号。
undo nat vsrp-port命令用来恢复缺省情况。
【命令】
nat vsrp-port port-number
undo nat vsrp-port
【缺省情况】
NAT通过VSRP建立数据备份通道使用的TCP端口号为60046。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:NAT通过VSRP建立数据备份通道使用的TCP端口号,取值范围为1~65535。指定的端口号不能与系统中已经使用的端口号或知名端口号冲突。
【使用指导】
双机框间备份场景中,NAT实例与多机备份实例绑定后,NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接,该连接即为NAT数据的备份通道。使用本命令可以修改NAT建立TCP连接使用的端口号。
修改NAT建立数据备份通道使用的TCP端口号时,需要保证双机框间备份的两台设备上通过本命令配置的端口号一致,否则TCP连接建立失败,无法进行NAT业务的数据备份。
【举例】
# 配置NAT通过VSRP建立的数据备份通道使用的TCP端口号为30000。
<Sysname> system-view
[Sysname] nat vsrp-port 30000
port-block命令用来配置NAT地址组的端口块参数。
undo port-block命令用来恢复缺省情况。
【命令】
port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size] ]
undo port-block
【缺省情况】
未配置NAT地址组的端口块参数。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【参数】
block-size block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~max_number。其中max_number为65535。如果要指定extended-block-size参数,则本参数的取值必须为64的整数倍。同一NAT地址组内,该参数的值不能超过port-range参数的值。
extended-block-number extended-block-number:增量端口块数,取值范围为1~5。当分配端口块中的端口资源耗尽(所有端口都被使用)时,如果对应的私网IP地址向公网发起新的连接,则无法从分配端口块中获取端口。此时,如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数,则可以为对应的私网IP地址进行增量端口块分配。一个私网IP地址最多可同时占有1+extended-block-number个端口块。
extended-block-size extended-block-size:增量端口块大小,即增量端口块中所包含的端口数,取值范围为64~8192,为64的整数倍。如果未指定本参数,则每一个增量端口块中的端口数与block-size的取值相同。同一NAT地址组内,该参数的值不能超过port-range参数的值。
【使用指导】
对于端口块动态映射,触发设备分配端口块的条件如下:
· 在NAT与BRAS联动的场景中,用户认证上线时会触发设备为其分配端口块。
· 在非NAT与BRAS联动的场景中,用户访问外网的首次连接进行源地址转换时会触发设备为其分配端口块。
以上为内网用户分配端口块的方式称为端口块预分配。当预分配的端口资源耗尽时,如果配置了增量端口块,系统将为用户申请增量端口块资源。当用户释放增量端口块中的所有端口资源时,该增量端口块将被系统回收。
以下情况必须在地址组中配置端口块参数:
· 端口块动态映射方式下,配置出方向地址转换所引用的NAT地址组中必须配置端口块参数。
· 与全局NAT地址池绑定的NAT地址组中必须配置端口块参数。
配置或修改端口块参数配置时,需要注意:
· NAT地址组使用逐端口分配方式时,无法配置端口块参数。
· NAT与BRAS联动场景中,当存在在线用户时,不允许修改端口块参数的配置。
【举例】
# 配置NAT地址组2的端口块参数,端口块大小为256,增量端口块数为1。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] port-block block-size 256 extended-block-number 1
【相关命令】
· nat address-group
· port-single-alloc enable
port-limit命令用来限制分配给协议的端口数量。
undo port-limit命令用来取消分配给协议的端口数量的限制。
【命令】
port-limit { icmp | tcp | total | udp } number
undo port-limit { icmp | tcp | total | udp }
【缺省情况】
不对分配给协议的端口数量做限制。
【视图】
NAT地址组视图
NAT端口块组视图
【缺省用户角色】
network-admin
【参数】
icmp:限制分配给ICMP协议的端口数量。
tcp:限制分配给TCP协议的端口数量。
total:限制分配给所有协议的端口数量。
udp:限制分配给UDP协议的端口数量。
number:指定最多分配给协议的端口数量,取值范围为0~65535。
【使用指导】
使用如下方式的地址转换时,可以使用本命令限制分配给协议的端口数量:
· 端口块方式地址转换。
· PAT模式的地址转换。
【举例】
# 配置地址组1最多可分配给TCP协议的端口数量为10。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-limit tcp 10
# 配置端口块组1最多可分配给TCP协议的端口数量为10。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] port-limit tcp 10
【相关命令】
· nat address-group
· nat port-block group
· port-single-alloc enable
port-range命令用来配置公网IP地址的端口范围。
undo port-range命令用来恢复缺省情况。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情况】
公网IP地址的端口范围为1~65535。
【视图】
NAT地址组视图
NAT端口块组视图
【缺省用户角色】
network-admin
【参数】
start-port-number end-port-number:公网IP地址端口的起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值,避免出现应用协议识别错误的问题。
【使用指导】
在NAT地址组/NAT端口块组视图下配置端口范围后,该NAT地址组/NAT端口块组内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内。
在NAT端口块组内配置端口范围时,端口范围不能小于端口块大小。在NAT地址组内配置端口范围时,如果地址组配置了端口块参数,则端口范围也不能小于端口块大小。
【举例】
# 配置NAT地址组1的公网IP地址端口范围为1024~65535。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-range 1024 65535
# 配置NAT端口块组1的公网IP地址端口范围为30001~65535。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] port-range 30001 65535
【相关命令】
· nat address-group
· nat port-block-group
port-single-alloc enable命令用来启用逐端口分配方式。
undo port-single-alloc enable命令用来恢复缺省情况。
【命令】
port-single-alloc enable
undo port-single-alloc enable
【缺省情况】
端口的分配方式为端口复用分配方式。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
【使用指导】
PAT模式的地址转换中,有两种端口分配方式:
· 端口复用分配:三元组(源地址、源端口号、协议类型)不同的会话或五元组(源地址、源端口号、协议类型、目的地址、目的端口号)不同的会话可以共享同一个转换后的源端口。三元组或五元组信息中有一个元素不同即为不同的会话。
· 逐端口分配:三元组(源地址、源端口号、协议类型)不同的会话或五元组(源地址、源端口号、协议类型、目的地址、目的端口号)不同的会话,必须使用不同的转换后的源端口。三元组或五元组信息中有一个元素不同即为不同的会话。
逐端口分配方式适用于用户业务较少、所需端口数较少的情况。
通过本命令指定一种端口分配方式后,在一分钟之内不允许切换为另一种端口分配方式。
本命令与port-block命令互斥,不能同时配置。
【举例】
# 在NAT地址组1中启用逐端口分配方式。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-single-alloc enable
【相关命令】
· port-block
reset nat eim命令用来删除NAT EIM表项信息。
【命令】
(独立运行模式)
reset nat eim [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] [ slot slot-number ]
(IRF模式)
reset nat eim [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
protocol:删除指定协议类型的EIM表项信息。如果未指定本参数,则表示删除所有协议类型的EIM表项信息。
icmp:删除ICMP协议类型的EIM表项信息。
tcp:删除TCP协议类型的EIM表项信息。
udp:删除UDP协议类型的EIM表项信息。
local-ip b4 ipv6-address:删除指定B4设备IPv6地址的EIM表项信息,ipv6-address表示B4设备的IPv6地址。
local-ip local-ip:删除指定内网IP地址的EIM表项信息,local-ip表示内网IP地址。
local-port local-port:删除指定内网端口号的EIM表项信息,local-port表示内网端口号,取值范围为0~65535。
global-ip global-ip:删除指定公网IP地址的EIM表项信息,global-ip表示公网IP地址。
global-port global-port:删除指定公网端口号的EIM表项信息,global-port表示公网端口号,取值范围为0~65535。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
【使用指导】
如果不指定local-ip、local-port、global-ip、global-port参数,将删除所有ICMP/TCP/UDP协议类型的EIM表项信息。
【举例】
# 删除指定slot上的NAT EIM表项信息。(独立运行模式)
<Sysname> reset nat eim slot 1
【相关命令】
· display nat eim
· display nat eim statistics
· nat mapping-behavior
reset nat instance statistics命令用来在UP上删除NAT实例处理接入用户地址转换业务的统计信息。
【命令】
reset nat instance [ instance-name instance-name ] statistics
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
instance-name instance-name:删除指定NAT实例处理接入用户地址转换业务的统计信息。instance-name表示NAT实例的名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,将删除所有NAT实例处理接入用户地址转换业务的统计信息。
【使用指导】
执行本命令仅清除display nat instance statistics命令显示的如下统计信息:
· Total session setup entries,备份组累计建立的会话表项总数,包括当前正在使用的会话表项个数和已经老化的会话表项个数。
· Total session teardown entries,备份组累计老化的会话表项总数。
· Total EIM setup entries,备份组累计建立的EIM表项总数。
· Total EIM teardown entries,备份组累计老化的EIM表项总数。
【举例】
# 删除所有NAT实例处理接入用户地址转换业务的统计信息。
<Sysname> reset nat instance statistics
【相关命令】
· display nat instance statistics
reset nat session命令用来删除NAT会话。
【命令】
(独立运行模式)
reset nat session [ protocol { tcp | udp } ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset nat session [ protocol { tcp | udp } ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
protocol:删除指定协议类型的NAT会话。如果未指定本参数,则表示删除所有协议类型的NAT会话。
tcp:删除TCP协议类型的NAT会话。
udp:删除UDP协议类型的NAT会话。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 删除指定slot上的NAT会话。(独立运行模式)
<Sysname> reset nat session slot 1
【相关命令】
· display nat session
reset nat statistics packet命令用来清除CGN单板处理报文的统计信息。
【命令】
(独立运行模式)
reset nat statistics packet[ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
reset nat statistics packet[ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示设备在IRF中的成员编号。如果不指定本参数,则表示指定所有单板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
通过本命令可清除CGN单板记录的收发报文数、字节数以及收发报文的速率信息。
【举例】
# 清除指定CGN单板上处理报文的统计信息。
<Sysname> reset nat statistics packet slot 5
【相关命令】
· display nat statistics packet
section命令用来配置全局NAT地址池的地址段。
undo section命令用来删除全局NAT地址池的地址段。
【命令】
section section-id start-ip mask { mask-length | mask }
undo section section-id
【缺省情况】
未配置全局NAT地址池的地址段。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【参数】
section-id:指定全局NAT地址池的地址段序列号,取值范围为0~255。
start-ip:指定全局NAT地址池的地址段起始IP地址,点分十进制格式。
mask mask-length:指定全局NAT地址池的地址段掩码长度,mask-length表示掩码长度,取值范围为16~32。
mask mask:指定全局NAT地址池的地址段掩码,点分十进制格式。
【使用指导】
一个全局NAT地址池最多可以配置256个地址段。
不同全局NAT地址池的地址不可以重叠,全局NAT地址池的地址不能与NAT地址组、NAT端口块组和NAT内部服务器中的NAT地址冲突。
修改或删除全局NAT地址池中的地址段时,需要注意:
· 不能通过重复执行本命令来修改全局NAT地址池中的地址段。如需修改,请先通过undo section命令删掉全局NAT地址池的地址段,再执行section命令。
· 全局NAT地址池的地址段中的地址已分配给NAT实例时,不允许删除相应的地址段。
不允许通过section命令向动态全局NAT地址池中添加地址段。
【举例】
# 配置全局NAT地址池pool1中ID为0的地址段的起始IP地址为200.1.1.1,掩码长度为24。
<Sysname>system-view
[Sysname] nat ip-pool pool1
[Sysname-nat-ip-pool-pool1] section 0 200.1.1.1 mask 24
【相关命令】
· ip-usage-threshold
· nat ip-pool
· subnet length
service-instance-group命令用来将NAT实例与业务实例组关联。
undo service-instance-group命令用来取消NAT实例与业务实例组的关联关系。
【命令】
service-instance-group service-instance-group-name
undo service-instance-group
【缺省情况】
NAT实例未关联任何业务实例组。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
service-instance-group-name:业务实例组的名称,取值范围为1~31个字符的字符串,区分大小写。如果该值中包含空格,需要在值的首末添加英文格式的引号,形如"xxx xxx"。关联的业务组实例可以不存在,但要使配置生效,必须通过service-instance-group命令创建业务实例组。关于业务实例组的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。
【使用指导】
对于和NAT实例中的NAT规则匹配的流量,系统将使用NAT实例关联的业务实例组中的slot进行地址转换。
将NAT实例与业务实例组关联或取消NAT实例与业务实例组的关联关系时,需要注意:
· 一个NAT实例只能关联一个业务实例组。不同的NAT实例不能关联同一个业务实例组。
· 在NAT与BRAS联动的场景中,存在在线用户时,无法取消NAT实例与业务实例组的关联关系,只有在所有用户下线后,才能取消NAT实例与业务实例组的关联关系。
· 其他场景中,存在使用NAT实例进行地址转换创建的表项时,不允许取消NAT实例与业务实例组的关联关系。
· 如果NAT实例通过多机备份实例创建了NAT数据的备份通道,那么该NAT实例只能支持跨系统板间业务备份功能,即该NAT实例关联的业务实例组只能绑定跨系统板间业务的备份组。反之,如果NAT实例关联的业务实例组绑定了同一系统板间业务备份的备份组,那么该NAT实例只能支持同一系统板间业务备份功能,即不允许该NAT实例通过多机备份实例创建NAT数据备份通道。
· NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,该NAT实例关联的业务实例组必须绑定同一系统板间业务备份的备份组,否则NAT实例无法关联业务实例组。
NAT实例下配置了NAT端口块静态映射、NO-PAT模式的动态映射或者使用address命令在出方向动态地址转换使用的地址组中添加了地址成员时,这样的NAT实例关联的业务实例组只能与一个系统内板间业务备份的备份组绑定。
【举例】
# 将NAT实例cgn1与业务实例组group1相关联。
<Sysname> system-view
[Sysname ] nat instance cgn1 id 1
[Sysname-nat-instance-cgn1] service-instance-group group1
【相关命令】
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
· nat instance
· service-instance-group(可靠性命令参考/业务实例组)
snmp-agent trap enable nat命令用来开启NAT模块的告警功能。
undo snmp-agent trap enable nat命令用来关闭NAT模块的告警功能。
【命令】
snmp-agent trap enable nat [ address-group-alloc-fail | address-group-usage | bandwidth-usage | ip-pool-add-fail | ip-pool-alloc-fail | ip-pool-usage | port-alloc-fail | port-usage ]
undo snmp-agent trap enable nat [ address-group-alloc-fail | address-group-usage | bandwidth-usage | ip-pool-add-fail | ip-pool-alloc-fail | ip-pool-usage | port-alloc-fail | port-usage ]
【缺省情况】
NAT模块的告警功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
address-group-alloc-fail:表示NAT模块地址组端口块分配失败的告警功能。
address-group-usage:表示NAT地址组中资源使用率的告警功能。
bandwidth-usage:表示CGN单板带宽使用率的告警功能。
ip-pool-add-fail:表示NAT模块地址池添加子网段失败的告警功能。
ip-pool-alloc-fail:表示NAT模块全局NAT地址池地址分配失败的告警功能。
ip-pool-usage:表示全局NAT地址池地址使用率的告警功能。
port-alloc-fail:表示NAT模块地址组端口分配失败的告警功能。
port-usage:NAT模块端口块中端口使用率的告警功能。
【使用指导】
各类NAT告警功能的具体工作机制如下:
· 开启NAT模块地址组端口块分配失败的告警功能后,当NAT地址组端口块资源耗尽无法为新流量分配端口块时,设备会生成告警信息。当NAT地址组的端口块使用率小于87.5%时,设备也会生成告警信息进行提示。
· 开启NAT模块地址组资源使用率告警功能后,当设备上NAT地址组资源使用率大于或等于nat address-group-usage threshold命令设置的阈值时,设备会生成地址组资源使用率信息进行预警;当设备上NAT地址组资源使用率小于nat address-group-usage threshold命令设置的阈值的87.5%时,设备也会生成告警信息进行提示。
· 开启NAT模块CGN单板带宽使用率告警功能后,当设备上CGN单板的带宽使用率大于或等于nat log bandwidth-usage threshold命令设置的阈值时,设备会生成带宽使用率告警信息进行预警;当设备带宽使用率小于nat log bandwidth-usage threshold命令设置的阈值时,设备也会生成告警信息进行提示。
· 开启NAT模块全局NAT地址池添加子网段失败的告警功能后,当UP把自己从CP的IP地址池申请的子网段中的IP地址添加到动态全局NAT地址池失败时,设备会生成告警信息。
· 开启NAT模块全局NAT地址池地址分配失败的告警功能后,当全局NAT地址池中的地址资源耗尽无法进行地址分配时,设备会生成告警信息。当全局NAT地址池中地址使用率小于或等于87.5%时,设备也会生成告警信息进行提示。
· 开启全局NAT地址池地址使用率告警功能后,当设备上NAT地址池地址使用率大于或等于ip-usage-threshold命令设置的upper-limit阈值时,设备会生成地址池地址使用率信息进行预警;当设备上NAT地址池地址使用率小于ip-usage-threshold命令设置的upper-limit阈值时,设备也会生成告警信息进行提示。
· 开启NAT模块地址组端口分配失败的告警功能后,当NAT公网端口资源耗尽无法为新流量分配端口时,设备会生成告警信息。当地址组的端口使用率小于87.5%时,设备也会生成告警信息进行提示。
· 开启NAT模块端口块中端口使用率的告警功能后,当端口块中端口使用率大于或等于nat log port-block port-usage threshold命令设置的阈值时,设备会生成告警信息。当端口块中端口资源的使用率小于或等于nat log port-block port-usage threshold命令设置的阈值的87.5%时,设备也会生成告警信息进行提示。
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。
如果未指定任何参数,则表示开启或关闭NAT的全部告警功能。
【举例】
# 开启NAT模块的全部告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable nat
【相关命令】
· ip-usage-threshold
· nat address-group-usage threshold
· nat log bandwidth-usage threshold
· nat log port-block port-usage threshold
subnet length命令用来配置全局NAT地址池的初始地址段掩码长度/掩码和扩展地址段长度/掩码。
undo subnet length命令用来恢复缺省情况。
【命令】
subnet length initial { mask-length | mask } [ extend { mask-length | mask } ]
undo subnet length
【缺省情况】
全局NAT地址池的初始地址段掩码长度和扩展地址段掩码长度为27,即掩码为255.255.255.224。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【参数】
initial mask-length:指定全局NAT地址池的初始地址段掩码长度,取值范围为22~32。
initial mask:指定全局NAT地址池的初始地址段掩码,点分十进制格式。
extend mask-length:指定全局NAT地址池的扩展地址段掩码,取值范围为22~32。
extend mask:指定全局NAT地址池的扩展地址段掩码,点分十进制格式。
【使用指导】
将NAT地址组与全局NAT地址池绑定后,地址资源的分配和回收机制如下:
(1) 全局NAT地址池为该NAT地址组分配初始地址段掩码大小的公网资源。如果全局NAT地址池中的地址资源大小小于初始地址段掩码长度对应的地址资源时,将尝试使用更长的掩码长度进行资源分配。
(2) 当NAT地址组中初始网段地址的使用率大于等于申请阈值时,该NAT地址组向绑定的全局NAT地址池申请扩展地址段。
¡ 如果全局NAT地址池中有剩余资源,但是剩余资源大小小于扩展地址段掩码长度对应的地址资源时,将尝试使用更长的掩码长度进行资源分配。
¡ 如果全局NAT地址池中有剩余资源,且剩余资源大小大于扩展地址段掩码长度对应的地址资源时,全局NAT地址池会为NAT地址组分配扩展地址段掩码长度对应的地址资源。
¡ 如果全局NAT地址池资源耗尽时,会导致资源申请失败。
(3) 当NAT地址组中地址的使用率低于释放阈值时,NAT地址组将释放未被使用的扩展地址段。
配置本命令时,如果未指定extend参数,那么无法为NAT地址组分配扩展地址段。
存在NAT地址组绑定全局NAT地址池的配置时,不允许修改此配置。
【举例】
# 配置全局NAT地址池pool1的初始地址段掩码长度为25,扩展地址段掩码长度为27。
<Sysname> system-view
[Sysname] nat ip-pool pool1
[Sysname-nat-ip-pool-pool1] subnet length initial 25 extend 27
【相关命令】
· ip-usage-threshold
· nat ip-pool
· section
up-backup命令用来指定主备UP设备上的本端和对端的动态全局地址池标识符。
undo up-backup命令用来取消主备UP设备上本端和对端动态全局地址池的标识符。
【命令】
up-backup local-up-id up-id1 peer-up-id up-id2
undo up-backup
【缺省情况】
未配置主备UP设备上的本端和对端的动态全局地址池标识符。
【视图】
全局NAT地址池视图
【缺省用户角色】
network-admin
【参数】
local-up-id up-id1:本端的动态全局地址池标识符,即本端的UP管理实例ID。up-id1表示动态全局地址池标识符,取值范围为1024~2047。
peer-up-id up-id2:对端UP设备上的动态全局地址池标识符,即对端的UP管理实例ID。up-id2表示动态全局地址池标识符,取值范围为1024~2047。
【使用指导】
本命令用于转发与控制分离组网中的1:1热备模式UP备份场景,为了进行NAT表项和地址段信息的备份,需要在主备UP设备上配置该命令,并互为对端,例如本端UP设备上配置up-backup local-up-id 1024 peer-up-id 1025时,对端配置up-backup local-up-id 1025 peer-up-id 1024。
本端的动态全局地址池标识符需要与本端的UP管理实例ID值保持一致,对端的动态全局地址池标识符需要与对端的UP管理实例ID值保持一致。
指定或修改主备UP设备上本端和对端的动态全局地址池标识符时,需要注意:
· 请先执行本命令,再配置bind dhcp-server-pool命令,否则会导致本命令配置失败。
· 在NAT实例下配置cu warm-standby-mode enable命令或cu warm-load-balance-mode enable命令后,表示开启了CGN的温备模式,此种备份模式的配置与其他备份模式的配置互斥。因此,用于CGN温备模式的全局NAT地址池视图下,无法配置up-backup命令。
· 不能通过重复执行本命令来修改主备UP设备上本端和对端的动态全局地址池标识符。如需修改,请先通过undo up-backup命令取消主备UP设备上本端和对端动态全局地址池的标识符,再执行up-backup命令。
【举例】
# 指定主备UP设备上的本端和对端的动态全局地址池标识符分别为1024和1025。
<sysname> system-view
[sysname] nat ip-pool pool dynamic
[sysname-nat-ip-pool-pool] up-backup local-up-id 1024 peer-up-id 1025
【相关命令】
· bind dhcp-server-pool
· cu warm-load-balance-mode enable
· cu warm-standby-mode enable
user-table change-failover-group命令用来手工切换处理用户表中指定用户NAT业务的备份组。
【命令】
user-table { ipv4 ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] change-failover-group group-name
【缺省情况】
设备自动选择处理用户NAT业务的备份组。
【视图】
NAT实例视图
【缺省用户角色】
network-admin
【参数】
ipv4 ipv4-address:指定接入设备为用户分配的IPv4地址。ipv4-address表示接入用户的IPv4地址。
ipv6 ipv6-address:指定接入设备为用户分配的IPv6地址。ipv6-address表示接入用户的IPv6地址。
vpn-instance vpn-instance-name:指定接入用户所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。
group-name:指定备份组的名称,为1~63个字符的字符串,区分大小写。
【使用指导】
NAT与BRAS联动的场景中,接入设备会为用户分配一个NAT实例进行NAT处理。当NAT实例关联的业务实例组中包含多个备份组时,这些备份组会进行NAT业务的负载分担。这种情况下,如果某个备份组的主节点发生的故障无法被该备份组感知时(例如寄存器故障),该备份组中的备节点不会切换为主节点,也不会触发NAT实例将用户迁移到其他备份组中,导致用户无法通过该NAT实例进行地址转换。此时,这部分用户的流量转发出现异常。
为了解决上述问题,需要使用本命令手工将用户迁移到NAT实例下能够正常工作的备份组中,由该备份组的主节点处理用户的NAT业务。
通过display access-user命令可以查看接入用户的信息,包括接入设备为用户分配的IP地址、用户所属的VPN实例等信息。
通过本命令切换处理NAT业务的备份组时,必须满足如下条件,否则切换失败:
· 本命令所在视图对应的NAT实例必须与接入设备为用户分配的NAT实例一致。
· 切换后的备份组必须为NAT实例关联的业务实例组中的备份组,且该备份组有能够正常处理业务、资源充足的节点。
【举例】
# 手工将用户表中处理IPv4地址为1.1.1.1的用户NAT业务的备份组切换为group2。
<Sysname> system-view
[Sysname] nat instance nat id 1
[Sysname-nat-instance-nat] user-table ipv4 1.1.1.1 change-failover-group group2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
