- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-NAT命令
本章节下载: 01-NAT命令 (847.54 KB)
目 录
1.1.1 action dnat(NAT64类型规则视图)
1.1.2 action dnat(NAT66类型规则视图)
1.1.4 action snat(NAT64类型规则视图)
1.1.5 action snat(NAT66类型规则视图)
1.1.15 display nat address-group
1.1.20 display nat global-policy
1.1.23 display nat no-pat ip-usage
1.1.24 display nat periodic-statistics
1.1.26 display nat port-block-usage
1.1.27 display nat probe address-group
1.1.35 nat configuration-for-new-connection
1.1.47 nat log no-pat ip-usage
1.1.48 nat log port-block usage threshold
1.1.49 nat log port-block-assign
1.1.50 nat log port-block-withdraw
1.1.52 nat periodic-statistics enable
1.1.53 nat periodic-statistics interval
1.1.55 nat port-load-balance enable
1.1.56 nat redirect reply-route
1.1.57 nat remote-backup port-alloc
1.1.58 nat session create-rate enable
1.1.60 nat trap no-pat ip-usage threshold
1.1.62 nat trap port-block threshold
1.1.63 nat zone-switch recreate-session
1.1.67 reset nat count statistics
1.1.68 reset nat periodic-statistics
action dnat命令用来配置NAT规则的目的地址转换方式。
undo action dnat命令用来删除NAT规则中目的地址转换方式的配置。
【命令】
静态地址转换方式:
action dnat static ip-address local-ipv4-address [ ipv6-vrrp virtual-router-id ] [ vrf vrf-name ]
action dnat static ip-address local-ipv6-address [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]
undo action dnat
服务器映射方式:
action dnat server ip-address local-ipv4-address [ local-port local-port ] [ vrf vrf-name ]
action dnat server ip-address local-ipv6-address [ local-port local-port ] [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]
undo action dnat
前缀方式:
action dnat prefix { general v6tov4 | nat64 v6tov4 } [ vrf vrf-name ]
action dnat prefix { general v4tov6 prefix-general prefix-length | ivi v4tov6 prefix-ivi } [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]
undo action dnat
【缺省情况】
未配置NAT规则中目的地址的转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
static:使用静态方式进行目的地址转换,即采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换。
server:使用内部服务器方式进行地址转换。
ip-address:表示转换后使用的IP地址。
local-ipv4-address:指定转换后的内网目的IPv4地址。
local-ipv6-address:指定转换后的内网目的IPv6地址。
local-port local-port:转换后的内网目的端口号,取值范围为1~65535。如果不指定本参数,则不进行目的端口号转换。仅支持TCP、UDP和ICMP查询报文,由于ICMP IPv4/IPv6报文没有端口的概念,NAT将ICMP ID作为ICMP报文的目的端口。
prefix:使用前缀方式进行地址转换。
general:使用General前缀方式进行目的地址转换。
v4tov6:表示将IPv4地址转换为IPv6地址。
v6tov4:表示将IPv6地址转换为IPv4地址。
ivi:使用IVI前缀进行IPv6到IPv4的目的地址转换。
prefix-ivi:表示IVI前缀,前缀取值固定为32。
nat64:使用NAT64前缀方式进行目的地址转换。
prefix-general:表示General前缀。
general-prefix-length:表示General前缀长度,取值为32、40、48、56、64或96。
ipv4-vrrp virtual-router-id:将目的地址转换方式与IPv4 VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
ipv6-vrrp virtual-router-id:将目的地址转换方式与IPv6 VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
vrf vrf-name:指定目的地址转换后的IPv4或IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果不指定本参数,则表示目的地址转换后的IPv4或IPv6地址属于公网。
【使用指导】
IPv6用户访问IPv4网络时,可通过如下三种方式实现:
· 静态方式。手工配置IPv6地址与IPv4地址的一一映射关系,IPv6用户使用该映射关系中的IPv6地址作为目的地址,由NAT64设备根据地址映射关系将报文中的目的IPv6地址转换为IPv4地址。
· 内部服务器方式。将IPv4服务器的地址和端口映射到IPv6网络,IPv6用户通过访问映射后的IPv6地址和端口访问IPv4网络中的服务器。
· 前缀方式。利用NAT64前缀或General前缀将报文的目的IPv6地址转换为IPv4地址。
IPv4用户访问IPv6网络的实现方式与IPv6用户访问IPv4网络的实现方式是类似的。
在HA+VRRP的高可靠性组网中,如下情况的转换动作需要与VRRP备份组绑定,否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备,从而影响业务的正常运行。具体如下:
· 静态地址转换方式,需要将IPv6到IPv4的目的地址转换动作与IPv6侧的VRRP备份组绑定。
· 静态地址转换方式,需要将IPv4到IPv6的目的地址转换动作与IPv4侧的VRRP备份组绑定。
· 服务器映射方式,需要将IPv4到IPv6的目的地址转换动作与IPv4侧的VRRP备份组绑定。
· 前缀方式,需要将IPv4到IPv6的目的地址转换动作与IPv4侧的VRRP备份组绑定。
本命令与过滤条件配合使用时,如果先配置destination-ip命令,后配置action dnat static ip-address命令,则不允许通过重复执行destination-ip命令修改过滤条件。
使用NAT64前缀方式进行IPv6到IPv4的目的地址转换,并使用destination-ip subnet ipv6-prefix prefix-length作为过滤条件时,如果prefix-length为96,那么ipv6-prefix的第64位到第71位必须为0。
在VPN环境中同时对报文进行源地址转换和目的地址时,需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。如果需要修改action snat命令或action dnat命令引用的VPN实例,请删除已有的双向NAT配置,然后重新配置action snat和action dnat命令。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NAT规则rule1中目的地址转换方式为服务器映射方式,转换后的目的IP地址为1.1.1.5。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name rule1 type nat64
[Sysname-nat-global-policy-rule-nat64-rule1] action dnat server ip-address 1.1.1.5
【相关命令】
· action snat
· destination-ip
action dnat命令用来配置NAT规则的目的地址转换方式。
undo action dnat命令用来删除NAT规则中目的地址转换方式的配置。
【命令】
服务器映射方式:
action dnat ip-address local-ipv6-address [ local-port local-port ] [ vrf vrf-name ]
undo action dnat
NPTv6方式:
action dnat nptv6 translated-ipv6-prefix prefix-length [ vrf vrf-name ]
undo action dnat
NO-NAT方式:
action dnat no-nat
undo action dnat
【缺省情况】
未配置NAT规则中目的地址的转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
static:使用静态方式进行地址转换,即转换前后的目的IPv6地址之间的映射关系由配置唯一确定。
ip-address local-ipv6-address:转换后的内网目的IPv6地址。
local-port local-port:转换后的内网目的端口号,取值范围为1~65535。如果不指定本参数,则不进行目的端口号转换。仅支持TCP、UDP和ICMPv6查询报文,由于ICMPv6报文没有端口的概念,NAT将ICMP ID作为ICMPv6报文的目的端口。
nptv6:使用NPTv6方式进行IPv6地址前缀转换。
translated-ipv6-prefix prefix-length:指定转换后的IPv6地址前缀。translated-ipv6-prefix表示地址前缀; prefix-length:表示IPv6地址前缀长度,取值范围为1~112。
no-nat:不对符合NAT规则中匹配条件的报文进行源地址转换,也不使用其他优先级较低的NAT规则进行源地址转换。
vrf vrf-name:指定目的地址转换后的IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果不指定本参数,则表示目的地址转换后的IPv6地址属于公网。
【使用指导】
本命令用于内网中的服务器对外部网络提供服务的场景中,例如给外部网络提供Web服务,或是FTP服务。通过在NAT66类型的规则中配置内部服务器地址和外网地址的映射关系,外部网络用户能够通过指定的外网地址来访问内网服务器。
创建了数量较多的NAT规则后,如果希望对其中小范围的某些报文不进行目的地址转换,则可以选择NO-NAT方式。
本命令与过滤条件配合使用时,需要注意:
· action dnat nptv6与destination-ip命令配合使用时,如果先配置destination-ip命令,后配置action dnat nptv6命令,则不允许通过重复执行destination-ip命令修改过滤条件。
· 本命令不支持与目的安全域过滤条件配合使用,如果需要将目的安全域作为NAT规则的过滤条件,请先执行undo action dnat命令,再配置destination-zone命令。
在VPN环境中同时对报文进行源地址转换和目的地址时,需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。如果需要修改action snat命令或action dnat命令引用的VPN实例,请删除已有的双向NAT配置,然后重新配置action snat和action dnat命令。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NAT规则rule1中目的地址转换方式为服务器映射方式,转换后的目的IPv6地址为3001::5。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name rule1 type nat66
[Sysname-nat-global-policy-rule-nat66-rule1] action dnat ip-address 3001::5
【相关命令】
· action snat
· destination-ip
· destination-zone
action dnat命令用来配置NAT规则的目的地址转换方式。
undo action dnat命令用来删除NAT规则中目的地址转换方式的配置。
【命令】
服务器映射方式:
action dnat { ip-address local-address | object-group ipv4-object-group-name } [ local-port { local-port1 [ to local-port2 ] }&<1-32> ] [ vrrp virtual-router-id ] [ vrf vrf-name ]
undo action dnat
NO-NAT方式:
action dnat no-nat
undo action dnat
【缺省情况】
未配置NAT规则中目的地址的转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address local-address:转换后的内网目的IP地址,即内部服务器在内网的真实IP地址。
object-group ipv4-object-group-name:指定地址转换使用的IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如”xxx xxx”。IPv4地址对象组中包含的地址数量不能超过10000个。
local-port { local-port1 [ to local-port2 ] }&<1-32>:转换后的内网目的端口号或端口范围,即内部服务器在内网的真实端口号,取值范围为1~65535。如果不指定本参数,则不进行目的端口号转换。仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,NAT将ICMP ID作为ICMP报文的目的端口。&<1-32>表示如下两种形式的参数可以输入1~32次,例如local-port 1025 1030 to 1040 1050表示转换后的内网目的端口号为1025、1030~1040、1050。转换后的内网目的端口号数量不能超过10000个。
· local-port1:转换后的内网目的端口号。
· local-port1 to local-port2:转换后的内网目的端口范围。local-port2必须大于local-port1。
no-nat:不对符合NAT规则中匹配条件的报文进行目的地址转换,也不使用其他优先级较低的NAT规则进行目的地址转换。
vrrp virtual-router-id:将目的地址转换方式与VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
vrf vrf-name:指定目的地址转换后的IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果不指定本参数,则表示目的地址转换后的IPv6地址属于公网。
【使用指导】
内网中的服务器对外部网络提供服务时(例如FTP、HTTP),NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器。配置本命令后,对于符合匹配条件的报文,它的目的地址和端口将被转换成内部服务器的内网地址和端口。
action dnat命令和destination-ip命令、service命令配合使用,支持如下两类映射关系:
· 多对一映射关系。一个或多个外网目的IP只能转换为一个内网目的IP地址,一个或多个外网目的端口号只能转换为一个内网目的端口号。
· 多对多映射关系。“多个外网目的IP地址+一个外网目的端口号”或“一个外网目的IP地址+多个网目的端口号”可以转换为“多个内网目的IP地址+一个内网目的端口号”或“一个内网目的IP地址+多个内网目的端口号”。但是外网目的IP地址、外网目的端口号不能同时为多个,内网目的IP地址、内网目的端口号也不能同时为多个。
创建了数量较多的NAT规则后,如果希望对其中小范围的某些报文不进行目的地址转换,则可以选择NO-NAT方式。
在HA+VRRP的高可靠性组网中,请在HA主管理设备上将目的地址转换方式与靠近外网的VRRP备份组绑定,否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备,从而影响业务的正常运行。
配置本命令前,必须通过destination-ip命令设置目的地址过滤条件。
如表1-1所示,NAT内部服务器支持以下几种内网和外网的地址、端口映射关系。其中,配置多对多映射关系时,必须保证“外网地址的数目×外网端口的数目=内网地址的数目×内网端口的数目”,否则无法下发配置。
表1-1 NAT内部服务器的使用场景以及地址与端口映射关系表
|
使用场景 |
映射关系 |
说明 |
|
允许外部用户通过一个或多个不同的外网地址访问内部服务器 |
一个外网地址映射为一个内网地址 |
无 |
|
N个外网地址映射为一个内网地址 |
支持连续或非连续的外网地址 |
|
|
允许外部用户通过一个或多个不同的外网地址、一个或多个不同的端口号访问内部服务器 |
“一个外网地址+一个外网端口号”映射为“一个内网地址+一个内网端口号” |
无 |
|
“N个外网地址+一个外网端口号”映射为“一个内网地址+一个内网端口号” |
支持连续或非连续的外网地址 |
|
|
“一个外网地址+N个外网端口号”映射为“一个内网地址+一个内网端口号” |
支持连续或非连续的外网端口号 |
|
|
“N个外网地址+N个外网端口号”映射为“一个内网地址+一个内网端口号” |
支持连续或非连续的外网地址 支持连续或非连续的外网端口号 |
|
|
允许外部用户通过一个外网地址、多个不同的端口号访问内部服务器 |
“一个外网地址+N个外网端口号”映射为“N个连续的内网地址+一个内网端口号” |
支持连续或非连续的外网端口号 |
|
“一个外网地址+N个外网端口号”映射为“一个内网地址+N个内网端口号” |
支持连续或非连续的外网端口号 仅支持连续的内网端口号 |
|
|
允许外部用户通过多个不同的外网地址访问内部服务器 |
N个外网地址映射为N个内网地址 |
支持连续或非连续的外网地址 支持连续或非连续的内网地址 |
|
允许外部用户通过多个不同的外网地址、一个端口号访问内部服务器 |
“N个外网地址+一个外网端口号”映射为“一个内网地址+N个内网端口号” |
支持连续或非连续的外网地址 支持连续或非连续的内网端口号 |
|
“N个外网地址+一个外网端口号”映射为“N个内网地址+一个内网端口号” |
支持连续或非连续的外网地址 支持连续或非连续的内网地址 |
action dnat命令和destination-ip命令、service命令配合使用,且转换后的内网地址或内网端口号为多个时,需要注意:
· action dnat命令引用的地址对象组中,不同地址对象的地址不能重叠。
· action dnat命令配置的多个端口范围中的端口号不能重叠。
· destination-ip命令引用的地址对象组中,不同地址对象的地址不能重叠。
· service命令引用的服务对象组中,不同的服务对象的协议类型必须相同,但是不同服务对象的目的端口号不能重叠。
· NAT规则中设置报文过滤条件并通过action dnat命令配置目的地址转换方式后,当该规则生效时,不允许修改过滤条件中引用的目的地址对象组或服务对象组。
本命令不支持与目的安全域过滤条件配合使用,如果需要将目的安全域作为NAT规则的过滤条件,请先执行undo action dnat命令,再配置destination-zone命令。
在VPN环境中同时对报文进行源地址转换和目的地址时,需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。如果需要修改action snat命令或action dnat命令引用的VPN实例,请删除已有的双向NAT配置,然后重新配置action snat和action dnat命令。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置NAT规则rule1中目的地址转换方式为服务器映射方式,服务器在内网中的真实IP地址为1.1.1.5。允许外部用户通过10.1.1.2访问内部服务器。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name rule1
[Sysname-nat-global-policy-rule-rule1] destination-ip host 10.1.1.2
[Sysname-nat-global-policy-rule-rule1] action dnat ip-address 1.1.1.5
【相关命令】
· action snat
· destination-ip
· destination-zone
· nat remote-backup port-alloc
· service
action snat命令用来配置NAT规则中源地址转换方式。
undo action snat命令用来删除NAT规则中源地址转换方式的配置。
【命令】
NO-PAT方式:
action snat object-group ipv4-object-group-name no-pat [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]
action snat object-group ipv6-object-group-name no-pat [ vrf vrf-name ]
undo action snat
PAT方式:
action snat object-group ipv4-object-group-name [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]
action snat object-group ipv6-object-group-name [ vrf vrf-name ]
undo action snat
前缀转换方式:
action snat prefix { general { v4tov6 prefix-general general-prefix-length | v6tov4 } | ivi v6tov4 | nat64 v4tov6 prefix-nat64 nat64-prefix-length } [ vrf vrf-name ]
undo action snat
静态地址转换方式:
action snat static ip-address global-ipv4-address [ ipv4-vrrp virtual-router-id ] [ vrf vrf-name ]
action snat static ip-address global-ipv6-address [ ipv6-vrrp virtual-router-id ] [ vrf vrf-name ]
undo action snat
【缺省情况】
未配置NAT规则中源地址的转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group:指定地址转换使用的地址对象组。
ipv4-object-group-name:表示IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如”xxx xxx”。
ipv6-object-group-name:表示IPv6地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如”xxx xxx”。
prefix:使用前缀方式进行源地址转换。
general:使用General前缀方式进行源地址转换。
ivi:使用IVI前缀进行源地址转换。
nat64:使用NAT64前缀方式进行源地址转换。
v4tov6:表示将IPv4地址转换为IPv6地址。
v6tov4:表示将IPv6地址转换为IPv4地址。
prefix-general:表示General前缀。
general-prefix-length:表示General前缀长度,取值为32、40、48、56、64或96。
prefix-nat64:表示NAT64前缀。
nat64-prefix-length:表示NAT64前缀长度,取值为32、40、48、56、64或96。当前缀长度为96时,前缀的第64位到第71位必须为0。
static:使用静态方式进行源地址转换。
ip-address:表示转换后使用的IP地址。
global-ipv4-address:指定转换后的源IPv4地址。
global-ipv6-address:指定转换后的源IPv6地址。
ipv4-vrrp virtual-router-id:将源的地址转换方式与IPv4 VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
ipv6-vrrp virtual-router-id:将源地址转换方式与IPv6 VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
vrf vrf-name:指定源地址转换后的IPv4或IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果不指定本参数,则表示源转换后的IPv4或IPv6地址属于公网。
【使用指导】
可以使用不同的源IP地址过滤条件与不同的源地址转换方式配合进行地址转换,例如当NAT规则中用于匹配报文源IP地址的过滤条件为source-ip host {ipv4-address | ipv6-address }时,与action snat static ip-address { global-ipv4-address | global-ipv6-address }命令配合使用可以实现一对一静态地址转换。
在HA+VRRP的高可靠性组网中,如下情况的转换动作需要与VRRP备份组绑定,否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备,从而影响业务的正常运行。具体如下:
· NO-PAT方式,需要将IPv6到IPv4的源地址转换动作与IPv4侧的VRRP备份组绑定。
· PAT方式,需要将IPv6到IPv4的源地址转换动作与IPv4侧的VRRP备份组绑定。
· 静态地址转换方式,需要将IPv6到IPv4的源地址转换动作与IPv4侧的VRRP备份组绑定。
· 静态地址转换方式,需要将IPv4到IPv6的源地址转换动作与IPv6侧的VRRP备份组绑定。
本命令与过滤条件配合使用时,需要注意:
· action snat static ip-address与source-ip命令配合使用时,如果先配置source-ip命令,后配置action snat static ip-address命令,则不允许通过重复执行source-ip命令修改过滤条件。
· 使用静态方式进行地址转换时,必须保证用于匹配报文源IP地址的过滤条件中包含的IP地址的数量和静态地址转换方式中包含的IP地址数量一致。
源地址转换方式引用地址对象组时,需要注意:
· 源地址转换方式引用的地址对象组中的对象必须通过如下方式创建,否则该地址对象组无法被源地址转换方式引用:
¡ [ object-id ] network host address ip-address
¡ [ object-id ] network subnet ip-address { mask-length | mask }
¡ [ object-id ] network range ip-address1 ip-address2
关于以上命令的详细介绍,请参见“安全命令参考”中的“对象组”。
· 源地址转换方式引用的地址对象组中包含的IP地址数量不能超过65535。
· 静态转换引用的地址对象组中不能存在排除地址。
在VPN环境中同时对报文进行源地址转换和目的地址时,需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。如果需要修改action snat命令或action dnat命令引用的VPN实例,请删除已有的双向NAT配置,然后重新配置action snat和action dnat命令。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 将NAT规则aaa的地址转换方式指定为PAT方式,并引用名为srcIP1的源IPv4地址对象组。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa type nat64
[Sysname-nat-global-policy-rule-nat64-aaa] action snat object-group srcIP1
【相关命令】
· action dnat
· display nat all
· display nat global-policy
· network(安全命令参考/对象组)
action snat命令用来配置NAT规则中源地址转换方式。
undo action snat命令用来删除NAT规则中源地址转换方式的配置。
【命令】
NO-PAT方式:
action snat object-group ipv6-object-group-name no-pat [ vrf vrf-name ]
undo action snat
PAT方式:
action snat object-group ipv6-object-group-name [ vrf vrf-name ]
undo action snat
静态地址转换方式:
action snat static ip-address global-ipv6-address [ ipv6-vrrp virtual-router-id ] [ vrf vrf-name ]
undo action snat
NPTv6方式:
action snat nptv6 translated-ipv6-prefix prefix-length [ vrf vrf-name ]
undo action snat
NO-NAT方式:
action snat no-nat
undo action snat
【缺省情况】
未配置NAT规则中源地址的转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group ipv6-object-group-name:指定地址转换使用的地址对象组。ipv6-object-group-name表示IPv6地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如”xxx xxx”。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息。
static:使用静态方式进行地址转换,即转换前后的源IPv6地址之间的映射关系由配置唯一确定。
ipv6-address global-ipv6-address:指定地址转换后使用的IPv6地址。global-ipv6-address表示转换后的源IPv6地址。
nptv6:使用NPTv6方式进行IPv6地址前缀转换。
translated-ipv6-prefix nptv6-prefix-length:指定转换后的IPv6地址前缀。translated-ipv6-prefix表示地址前缀;nptv6-prefix-length:表示IPv6地址前缀长度,取值范围为1~112。
no-nat:不对符合NAT规则中匹配条件的报文进行源地址转换,也不使用其他优先级较低的NAT规则进行源地址转换。
ipv6-vrrp virtual-router-id:将源地址转换方式与IPv6 VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
vrf vrf-name:指定源地址转换后的IPv6地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果不指定本参数,则表示源地址转换后的IPv6地址属于公网。
【使用指导】
用户可以使用不同的源IP地址过滤条件与不同的源地址转换方式配合进行地址转换,例如当NAT规则中用于匹配报文源IP地址的过滤条件为source-ip host {ipv4-address | ipv6-address }时,与action snat static ip-address { global-ipv4-address | global-ipv6-address }命令配合使用可以实现一对一静态地址转换。
创建了数量较多的NAT规则后,如果希望对其中小范围的某些报文不进行源地址转换,则可以选择NO-NAT方式。
在HA+VRRP的高可靠性组网中,需要将静态地址转换动作与IPv6侧的VRRP备份组绑定,否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备,从而影响业务的正常运行。
本命令与过滤条件配合使用时,需要注意:
· action snat static ip-address与source-ip命令配合使用时,如果先配置source-ip命令,后配置action snat static ip-address命令,则不允许通过重复执行source-ip命令修改过滤条件。
· action snat nptv6只能与source-ip subnet命令配合使用。如果先配置source-ip subnet命令,后配置action snat nptv6命令,则不允许通过重复执行source-ip命令修改过滤条件。
· 使用静态方式进行地址转换时,必须保证用于匹配报文源IP地址的过滤条件中包含的IP地址的数量和静态地址转换方式中包含的IP地址数量一致。
源地址转换方式引用地址对象组时,需要注意:
· 源地址转换方式引用的地址对象组中的对象必须通过如下方式创建,否则该地址对象组无法被源地址转换方式引用:
¡ [ object-id ] network host address ip-address
¡ [ object-id ] network subnet ip-address { mask-length | mask }
¡ [ object-id ] network range ip-address1 ip-address2
关于以上命令的详细介绍,请参见“安全命令参考”中的“对象组”。
· 源地址转换方式引用的地址对象组中包含IP地址个数不能超过65535。
· 静态转换引用的地址对象组中不能存在排除地址。
在VPN环境中同时对报文进行源地址转换和目的地址时,需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。如果需要修改action snat命令或action dnat命令引用的VPN实例,请删除已有的双向NAT配置,然后重新配置action snat和action dnat命令。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 将名称为aaa的NAT规则的地址转换方式指定为NPTv6前缀转换方式,将规则匹配到的源IPv6地址前缀fd9C:58ed:7d73:2::/64转换为2101::/64。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa type nat66
[Sysname-nat-global-policy-rule-nat66-aaa] source-ip subnet fd9C:58ed:7d73:2:: 64
[Sysname-nat-global-policy-rule-nat66-aaa] action snat nptv6 2101:: 64
【相关命令】
· action dnat
· display nat all
· display nat global-policy
· source-ip
action snat命令用来配置NAT规则中源地址转换方式。
undo action snat命令用来删除NAT规则中源地址转换方式的配置。
【命令】
NO-PAT方式:
action snat { address-group { group-id | name group-name } | object-group ipv4-object-group-name } no-pat [ reversible ] [ vrrp virtual-router-id ] [ vrf vrf-name ]
undo action snat
PAT方式:
action snat { address-group { group-id | name group-name } | object-group ipv4-object-group-name } [ port-preserved ] [ vrrp virtual-router-id ] [ vrf vrf-name ]
undo action snat
Easy IP方式:
action snat easy-ip [ port-preserved ] [ vrf vrf-name ]
undo action snat
静态地址转换方式:
action snat static { ip-address global-address | object-group object-group-name | subnet subnet-ip-address mask-length } [ vrrp virtual-router-id ] [ vrf vrf-name ]
undo action snat
NO-NAT方式:
action snat no-nat
undo action snat
【缺省情况】
未配置NAT规则中源地址的转换方式。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
address-group:指定地址转换使用的地址组。
group-id:地址组的编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,区分大小写。
easy-ip:使用报文出接口的IP地址作为转换后的地址,即实现Easy IP功能。
ip-address global-address:指定地址转换使用的IP地址,global-address表示转换后的源IP地址。
no-nat:不对符合NAT规则中匹配条件的报文进行源地址转换,也不使用其他优先级较低的NAT规则进行源地址转换。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息。
reversible:表示NO-PAT方式下允许反向地址转换。即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
port-preserved:PAT方式下分配端口时尽量不转换端口。如果不指定本参数,则允许并接受PAT方式下分配端口时转换端口。
static:使用静态方式进行地址转换,即外部网络和内部网络之间的地址映射关系由配置确定。
object-group object-group-name:指定地址转换使用的地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如”xxx xxx”。
subnet subnet-ip-address mask-length:指定地址转换使用的网段。subnet-ip-address表示网段地址;mask-length表示该网段的掩码长度,取值可以为8、16或范围为24~31之间的整数。
vrrp virtual-router-id:将源地址转换方式与VRRP备份组绑定。virtual-router-id表示VRRP ID,取值范围为1~255。
vrf vrf-name:指定源地址转换后的IPv4地址所属的VPN实例。vrf-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果不指定本参数,则表示源转换后的IPv4地址属于公网。
【使用指导】
用户可以使用不同的源IP地址过滤条件与不同的源地址转换方式配合进行地址转换,例如当NAT规则中用于匹配报文源IP地址的过滤条件为source-ip host ip-address时,与action snat static ip-address global-address命令配合使用可以实现一对一静态地址转换。需要注意的是,使用静态方式进行地址转换时,必须保证用于匹配报文源IP地址的过滤条件中包含的IP地址的数量和静态地址转换方式中包含的IP地址数量一致。
创建了数量较多的NAT规则后,如果希望对其中小范围的某些报文不进行源地址转换,则可以选择NO-NAT方式。
在HA+VRRP的高可靠性组网中,请在HA主管理设备上将源地址转换方式与靠近外网的VRRP备份组绑定,否则可能会导致与HA直连的上行三层设备将下行报文发送给HA中的Backup设备,从而影响业务的正常运行。
在双主模式的HA组网中,请根据不同的情况选择不同的配置方式:
· HA组网中的两台设备可以共用同一个NAT地址组,需要注意的是,为了防止不同的Master设备将不同主机的流量转换为同一个地址和端口号,需要使用PAT模式的地址转换,并配置nat remote-backup port-alloc命令,使得不同的Master设备使用不同范围的端口资源。
· 除上述情况外,建议HA组网中的两台设备使用不同的公网IP进行地址转换,避免出现不同的Master设备对不同主机的流量进行地址转换后,地址转换的结果相同的情况。例如,当HA中的两台设备使用不同的NAT地址时(不同的NAT规则匹配不同的用户流量,实现不同源IP地址范围的用户流量使用不同的NAT地址进行地址转换),不同的内网用户设置不同的网关地址,使得正向地址转换的流量由不同的Master设备进行处理。这种情况下,通过在主管理设备上配置本命令将不同的源地址转换方式与不同的VRRP备份组绑定,从而引导反向地址转换的流量使用不同的Master设备进行地址转换,实现NAT业务的负载分担。
一个地址组被PAT方式的NAT规则引用后,不能再被NO-PAT方式的相同的NAT规则引用,反之亦然。
源地址转换方式引用地址对象组时,需要注意:
· 源地址转换方式引用的地址对象组中的对象必须通过如下方式创建,否则该地址对象组无法被源地址转换方式引用:
¡ [ object-id ] network host address ip-address
¡ [ object-id ] network subnet ip-address { mask-length | mask }
¡ [ object-id ] network range ip-address1 ip-address2
关于以上命令的详细介绍,请参见“安全命令参考”中的“对象组”。
· 源地址转换引用的地址对象组中包含的IP地址个数不能超过65535。
· 静态转换引用的地址对象组中不能存在排除地址。
在VPN环境中同时对报文进行源地址转换和目的地址时,需要保证通过action snat和action dnat命令指定的转换后的地址所属的VPN实例相同。如果需要修改action snat命令或action dnat命令引用的VPN实例,请删除已有的双向NAT配置,然后重新配置action snat和action dnat命令。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 将NAT规则aaa的地址转换方式指定为PAT方式,并使用编号为0的地址组。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] action snat address-group 0
# 将NAT规则aaa的地址转换方式指定为NO-PAT方式,并使用编号为0的地址组。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] action snat address-group 0 no-pat
# 指定NAT规则aaa中用于匹配报文源IP地址的IP地址为1.1.1.1,并指定该规则的地址转换方式指定为静态地址转换方式,转换后的源IP地址为100.10.0.1。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] source-ip host 1.1.1.1
[Sysname-nat-global-policy-rule-aaa] action snat static ip-address 100.10.0.1
# 将NAT规则aaa的地址转换方式指定为NO-NAT方式。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] action snat no-nat
【相关命令】
· action dnat
· display nat all
· display nat global-policy
· nat address-group
address命令用来添加地址成员。
undo address命令用来删除地址成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
不存在地址成员。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个NAT地址组是多个地址成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址成员中的某个地址。
在同一NAT地址组中多次执行本命令添加的地址成员不能互相重叠,且一次添加的地址成员的数量不能超过65535。不同NAT地址组中地址成员的IP地址段不能互相重叠。
在同一个NAT地址组中,如果已经使用address interface命令将接口地址作为地址成员,则无法通过本命令添加地址成员。
【举例】
# 在NAT地址组2中添加地址成员。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· nat address-group
block-size命令用来设置端口块大小。
undo block-size命令用来恢复缺省情况。
【命令】
block-size block-size
undo block-size
【缺省情况】
一个端口块中包含256个端口。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~max_number。其中max_number为65535。
【使用指导】
在一个端口块组中,需要根据私网IP地址个数,以及公网IP地址个数及其端口范围,确定一个合理的端口块大小值。端口块大小值不能超过公网地址的端口范围值。
【举例】
# 配置端口块组1的端口块大小为1024。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] block-size 1024
【相关命令】
· nat port-block-group
counting enable命令用来开启NAT规则命中统计功能。
undo counting enable命令用来关闭NAT规则命中统计功能。
【命令】
counting enable
undo counting enable
【缺省情况】
NAT规则命中统计功能处于关闭状态。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
配置本命令后,该规则的命中统计功能将会开启,可通过display nat global-policy命令查看该条规则的命中统计计数。
【举例】
# 开启全局NAT策略中NAT规则aaa的命中统计功能。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] counting enable
【相关命令】
· display nat all
· display nat global-policy
description命令用来配置NAT地址组的描述信息。
undo description命令用来删除NAT地址组的描述信息。
【命令】
description text
undo description
【缺省情况】
未配置NAT地址组的描述信息。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:NAT地址组的描述信息,为1~63个字符的字符串,不区分大小写。
【举例】
# 配置NAT地址组1的描述信息为test1。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] description test1
description命令用来配置NAT规则的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
NAT规则未配置任何描述信息。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:表示NAT规则的描述信息,为1~63个字符的字符串,区分大小写。
【举例】
# 配置全局NAT策略中NAT规则aaa的描述信息为“This is a nat rule of abc policy”。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] description This is a nat rule of abc policy
destination-ip命令用来配置NAT规则中用于匹配报文目的IP地址的过滤条件。
undo destination-ip命令用来删除NAT规则中用于匹配报文目的IP地址的过滤条件。
【命令】
全局NAT策略下NAT类型的规则视图:
destination-ip ipv4-object-group-name
undo destination-ip [ ipv4-object-group-name ]
全局NAT策略下NAT类型的规则视图:
destination-ip { host ip-address | subnet subnet-ip-address mask-length }
undo destination-ip { host [ ip-address ] | subnet [subnet-ip-address mask-length ] }
全局NAT策略下NAT64类型的规则视图:
destination-ip { ipv4-object-group-name | ipv6-object-group-name }
undo destination-ip [ ipv4-object-group-name | ipv6-object-group-name ]
destination-ip { host { ipv4-address | ipv6-address } | subnet { subnet-ipv4-address mask-length | ipv6-prefix prefix-length } }
undo destination-ip { host [ ipv4-address | ipv6-address ] | subnet [ subnet-ipv4-address mask-length | ipv6-prefix prefix-length ] }
全局NAT策略下NAT66类型的规则视图:
destination-ip ipv6-object-group-name
undo destination-ip [ ipv6-object-group-name ]
destination-ip { host ipv6-address | subnet ipv6-prefix prefix-length }
undo destination-ip { host [ ipv6-address ] | subnet [ ipv6-prefix prefix-length ] }
【缺省情况】
NAT规则中不存在用于匹配报文目的IP地址的过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-object-group-name:指定NAT规则引用的目的IPv4地址对象组,ipv4-object-group-name表示目的IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
ipv6-object-group-name:指定NAT规则引用的目的IPv6地址对象组,ipv6-object-group-name表示源IPv6地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
host ipv4-address:NAT规则中用于匹配报文目的IPv4地址的IPv4地址,ipv4-address表示报文目的IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
host ipv6-address:指定NAT规则中用于匹配报文目的IPv6地址的IPv6地址,ipv6-address表示报文目的IPv6地址。
subnet subnet-ipv4-address mask-length:指定NAT规则引用的IPv4网段。subnet-ipv4-address表示网段IPv4地址;mask-length表示该网段掩码长度,取值可以为8、16或范围为24~31之间的整数。
subnet ipv6-prefix prefix-length:指定NAT规则引用的IPv6前缀。ipv6-prefix表示IPv6前缀;prefix-length表示前缀长度,取值范围为1~128。
【使用指导】
配置本命令后,NAT设备将使用该过滤条件中的IP地址对报文进行过滤,只有目的IP地址与过滤条件匹配的报文才会被NAT设备进行地址转换。
本命令与action dnat命令配合使用时,对于内网访问外网的报文,将在NAT设备的入接口上进行目的IP地址转换。
引用地址对象组时,需要注意:
· 引用的地址对象组必须已经存在,否则配置将失败。
· 目的地址引用的地址对象组中的对象必须通过如下方式创建,否则该地址对象组无法被目的地址引用:
¡ [ object-id ] network host address ip-address
¡ [ object-id ] network subnet ip-address { mask-length | mask }
¡ [ object-id ] network range ip-address1 ip-address2
关于以上命令的详细介绍,请参见“安全命令参考”中的“对象组”。
执行undo destination-ip命令时若不指定任何参数,表示删除此规则中所有用于匹配报文源IP地址的过滤条件。
同一NAT规则下配置过滤条件时,需要注意:
· 同一NAT规则下可引用多个目的地址对象组,最多不能超过256个。
· 同一NAT规则下可引用多个网段,最多不能超过256个。
· 同一NAT规则中可配置多个匹配报文目的IP地址的过滤条件,匹配报文目的IP地址最多不能超过256个。
· 同一个NAT64类型的规则中配置多个过滤条件时,后配置的过滤条件中的IP地址类型必须与先配置的过滤条件中的IP地址类型一致,例如先配置了destination-ip host 192.168.1.1,接下来配置了destination-ip host 100::1,那么destination-ip host 100::1配置失败。请根据实际应用场景规划配置。
· 同一NAT规则视图下的destination-ip subnet命令、destination-ip命令以及destination-ip host命令会相互覆盖。
【举例】
# 在全局NAT策略中配置NAT规则aaa引用名为desIP1、desIP2和desIP3的目的地址对象组作为匹配报文目的IP地址的过滤条件。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] destination-ip desIP1
[Sysname-nat-global-policy-rule-aaa] destination-ip desIP2
[Sysname-nat-global-policy-rule-aaa] destination-ip desIP3
【相关命令】
· display nat all
· display nat global-policy
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为NAT规则过滤条件的目的安全域。
undo destination-zone命令用来删除作为NAT规则过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone [ destination-zone-name ]
【缺省情况】
NAT规则中不存在目的安全域过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
destination-zone-name:目的安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。作为规则过滤条件的目的安全域可以不存在,但要使配置生效,必须通过security-zone name命令创建安全域。关于安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
配置本命令后,NAT设备将使用该过滤条件中的IP地址对报文进行过滤,只有目的安全域与过滤条件匹配的报文才会被NAT设备进行地址转换。
本命令与action snat命令配合使用时,将在NAT设备的出接口方向进行源IP地址转换。本命令不能与action dnat命令配合使用。
不能通过重复执行本命令修改作为NAT规则过滤条件的目的安全域。如需修改作为NAT规则过滤条件的目的安全域,请先通过undo destination-zone命令删除作为NAT规则过滤条件的目的安全域,再执行destination-zone命令。
使用undo命令时若不指定任何参数,则表示删除此规则中所有目的安全域类型的过滤条件。
仅支持在全局NAT策略中NAT类型和NAT66类型的规则视图下配置本命令。
最多支持将16个目的安全域作为NAT规则的过滤条件。
【举例】
# 配置作为NAT规则rule1过滤条件的目的安全域为trust。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name rule1
[Sysname-nat-global-policy-rule-rule1] destination-zone trust
【相关命令】
· rule name
· security-zone name(安全命令参考/安全域)
disable命令用来禁用NAT规则。
undo disable命令用来启用NAT规则。
【命令】
disable
undo disable
【缺省情况】
NAT规则处于启用状态。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
配置本命令后,相应的NAT规则将不再生效,但是不会将此NAT规则删除,可通过display nat global-policy命令查看其生效状态。如果不再需要此NAT规则,需要执行undo rule name命令才能将其删除。
【举例】
# 禁用全局NAT策略中名称为aaa的NAT规则。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] disable
【相关命令】
· display nat all
· display nat global-policy
display nat address-group命令用来显示NAT地址组配置信息。
【命令】
display nat address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不设置该值,则显示所有地址组。
【举例】
# 显示所有地址组的配置信息。
<Sysname> display nat address-group
NAT address group information:
Totally 5 NAT address groups.
Address group ID: 1 Address group name: a
Description : group1
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Address group ID: 2
Port range: 1-65535
VRID : 1
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Address group ID: 3
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Address group ID: 4
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Address group ID: 5
Port range: 1-1024
Port block size: 500
Address information:
20.1.1.1 (GigabitEthernet1/0/1)
Address group ID: 6
Port range: 1-65535
Address information:
Start address End address
--- ---
# 显示指定地址组的配置信息。
<Sysname> display nat address-group 1
Address group ID: 1 Address group name: a
Description : group1
VRID : 1
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
表1-2 display nat address-group命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组信息 |
|
Totally n NAT address groups |
当前有n个地址组 |
|
Address group ID |
地址组的编号 |
|
Address group name |
地址组名称。如果未配置,则不显示该字段 |
|
Description |
地址组的描述信息。如果未配置,则不显示该字段 |
|
VRID |
VRRP备份组ID。如果未配置,则不显示该字段 |
|
Port range |
地址的端口范围 |
|
Port block size |
端口块大小。如果未配置,则不显示 |
|
Extended block number |
增量端口块数。如果未配置,则不显示 |
|
Address information |
地址组成员信息 · 通过address命令添加地址成员: ¡ Start address:地址组成员的起始地址。如果没有地址成员,则显示“---” ¡ End address:地址组成员的结束地址。如果没有地址成员,则显示“---” |
【相关命令】
· nat address-group
display nat alg用来显示所有协议类型的NAT ALG功能的开启状态。
【命令】
display nat alg
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示所有协议类型的NAT ALG功能的开启状态。
<Sysname> display nat alg
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SCTP : Disabled
SIP : Disabled
SQLNET : Disabled
SUNRPC : Disabled
TFTP : Disabled
XDMCP : Disabled
表1-3 display nat alg命令显示信息描述表
|
字段 |
描述 |
|
Enabled |
协议的NAT ALG功能处于开启状态 |
|
Disabled |
协议的NAT ALG功能处于关闭状态 |
【相关命令】
· display nat all
display nat all命令用来显示所有的NAT配置信息。
【命令】
display nat all
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示所有的NAT配置信息。
<Sysname> display nat all
NAT address group information:
Totally 5 NAT address groups.
Address group 1:
Description : group1
Port range: 1-65535
Address information:
Start address End address
202.110.10.10 202.110.10.15
Exclude address information:
Start address End address
--- ---
Address group 2:
Port range: 1-65535
Address information:
Start address End address
202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
Exclude address information:
Start address End address
--- ---
Address group 3:
Port range: 1024-65535
Address information:
Start address End address
202.110.10.40 202.110.10.50
Exclude address information:
Start address End address
--- ---
Address group 4:
Port range: 10001-65535
Port block size: 500
Extended block number: 1
Address information:
Start address End address
202.110.10.60 202.110.10.65
Exclude address information:
Start address End address
--- ---
Address group 6:
Port range: 1-65535
Address information:
Start address End address
--- ---
Exclude address information:
Start address End address
--- ---
NAT server group information:
Totally 3 NAT server groups.
Group Number Inside IP Port Weight
1 192.168.0.26 23 100
192.168.0.27 23 500
2 --- --- ---
3 192.168.0.26 69 100
NAT global-policy information:
Totally 1 NAT global-policy rules.
Rule name: rule1
Description : global nat rule
SrcIP object group : srcObj1
SrcIP object group : srcObj2
SrcIP object group : srcObj3
DestIP object group : desObj1
DestIP object group : desObj2
DestIP object group : desObj3
Service object group : serviceObj1
Service object group : serviceObj2
Service object group : serviceObj3
Source zone name : Trust
Destination zone name : Local
SNAT action:
Address group ID: 2 Address group name: a
NO-PAT: Y
Reversible: N
Port-preserved: N
DNAT action:
IP address: 1.1.2.1
Port: 80
NAT counting : 0
Config status: Active
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: GigabitEthernet1/0/1
ACL: 2038
Address group ID: 2
Add route: Y NO-PAT: Y Reversible: N
VPN instance: vpn_nat
Rule name: abcdefg
Priority: 1000
Description: NatInbound1
Config status: Active
NAT outbound information:
Totally 2 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2036
Address group ID: 1
Port-preserved: Y NO-PAT: N Reversible: N
Configuration mode : NETCONF (action)
Rule name: cdefg
Priority: 1001
Description: NatOutbound1
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: address group, and ACL.
Interface: GigabitEthernet1/0/2
ACL: 2037
Address group ID: 1
Port-preserved: N NO-PAT: Y Reversible: Y
VPN instance: vpn_nat
Rule name: blue
Priority: 1002
Config status: Active
NAT internal server information (object-group):
Totally 1 object-group-based NAT server rules.
Rule name: aaa
Interface: GigabitEthernet1/0/1
Local IP/Port: 1.1.1.1/80
DestIP Object group: abc
NAT counting : 0
Config status : Active
NAT internal server information:
Totally 5 internal servers.
Interface: GigabitEthernet1/0/1
Global ACL : 2000
Local IP/port : 192.168.10.1/23
Rule name : cdefgab
Priority : 1000
Configuration mode : NETCONF (action)
NAT counting : 0
Description : NatServerDescription1
Config status : Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23
Local IP/port : 192.168.10.15/23
ACL : 2000
Rule name : green
NAT counting : 0
Config status : Active
Interface: GigabitEthernet1/0/3
Protocol: 6(TCP)
Global IP/port: 50.1.1.1/23-30
Local IP/port : 192.168.10.15-192.168.10.22/23
Global VPN : vpn1
Local VPN : vpn3
Rule name : blue
NAT counting : 0
Config status : Active
Interface: GigabitEthernet1/0/4
Protocol: 255(Reserved)
Global IP/port: 50.1.1.100/---
Local IP/port : 192.168.10.150/---
Global VPN : vpn2
Local VPN : vpn4
ACL : 3000
Rule name : white
NAT counting : 0
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Interface: GigabitEthernet1/0/5
Protocol: 17(UDP)
Global IP/port: 50.1.1.2/23
Local IP/port : server group 1
192.168.0.26/23 (Connections: 10)
192.168.0.27/23 (Connections: 20)
Global VPN : vpn1
Local VPN : vpn3
Rule name : black
NAT counting : 0
Config status : Active
Static NAT mappings:
Totally 2 inbound static NAT mappings.
Net-to-net:
Global IP : 2.2.2.1 – 2.2.2.255
Local IP : 1.1.1.0
Netmask : 255.255.255.0
Global VPN : vpn2
Local VPN : vpn1
ACL : 2000
Reversible : Y
Rule name : pink
Priority : 1000
Config status: Active
Global flow-table status: Active
Local flow-table status: Active
IP-to-IP:
Global IP : 5.5.5.5
Local IP : 4.4.4.4
ACL : 2001
Reversible : Y
Rule name : yellow
Priority : 1000
Packet type ignore: Y
Description : NatStaticDescription1
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Local flow-table status: Active
Totally 2 outbound static NAT mappings.
Net-to-net:
Local IP : 1.1.1.1 - 1.1.1.255
Global IP : 2.2.2.0
Netmask : 255.255.255.0
ACL : 2000
Reversible : Y
Rule name : grey
Priority : 1000
Config status: Active
Global flow-table status: Active
Local flow-table status: Active
IP-to-IP:
Local IP : 4.4.4.4
Global IP : 5.5.5.5
ACL: : 2001
Reversible : Y
Rule name : orange
Priority : 10000
Packet type ignore: Y
Description : NatStaticDescription2
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: ACL.
Global flow-table status: Active
Local flow-table status: Active
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/4
Config status: Active
Interface: GigabitEthernet1/0/5
Config status: Active
NAT DNS mappings:
Totally 2 NAT DNS mappings.
Domain name : www.example.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : service.example.com
Global IP : ---
Global port : 12
Protocol : TCP(6)
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
NAT logging:
Log enable : Enabled(ACL 2000)
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Enabled(10 minutes)
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NO-PAT IP usage : Disabled
NAT log flow-match : Enabled
NAT hairpinning:
Totally 2 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/0/4
Config status: Active
Interface: GigabitEthernet1/0/5
Config status: Active
NAT mapping behavior:
Mapping mode : Endpoint-Independent
ACL : 2050
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
PPTP : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SIP : Enabled
SQLNET : Enabled
SUNRPC : Disabled
TFTP : Enabled
XDMCP : Disabled
NAT port block group information:
Totally 3 NAT port block groups.
Port block group 1:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
172.16.1.1 172.16.1.254 ---
192.168.1.1 192.168.1.254 ---
192.168.3.1 192.168.3.254 ---
Global IP pool information:
Start address End address
201.1.1.1 201.1.1.10
201.1.1.21 201.1.1.25
Port block group 2:
Port range: 10001-30000
Block size: 500
Local IP address information:
Start address End address VPN instance
10.1.1.1 10.1.10.255 ---
Global IP pool information:
Start address End address
202.10.10.101 202.10.10.120
Port block group 3:
Port range: 1-65535
Block size: 256
Local IP address information:
Start address End address VPN instance
--- --- ---
Global IP pool information:
Start address End address
--- ---
NAT outbound port block group information:
Totally 2 outbound port block group items.
Interface: GigabitEthernet1/0/2
port-block-group: 2
Rule name: stone
Config status : Active
Interface: GigabitEthernet1/0/2
port-block-group: 10
Config status : Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: port block group.
Static NAT load balancing: Disabled
NAT link-switch recreate-session: Disabled
NAT configuration-for-new-connection: Disabled
NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp : Disabled
NAT gratuitous-arp: Enabled
NAT zone-switch recreate-session: Enabled
上述显示信息是目前所有NAT配置信息的集合。由于部分NAT配置(nat address-group、nat dns-map、nat log)有自己独立的显示命令,且此处显示信息的格式与各命令对应的显示信息的格式相同的,所以此处不对这些配置的显示字段的含义进行详细解释,如有需要,请参考各独立的显示命令。下面的表格将给出相关显示命令的参见信息并仅解释nat mapping-behavior和nat alg配置的显示字段的含义。
表1-4 display nat all命令显示信息描述表
|
字段 |
描述 |
|
NAT address group information |
NAT地址组的配置信息,详细字段解释请参见“display nat address-group”中的显示信息描述表 |
|
NAT global-policy information |
全局NAT策略的配置信息,详细字段解析参见“display nat global-policy”中的显示信息描述表 |
|
NAT DNS mappings |
NAT DNS mapping的配置信息,详细字段解释请参见“display nat dns-map”中的显示信息描述表 |
|
NAT logging |
NAT日志功能的配置信息,详细字段解释请参见“display nat log”中的显示信息描述表 |
|
NAT log flow-match |
是否开启NAT新建流日志的快速输出功能: · Enabled:表示开启 · Disabled:表示关闭 |
|
Rule name |
NAT规则的名称 |
|
Priority |
NAT规则的匹配优先级 |
|
Config status |
显示NAT hairpin配置的状态 · Active:生效 · Inactive:不生效 |
|
NAT mapping behavior |
PAT方式下的地址转换模式 · Endpoint-Independent:表示不关心对端地址和端口 · Address and Port-Dependent:表示关心对端地址和端口 |
|
ACL |
引用的ACL编号或名称。如果未配置,则显示“---” |
|
Config status |
显示NAT mapping behavior配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示NAT mapping behavior配置不生效的原因 · The following items don't exist or aren't effective: ACL:引用的ACL不存在 |
|
NAT ALG |
各协议的NAT ALG功能开启信息 |
|
NAT link-switch recreate-session |
是否开启主备链路切换后的NAT会话重建功能: · Disabled:表示关闭 · Enabled:表示开启 |
|
NAT configuration-for-new-connection |
是否开启NAT配置变更仅对新连接生效的功能: · Disabled:表示关闭 · Enabled:表示开启 |
|
NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp |
是否开启全局NAT策略中NAT类型的SNAT+DNAT规则的源IP地址转换和目的IP转换先于安全策略匹配,以便与老版本兼容功能: · Disabled:表示关闭 · Enabled:表示开启 |
|
NAT gratuitous-arp |
是否开启NAT发送免费ARP报文通告公网IP地址与MAC地址对应关系的功能: · Disabled:表示关闭 · Enabled:表示开启 |
|
NAT zone-switch recreate-session |
是否开启主备链路切换导致出接口所属安全域变化后的NAT会话重建功能: · Disabled:表示关闭 · Enabled:表示开启 |
display nat dns-map命令用来显示NAT DNS mapping配置信息。
【命令】
display nat dns-map
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT DNS mapping的配置信息。
<Sysname> display nat dns-map
NAT DNS mapping information:
Totally 2 NAT DNS mappings.
Domain name : www.example.com
Global IP : 6.6.6.6
Global port : 23
Protocol : TCP(6)
Config status: Active
Domain name : service.example.com
Global IP : ---
Global port : 12
Protocol : TCP(6)
Config status: Inactive
Reasons for inactive status:
The following items don't exist or aren't effective: interface IP address.
表1-5 display nat dns-map命令显示信息描述表
|
字段 |
描述 |
|
NAT DNS mapping information |
NAT DNS mapping配置信息 |
|
Totally n NAT DNS mappings |
当前有n条DNS mapping配置 |
|
Domain name |
DNS域名 |
|
Global IP |
外网地址。如果配置使用的是Easy IP方式,则此处显示指定的接口的地址。“---”表示接口下未配置外网地址 |
|
Global port |
外网端口号 |
|
Protocol |
协议名称以及协议编号 |
|
Config status |
显示DNS mapping配置的状态 · Active:生效 · Inactive:不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示DNS mapping配置不生效的原因 · The following items don't exist or aren't effective: interface IP address:引用的接口未配置IP地址 |
【相关命令】
· nat dns-map
display nat eim命令用来显示NAT EIM表项信息。
【命令】
display nat eim [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的EIM表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示显示所有成员设备上的EIM表项信息。
【使用指导】
EIM三元组表项是报文在进行Endpoint-Independent Mapping方式的PAT转换时创建的,它记录了内网和外网的转换关系(内网地址和端口<-->NAT地址和端口),该表项有以下两个作用:
· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。
· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。
【举例】
# 显示指定slot上的NAT EIM表项信息。
<Sysname> display nat eim slot 1
Slot 1:
Local IP/port: 192.168.100.100/1024
Global IP/port: 200.100.1.100/2048
Local VPN: vpn1
Global VPN: vpn2
Protocol: TCP(6)
Local IP/port: 192.168.100.200/2048
Global IP/port: 200.100.1.200/4096
Protocol: UDP(17)
Total entries found: 2
表1-6 display nat eim命令显示信息描述表
|
字段 |
描述 |
|
Local VPN |
内网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的VPN实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Protocol |
协议名称以及协议编号 |
|
Total entries found |
当前查找到的EIM表项的个数 |
【相关命令】
· nat mapping-behavior
· nat outbound
display nat global-policy命令用来显示全局NAT策略的配置信息。
【命令】
display nat global-policy [ rule-type { nat | nat64 | nat66 } ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
rule-type:显示指定类型的NAT规则的配置信息。如果未指定本参数,将显示所有类型NAT规则的配置信息。
nat:显示NAT类型规则的配置信息。
nat64:显示NAT64类型规则的配置信息。
nat66:显示NAT66类型规则的配置信息。
【举例】
# 显示全局NAT策略中所有类型NAT规则的配置信息。
<Sysname> display nat global-policy
NAT global-policy information:
Totally 8 NAT global-policy rules.
Rule name: rule1
Type : nat
Description : first rule
SrcIP object group : srcObj1
SrcIP object group : srcObj2
SrcIP object group : srcObj3
DestIP object group : desObj1
DestIP object group : desObj2
DestIP object group : desObj3
Service object group : serviceObj1
Service object group : serviceObj2
Service object group : serviceObj3
Source-zone name : Trust
Destination-zone name : Local
SNAT action:
Address group ID: 2 Address group name: a
NO-PAT: Y
Reversible: N
Port-preserved: N
NAT counting : 0
Config status: Active
Rule name: rule2
Type : nat
Description : second rule
SrcIP address : 10.0.0.1
SrcIP address : 10.0.0.2
DestIP address : 100.0.0.11
DestIP address : 100.0.0.12
Service object group : serviceObj1
Source-zone name : Trust
Destination-zone name : local
SNAT action:
Easy-IP
NO-PAT: N
Reversible: N
Port-preserved: N
NAT counting : 0
Config status: Active
Rule name: rule3
Type : nat
Description : third rule
SrcIP object group : srcObj1
DestIP object group : desObj1
Service object group : serviceObj1
Service object group : serviceObj2
Service object group : serviceObj3
Source-zone name : trust
Vrf : vpn1
SNAT action:
Ipv4 address: 20.0.0.1
Vrf: vpn2
DNAT action:
IPv4 address: 1.1.2.1
Port: 80
Vrf: vpn2
NAT counting : 0
Config status: Active
Rule name: rule4
Type : nat
Description : third rule
SrcIP subnet : 10.1.1.0 24
DestIP subnet : 100.1.3.0 24
SNAT action:
Subnet: 20.0.0.0 24
DNAT action:
IPv4 address: 1.1.2.1
Port: 80
NAT counting : 0
Config status: Active
Rule name: rule5
Type : nat
Description : fifth rule
SrcIP subnet : 10.1.1.0 24
DestIP subnet : 100.1.3.0 24
Source-zone name : Trust
SNAT action:
Object group: obj1
DNAT action:
IPv4 address: 1.1.2.1
NAT counting : 0
Config status: Active
Rule name: 44_1
Type : nat
SrcIP address : 10.1.1.10
DestIP address : 10.1.1.100
SNAT action:
IPv4 address: 2.1.1.100
IPv4 VRRP VRID: 1
DNAT action:
IPv4 address: 2.1.1.15
IPv4 VRRP VRID: 2
NAT counting : 0
Config status: Active
Rule name: 4to6_1
Type : nat64
SrcIP address : 10.1.1.10
DestIP address : 10.1.1.100
SNAT action:
IPv6 address: 3003::100
IPv6 VRRP VRID: 1
DNAT action:
IPv6 address: 3003::15
IPv4 VRRP VRID: 2
NAT counting : 0
Config status: Active
Rule name: 66_1
Type : nat66
SrcIPV6 address : 3001::10
SNAT action:
IPv6 address: 3003::800
IPv6 VRRP VRID: 1
NAT counting : 0
Config status: Active
表1-7 display nat global-policy命令显示信息描述表
|
字段 |
描述 |
|
NAT global-policy information |
全局NAT策略的配置信息 |
|
Totally n NAT global-policy rules |
当前存在n条全局NAT规则 |
|
Rule name |
全局NAT规则的名称 |
|
Type |
NAT规则的类型,包括如下三种: · nat:NAT类型的规则,即只进行IPv4地址之间的相互转换 · nat64:NAT64类型的规则,即只进行IPv4和IPv6地址之间的转换 · nat66:NAT66类型的规则,即只进行IPv6地址之间或IPv6地址前缀之间的转换 |
|
Description |
全局NAT规则的描述信息 |
|
SrcIP object group |
全局NAT规则引用的源地址对象组 |
|
SrcIP address |
全局NAT规则中用于匹配报文源IP地址的IP地址 |
|
SrcIP subnet |
全局NAT规则引用的源网段 |
|
DestIP object group |
全局NAT规则引用的目的地址对象组 |
|
DestIP address |
全局NAT规则中用于匹配报文目的IP地址的IP地址 |
|
DestIP subnet |
全局NAT规则引用的目的网段 |
|
Service object group |
全局NAT规则引用的服务对象组 |
|
Source-zone name |
作为全局NAT规则过滤条件的源安全域 |
|
Destination-zone name |
作为全局NAT规则过滤条件的目的安全域 |
|
Vrf |
作为全局NAT规则过滤条件的VPN实例名称 |
|
IPv4 VRRP VRID |
全局NAT规则绑定的IPv4 VRRP备份组ID |
|
IPv6 VRRP VRID |
全局NAT规则绑定的IPv6 VRRP备份组ID |
|
SNAT action |
全局NAT规则的源IP地址转换方式 |
|
NO-NAT |
不进行地址转换 |
|
Address group ID |
全局NAT规则使用的地址组编号。如果未配置,则不显示该字段 |
|
Address group name |
全局NAT规则使用的地址组名称。如果未配置,则不显示该字段 |
|
Object group |
全局NAT规则使用的地址对象组名称。如果未配置,则不显示该字段 |
|
Easy-IP |
全局NAT规则使用Easy IP方式的动态地址转换。如果未配置,则不显示该字段 |
|
IPv4 address |
源地址转换方式下,转换后的IP地址。如果未配置,则不显示该字段 |
|
IPv6 address |
源地址转换方式下,转换后的IPv6地址。如果未配置,则不显示该字段 |
|
Subnet |
源地址转换方式下,转换后的网段。如果未配置,则不显示该字段 |
|
NO-PAT |
是否使用NO-PAT方式进行地址转换。若其值为“Y”,则表示使用NO-PAT方式;若其值为“N”,则表示使用PAT方式 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则不允许 |
|
Prefix |
NAT64类型规则中源地址转换采用的前缀转换方式: · nat64 v4tov6:使用NAT64前缀将源IPv4地址转换为IPv6地址 · General v4tov6:使用General前缀将源IPv4地址转换为IPv6地址 · General v6tov4:使用General前缀将源IPv6地址转换为IPv4地址 如果未配置前缀方式的源地址转换,则不显示该字段 |
|
Port-preserved |
PAT方式下,是否尽量不转换端口。若其值为“Y”,则表示PAT方式下分配端口时尽量不转换端口;若其值为“N”,则允许并接受PAT方式下分配端口时转换端口 |
|
NPTv6 |
NPTv6方式下,源IPv6地址转换采用的IPv6地址前缀,形式为:translated-ipv6-prefix nptv6-prefix-length。其中,translated-ipv6-prefix表示转换后的地址前缀,nptv6-prefix-length表示前缀长度 如果未配置NPTv6方式的源地址转换,则不显示该字段 |
|
Vrf |
转换后的源地址所属的VPN实例名称 |
|
DNAT action |
全局NAT规则的目的地址转换方式 |
|
IPv4 address |
目的地址转换方式下,转换后的IPv4地址 |
|
IPv6 address |
目的地址转换方式下,转换后的IPv6地址 |
|
Port |
目的地址转换方式下,转换后的端口号或端口范围 |
|
Prefix |
NAT64类型规则中目的地址转换采用的前缀转换方式: · nat64 v6tov4:使用NAT64前缀将目的IPv6地址转换为IPv4地址 · General v4tov6:使用General前缀将目的IPv4地址转换为IPv6地址 · General v6tov4:使用General前缀将目的IPv6地址转换为IPv4地址 · IVI v4tov6:使用IVI前缀将IPv4地址转换为IPv6地址 如果未配置前缀方式的目的地址转换,则不显示该字段 |
|
NPTv6 |
NPTv6方式下,目的IPv6地址转换采用的IPv6地址前缀,形式为:translated-ipv6-prefix nptv6-prefix-length。其中,translated-ipv6-prefix表示转换后的地址前缀,nptv6-prefix-length表示前缀长度 如果未配置NPTv6方式的目的地址转换,则不显示该字段 |
|
Vrf |
转换后的目的地址所属的VPN实例名称 |
|
NAT counting |
全局NAT地址转换的计数信息 |
|
Config status |
显示全局NAT策略配置的状态 · Active:表示生效 · Inactive:表示不生效 |
|
Reasons for inactive status |
当Config status字段为Inactive时,显示配置不生效的原因: · No action:未配置全局NAT规则中的地址转换方式 · The NAT configuration is disabled:NAT规则中的地址转换映射被禁用 · The address-group doesn't have an address or doesn't exist:地址组不存在或地址组中不存在地址成员 · The source object group contains object types that are not supported by NAT:源地址过滤条件引用的对象组中包含NAT不支持的对象类型 · The destination object group contains object types that are not supported by NAT:目的地址过滤条件引用的对象组中包含NAT不支持的对象类型 · The object group for source address translation contains object types that are not supported by NAT:源地址转换方式引用的对象组中包含NAT不支持的对象类型 · The object group for address translation does not have any addresses or the total number of addresses exceeds the limit:用于地址转换的对象组中无地址或地址总数超限 · The NAT64 rule does not have source address translation configuration:NAT64类型规则没有源地址转换的配置 · The NAT64 rule does not have destination address translation configuration:NAT64类型规则没有目的地址转换的配置 · In the NAT64 rule, the IP address after translation and the source IP address in the match criterion are of the same version:NAT64类型规则中,源地址转换前后的IP地址版本相同 · In the NAT64 rule, the IP address after translation and the destination IP address in the match criterion are of the same version:NAT64类型规则中,目的地址转换前后的IP地址版本相同 · In the NAT64 rule, the IP address after source translation and the IP address after destination translation are not of the same version:NAT64类型规则中,转换后的源地址和转换后的目的地址的地址版本不同 · The source IPv6 prefix length in the match criterion is not compliant with the prefix length requirement in prefix-based address translation:源IPv6地址前缀长度不符合NAT64前缀转换的前缀长度要求 · The destination IPv6 prefix length in the match criterion is not compliant with the prefix length requirement in prefix-based address translation:目的IPv6地址前缀长度不符合NAT64前缀转换的前缀长度要求 · The VRF in the match criterion does not exist:NAT规则中引用的VPN实例不存在 · The Snat action VRF is not exist:源地址转换后的IP地址所属的VPN实例不存在 · The Dnat action VRF is not exist:目的地址转换后的IP地址所属的VPN实例不存在 |
display nat log命令用来显示NAT日志功能的配置信息。
【命令】
display nat log
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示NAT日志功能的配置信息。
<Sysname> display nat log
NAT logging:
Log enable : Enabled(ACL 2000)
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Enabled(10 minutes)
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NO-PAT IP usage : Disabled
表1-8 display nat log命令显示信息描述表
|
字段 |
描述 |
|
NAT logging |
NAT日志功能的配置信息 |
|
Log enable |
NAT日志功能开关 · Enabled:表示处于开启状态。该状态下,如果指定了ACL,将同时显示指定的ACL编号或名称 · Disabled:表示处于关闭状态 |
|
Flow-begin |
NAT会话新建日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Flow-end |
NAT会话删除日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Flow-active |
NAT活跃流日志功能开关 · Enabled:表示处于开启状态。该状态下,将同时显示配置的生成活跃流日志的时间间隔(单位为分) · Disabled:表示处于关闭状态 |
|
Port-block-assign |
端口块分配的NAT444用户日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Port-block-withdraw |
端口块回收的NAT444用户日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
Alarm |
NAT444告警信息日志功能开关 · Enabled:表示处于开启状态 · Disabled:表示处于关闭状态 |
|
NO-PAT IP usage |
NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能日志功能开关 · Enabled:表示处于开启状态。该状态下,将同时显示配置的NAT地址组中地址成员使用率的阈值(单位为百分比) · Disabled:表示处于关闭状态 |
【相关命令】
· nat log enable
· nat log flow-active
· nat log flow-begin
· nat log no-pat ip-usage
display nat no-pat命令用来显示NAT NO-PAT表项信息。
【命令】
display nat no-pat { ipv4 | ipv6 } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv4:显示IPv4会话的NO-PAT表项信息。
ipv6:显示IPv6会话的NO-PAT表项信息。
slot slot-number:显示指定成员设备上的NO-PAT表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示显示所有成员设备上的NO-PAT表项信息。
【使用指导】
NO-PAT表项记录了动态分配的一对一地址映射关系,该表项有两个作用:
· 保证后续同方向的新连接使用与第一个连接相同的地址转换关系。
· 反方向的新连接可以使用NO-PAT表进行地址转换。
nat inbound和nat outbound配置的NO-PAT方式在转换报文地址之后都需要创建NO-PAT表。这两种配置创建的NO-PAT表类型不同,不能互相使用,因此分成两类进行显示。
【举例】
# 显示指定slot上IPv4 NAT会话的NO-PAT表项。
<Sysname> display nat no-pat ipv4 slot 1
Slot 1:
Global IPv4: 200.100.1.100
Local IPv4: 192.168.100.100
Global VPN: vpn2
Local VPN: vpn1
Reversible: N
Type : Inbound
Local IPv4: 192.168.100.200
Global IPv4: 200.100.1.200
Reversible: Y
Type : Outbound
Total Ipv4 entries found: 2
# 显示指定slot上IPv6 NAT会话的NO-PAT表项。
<Sysname> display nat no-pat ipv6 slot 1
Slot 1:
Global IPv6: FD01:203:405::1
Local IPv6: 2001:DB8:1::100
Global VPN: vpn2
Local VPN: vpn1
Reversible: N
Type : Inbound
Total Ipv6 entries found: 1
表1-9 display nat no-pat命令显示信息描述表
|
字段 |
描述 |
|
Global IPv4 |
外网IPv4地址 |
|
Local IPv4 |
内网IPv4地址 |
|
Global IPv6 |
外网IPv6地址 |
|
Local IPv6 |
内网IPv6地址 |
|
Local VPN |
内网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Global VPN |
外网地址所属的MPLS L3VPN的实例名称。如果不属于任何VPN实例,则不显示该字段 |
|
Reversible |
是否允许反向地址转换。若其值为“Y”,则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;若其值为“N”,则表示不允许 |
|
Type |
NO-PAT表项类型 · Inbound:入方向动态地址转换过程中创建的NO-PAT表项 · Outbound:出方向动态地址转换过程中创建的NO-PAT表项 |
|
Total Ipv4 entries found |
当前查找到的IPv4 NO-PAT表项的个数 |
|
Total Ipv6 entries found |
当前查找到的IPv6 NO-PAT表项的个数 |
【相关命令】
· nat inbound
· nat outbound
display nat no-pat ip-usage命令用来显示NO-PAT方式下NAT地址组中地址成员的使用率。
【命令】
display nat no-pat ip-usage [ address-group { group-id | name group-name } | object-group object-group-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
address-group:显示指定地址组中地址成员的使用率。
group-id:地址组的编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
object-group:显示指定对象组中地址成员的使用率。
object-group-name:对象组的名称,为1~63个字符的字符串,不区分大小写。
slot slot-number:显示指定成员设备上NO-PAT方式下地址成员的使用率,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上NO-PAT方式下地址成员的使用率。
【使用指导】
NO-PAT方式可以使用NAT地址组或地址对象组中地址作为转换后的地址资源。如果未指定任何参数,将显示NO-PAT方式下所有类型的地址资源中地址成员的使用率。
【举例】
# 显示指定slot上NO-PAT方式下所有类型的地址资源中地址成员的使用率。
<Sysname> display nat no-pat ip-usage slot 1
CPU 0 on slot 1:
Totally 2 pieces of information about address usage.
Address group ID: 1
Total IP addresses :10
Used IP addresses :0
Unused IP addresses :10
NO-PAT IP usage :0%
Object group name: obj1
Total IP addresses :10
Used IP addresses :0
Unused IP addresses :10
NO-PAT IP usage :0%
表1-10 表2-1 display nat no-pat usage命令显示信息描述
|
字段 |
描述 |
|
Address group |
地址组的编号 |
|
Total IP addresses |
地址组中IP地址总数 |
|
Used IP addresses |
地址组中已使用的IP地址数 |
|
Unused IP addresses |
地址组中未使用的IP地址数 |
|
NO-PAT IP usage |
NO-PAT方式下NAT地址组中地址成员的使用率 |
|
channel |
FPGA(Field-Programmable Gate Array,现场可编程门阵列)编号 |
【相关命令】
· nat log no-pat ip-usage threshold
display nat periodic-statistics命令用来显示NAT定时统计功能的计数信息。
【命令】
display nat periodic-statistics { address-group [ group-id | name group-name ] | ip global-ip } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
address-group:显示指定地址组的NAT定时统计功能的计数信息。
group-id:地址组的编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
ip global-ip:显示指定IP地址的NAT定时统计功能的计数信息。global-ip表示地址组成员的IP地址。
slot slot-number:显示指定成员设备上的NAT定时统计功能的计数信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则显示所有成员设备上的NAT定时统计功能的计数信息。
【使用指导】
显示指定地址组的NAT定时统计功能的计数信息时,如果不指定group-id和name参数,则显示所有地址组的NAT定时统计功能的计数信息。
【举例】
# 显示指定slot上所有地址组的NAT定时统计功能的计数信息。
<Sysname> display nat periodic-statistics address-group slot 1
Slot 1:
Address group ID: 1
Total NAT sessions : 10
Total NAT port-block assign failures : 0
Global IP NAT sessions NAT port-block assign failures
20.1.1.18 0 0
20.1.1.19 0 0
20.1.1.20 0 0
# 显示指定slot上地址组成员IP地址为202.38.6.12的NAT定时统计功能的计数信息。
<Sysname> display nat periodic-statistics ip 202.38.6.12 slot 1
Slot 1:
Global IP: 202.38.6.12
NAT sessions : 10
NAT port-block assign failures : 0
表1-11 display nat periodic-statistics命令显示信息描述表
|
字段 |
描述 |
|
Address group ID |
地址组编号。如果指定的地址组不存在,则显示为“---” |
|
Total NAT sessions |
地址组会话总数 |
|
Total NAT port-block assign failures |
端口块分配冲突总数 |
|
Global IP |
地址组成员的IP地址。如果指定的地址组成员的IP地址不存在,则显示为“---” |
|
NAT sessions |
地址组会话计数 |
|
NAT port-block assign failures |
端口块分配冲突计数 |
【相关命令】
· nat periodic-statistics enable
· nat periodic-statistics interval
· reset nat periodic-statistics
display nat port-block命令用来显示端口块表项。
【命令】
display nat port-block { dynamic [ address-group { group-id | name group-name } ] [ ds-lite-b4 ] | static [ port-block-group group-id ] } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
dynamic:显示动态端口块表项。
address-group:显示指定地址组的端口块表项。如果不指定该参数,则显示所有地址组的端口块表项信息。
group-id:地址组的编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
ds-lite-b4:显示基于DS-Lite B4地址的端口块表项。
static:显示静态端口块表项。
port-block-group group-id:显示指定NAT端口块组的端口块表项。group-id为NAT端口块组的编号,取值范围为0~65535。如果不指定该参数,则显示所有NAT端口块组的端口块表项信息。
slot slot-number:显示指定成员设备上的端口块表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则表示显示所有成员设备上的端口块表项信息。
【举例】
# 显示指定slot上的静态端口块表项。
<Sysname> display nat port-block static slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 100.100.100.111 202.202.100.101 10001-10256 0
--- 100.100.100.112 202.202.100.101 10257-10512 0
--- 100.100.100.113 202.202.100.101 10513-10768 0
--- 100.100.100.113 202.202.100.101 10769-11024 0
Total mappings found: 4
# 显示指定slot上的动态端口块表项。
<Sysname> display nat port-block dynamic slot 1
Slot 1:
Local VPN Local IP Global IP Port block Connections BackUp
--- 101.1.1.12 192.168.135.201 10001-11024 1 N
Total mappings found: 1
# 显示指定slot上的基于DS-Lite B4地址的端口块表项。
<Sysname> display nat port-block dynamic ds-lite-b4 slot 1
Slot 1:
Local VPN DS-Lite B4 addr Global IP Port block Connections BackUp
--- 2000::2 192.168.135.201 10001-11024 1 N
Total mappings found: 1
表1-12 display nat port-block 命令显示信息描述表
|
字段 |
描述 |
|
Local VPN |
私网IP地址所属VPN实例,“---”表示不属于任何VPN实例 |
|
Local IP |
私网IP地址 |
|
DS-Lite B4 addr |
DS-Lite B4设备的IPv6地址 |
|
Global IP |
公网IP地址 |
|
Port block |
端口块(起始端口-结束端口) |
|
Connections |
当前使用本端口块中的端口建立的连接数 |
|
BackUp |
HA组网中,是否为对端设备备份过来的端口块: · Y:表示对端设备备份过来的端口块 · N:表示本端设备创建的端口块 |
display nat port-block-usage命令用来显示动态NAT444地址组中端口块的使用率。
【命令】
display nat port-block-usage [ address-group group-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
address-group group-id:显示某一指定地址组的端口块使用率。group-id表示地址组编号,取值范围为0~65535。若不指定该参数,则显示所有地址组的端口块使用率。
slot slot-number:显示指定成员设备上动态NAT444地址组中端口块的使用率,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上动态NAT444地址组中端口块的使用率。
【举例】
# 显示指定slot上动态NAT444地址组中端口块的使用率。
<Sysname> display nat port-block-usage slot 1
Slot 1:
Address group 0 on channel 0:
Total port block entries :10
Active port block entries:9
Current port block usage :90%
Total NAT address groups found: 1
表1-13 display nat port-block-usage命令显示信息描述表
|
字段 |
描述 |
|
Address group |
地址组的编号 |
|
channel |
FPGA(Field-Programmable Gate Array,现场可编程门阵列)编号 |
|
Total port block entries |
地址组中端口块总数 |
|
Active port block entries |
地址组中已分配端口块数 |
|
Current port block usage |
地址组中当前端口块使用率 |
|
Total NAT address groups found |
当前地址组的个数 |
display nat probe address-group命令用来显示NAT地址组中地址成员的检测信息。
【命令】
display nat probe address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不指定本参数,则显示所有地址组中地址成员的检测信息。
【使用指导】
该命令显示的排除地址只包括NQA模板检测得到的不可用于NAT转换的地址,不包含exclude-ip命令配置的排除地址。
【举例】
# 显示所有地址组中地址成员的检测信息。
<Sysname> display nat probe address-group
Address group ID: 1
Address-group name: dududu1
Address-group probe status: Partial available
Detected IP count: 5
Excluded IP count: 4
IP address Excluded Excluded time
1.1.1.1 YES 2017/12/26 09:30:39
1.1.1.2 YES 2017/12/26 09:30:39
1.1.1.3 YES 2017/12/26 09:30:39
1.1.1.4 YES 2017/12/26 09:30:39
1.1.1.5 NO ----
Address group ID: 2
Address-group name: dududu2
Address-group probe status: Partial available
Detected IP count: 5
Excluded IP count: 4
IP address Excluded Excluded time
2.1.1.1 YES 2017/12/26 09:31:39
2.1.1.2 YES 2017/12/26 09:31:39
2.1.1.3 YES 2017/12/26 09:31:39
2.1.1.4 YES 2017/12/26 09:31:39
2.1.1.5 NO ----
# 显示编号为1的NAT地址组的检测信息。
<Sysname> display nat probe address-group 1
Address group ID: 1
Address-group name: dududu
Address-group probe status: Partial available
Detected IP count: 5
Excluded IP count: 4
IP address Excluded Excluded time
1.1.1.1 YES 2017/12/26 09:30:39
1.1.1.2 YES 2017/12/26 09:30:39
1.1.1.3 YES 2017/12/26 09:30:39
1.1.1.4 YES 2017/12/26 09:30:39
1.1.1.5 NO ----
表1-14 display nat probe address-group命令显示信息描述表
|
字段 |
描述 |
|
Address group ID |
地址组编号 |
|
Address group name |
地址组名称。如果没有配置,则不显示该字段 |
|
Address-group probe status |
地址池检测状态,取值如下: · Inactive:未开启地址检测功能 · In progress:地址检测中 · All available:地址组中地址全部可用 · Partial available:地址组中地址部分可用 · None available:地址组中地址全部不可用 |
|
Detected IP count |
检测的IP地址个数 |
|
Excluded IP count |
地址组中不能用于地址转换的IP地址的个数 |
|
IP address |
地址组中的地址成员 |
|
Excluded |
地址组中的地址是否被排除,取值如下: · YES:表示地址组中的IP地址被排除,不能用于地址转换 · NO:表示地址组中的IP地址未被排除,可以用于地址转换 |
|
Excluded time |
地址组中的IP地址被排除的时间 |
【相关命令】
· exclude-ip
· probe
display nat session命令用来显示NAT会话,即经过NAT地址转换处理的会话。
【命令】
display nat session [ [ responder ] { source-ip source-ip-start [ source-ip-end ] | destination-ip destination-ip-start [ destination-ip-end ] | source-port source-port | destination-port destination-port | protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } | application application-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmp-reply | icmp-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | interface { interface-name | interface-type interface-number } } * [ vpn-instance vpn-instance-name ] ] [ slot slot-number ] [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
responder:表示以响应方的信息筛选显示NAT会话表项。若不指定该参数时,则以发起方的信息筛选显示NAT会话表项。
source-ip source-ip-start [ source-ip-end ]:显示一个源IP地址或一段源IP地址范围的NAT会话表项。仅指定source-ip-start表示一个源IP地址;同时指定source-ip-start和source-ip-end表示一段源IP地址,source-ip-start表示一段源IP地址的起始地址,source-ip-end表示一段源IP地址的结束地址。指定的源IP地址应为创建NAT会话的报文的源IP地址。
destination-ip destination-ip-start [ destination-ip-end ]:显示一个目的IP地址或一段目的IP地址范围的NAT会话表项。仅指定destination-ip-start表示一个目的IP地址;同时指定destination-ip-start和destination-ip-end表示一段目的IP地址,destination-ip-start表示一段目的IP地址的起始地址,destination-ip-end表示一段目的IP地址的结束地址。指定的目的IP地址应为创建会话的报文的目的IP地址。
source-port source-port:显示指定源端口号的NAT会话表项。其中,source-port表示源端口号,取值为0~65535。
destination-port destination-port:显示指定目的端口号的NAT会话表项。其中,destination-port表示目的端口号,取值为0~65535。
protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite }:显示指定协议类型的NAT会话表项。其中,IPv4传输层协议类型包括:DCCP、ICMP、RawIP、SCTP、TCP、UDP和UDP-Lite。
application application-name:显示指定应用的NAT会话表项。application-name表示应用的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。
interface interface-type interface-number:显示指定接口的NAT会话表项。interface-type interface-number表示接口类型和接口编号。
state:显示指定状态的IPv4单播会话表项。
dccp-closereq:表示DCCP协议关闭会话请求。
dccp-closing:表示DCCP协议正在关闭会话。
dccp-open:表示DCCP协议开启会话。
dccp-partopen:表示DCCP协议部分会话开启。
dccp-request:表示DCCP协议会话请求状态。
dccp-respond:表示DCCP协议会话回应状态。
dccp-timewait:表示DCCP协议处于等待时段。
icmp-reply:表示ICMP协议会话应答状态。
icmp-request:表示ICMP协议会话请求状态。
rawip-open:表示RAWIP协议会话开启状态。
rawip-ready:表示RAWIP协议会话准备状态。
sctp-closed:表示SCTP协议会话关闭状态。
sctp-cookie-echoed:表示SCTP协议关联尚未完全建立状态。
sctp-cookie-wait:表示SCTP协议关联尚处于等待状态。
sctp-established:表示SCTP协议会话已完全建立。
sctp-shutdown-ack-sent:表示SCTP协议关闭应答会话发送状态。
sctp-shutdown-recd:表示SCTP协议关闭会话接收状态。
sctp-shutdown-sent:表示SCTP协议关闭会话发送状态。
tcp-close:表示TCP协议会话关闭状态。
tcp-close-wait:表示TCP协议会话处于关闭等待状态。
tcp-est:表示TCP协议会话建立状态。
tcp-fin-wait:表示TCP协议会话处于释放等待状态。
tcp-last-ack:表示TCP协议会话处于最后应答状态。
tcp-syn-recv:表示TCP协议会话服务端被动打开后,接收到了客户端的SYN并且发送了ACK时的状态。
tcp-syn-sent:表示TCP协议会话已发送SYN,等待ACK状态。
tcp-syn-sent2:表示TCP协议会话第二次请求连接状态。
tcp-time-wait:表示TCP协议会话主动关闭方在收到被动关闭方的FIN包后并返回ACK的状态。
udp-open:表示UDP协议会话报文处于开启状态。
udp-ready:表示UDP协议会话处于准备状态。
udplite-open:表示UDPLITE协议会话处于开启状态。
udplite-ready:表示UDPLITE协议会话处于准备状态。
vpn-instance vpn-instance-name:显示指定目的VPN实例的会话。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须是报文中携带的VPN实例。如果不指定该参数,则显示目的IP不属于任何VPN实例的会话。
slot slot-number:显示指定成员设备上的NAT会话,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的NAT会话。
brief:显示NAT会话的简要信息。
verbose:显示NAT会话的详细信息。
【使用指导】
如果不指定任何参数,则显示所有NAT会话发起方的详细信息。
【举例】
# 显示指定slot上NAT会话的详细信息。
<Sysname> display nat session slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 192.168.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: SrcZone
Responder:
Source IP/port: 192.168.1.55/22
Destination IP/port: 192.168.1.10/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: DestZone
State: TCP_SYN_SENT
Application: SSH
Rule ID: -/-/-
Rule name:
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 显示NAT会话的简要信息。
<Sysname> display nat session brief
Slot 1:
Protocol Source IP/port Destination IP/port Global IP/port
TCP 2.1.1.20/1351 10.1.1.110/21 2.1.1.50/1025
Total sessions found: 1
表1-15 display nat session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方的会话信息 |
|
Responder |
响应方的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
Global IP/port |
公网IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite隧道对端地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN instance/VLAN ID/Inline ID |
会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
传输层协议类型,包括:DCCP、ICMP、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
报文的入接口 |
|
Source security zone |
源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
|
State |
会话状态 |
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
Rule ID |
安全策略规则的ID |
|
Rule name |
安全策略规则的名称 |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
当前查找到的会话的总数 |
【相关命令】
· reset nat session
display nat statistics命令用来显示NAT统计信息。
【命令】
display nat statistics [ summary ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
summary:显示NAT统计信息的摘要信息。不指定该参数时,显示NAT统计信息的详细信息。
slot slot-number:显示指定成员设备上的NAT统计信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的NAT统计信息。
【举例】
# 显示所有NAT统计信息的详细信息。
<Sysname> display nat statistics
Slot 1:
Total session entries: 100
Session creation rate: 0
Total EIM entries: 1
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 10
Total dynamic port block entries: 15
Active static port block entries: 0
Active dynamic port block entries: 0
表1-16 display nat statistics命令显示信息描述表
|
字段 |
描述 |
|
Total session entries |
NAT会话表项个数 |
|
Session creation rate |
新建NAT会话的速率,单位为每秒个 |
|
Total EIM entries |
EIM表项个数 |
|
Total inbound NO-PAT entries |
入方向的NO-PAT表项个数 |
|
Total outbound NO-PAT entries |
出方向的NO-PAT表项个数 |
|
Total static port block entries |
当前配置创建的静态端口块表项个数 |
|
Total dynamic port block entries |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块 |
|
Active static port block entries |
当前正在使用的静态端口块表项个数 |
|
Active dynamic port block entries |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
# 显示所有NAT统计信息的概要信息。
<Sysname> display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
2 0 0 0 1572720 0 0
表1-17 display nat statistics summary命令显示信息描述表
|
字段 |
描述 |
|
Sessions |
NAT会话表项个数 |
|
EIM |
EIM表项个数 |
|
SPB |
当前配置创建的静态端口块表项个数 |
|
DPB |
当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块 |
|
ASPB |
当前正在使用的静态端口块表项个数 |
|
ADPB |
当前已创建的动态端口块表项个数,即已分配的动态端口块个数 |
exclude-ip命令用来配置禁止用于地址转换的IP地址。
undo exclude-ip命令用来恢复禁止用于地址转换的IP地址。
【命令】
exclude-ip start-address end-address
undo exclude-ip start-address end-address
【缺省情况】
不存在被禁止用于地址转换的IP地址。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
NAT地址组中,某些地址成员不能用做地址转换时,可以使用该命令将其禁止。
多次执行exclude-ip命令,最多可以配置100个不用于地址转换的地址范围,各地址范围间的地址不能重叠,且start-address和end-address必须处于同一address命令添加的地址成员范围内。每个不用于地址转换的地址范围中,最多包含4096个地址。
【举例】
# 配置NAT地址组2中禁止用于地址转换的IP地址为:10.1.1.2,10.1.1.3~10.1.1.5。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-address-group-2] exclude-ip 10.1.1.2 10.1.1.2
[Sysname-address-group-2] exclude-ip 10.1.1.3 10.1.1.5
【相关命令】
· address
global-ip-pool命令用来添加一个公网地址成员。
undo global-ip-pool命令用来删除一个公网地址成员。
【命令】
global-ip-pool start-address end-address
undo global-ip-pool start-address [ end-address ]
【缺省情况】
不存在公网地址成员。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:公网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
在NAT444端口块静态映射中,端口基于公网地址成员的IP地址为私网地址成员的IP地址分配端口块。一个公网IP地址可对应的端口块个数,由端口块组配置的公网地址端口范围和端口块大小决定(端口范围除以端口块大小)。
一个端口块组内,一次添加的公网地址成员的数量不能超过256个,且各公网地址成员之间的IP地址不能重叠。
不同端口块组间的公网地址成员的IP地址可以重叠,但要保证在有地址重叠时端口范围不重叠。
【举例】
# 在端口块组1中添加一个公网地址成员,IP地址从202.10.1.1到202.10.1.10。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] global-ip-pool 202.10.1.1 202.10.1.10
【相关命令】
· nat port-block-group
local-ip-address命令用来添加一个私网地址成员。
undo local-ip-address命令用来删除一个私网地址成员。
【命令】
local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
undo local-ip-address start-address end-address [ vpn-instance vpn-instance-name ]
【缺省情况】
不存在私网地址成员。
【视图】
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:私网地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址。
vpn-instance vpn-instance-name:私网地址成员所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果未指定本参数,则表示私网地址成员不属于任何一个VPN实例。
【使用指导】
私网地址成员的IP地址作为端口块的使用者,基于端口块组配置的公网地址成员的IP地址为其分配端口块。在一个端口块组内,一个私网IP地址只分配一个端口块。
同一个端口块组内,可配置多个私网地址成员:
· 属于同一VPN实例的各私网地址成员之间的IP地址不能重叠。
· 不属于任何VPN实例的私网地址成员之间的IP地址不能重叠。
如果一个端口块组中的私网地址总数超过可分配的端口块总数(端口范围除以端口块大小),则在进行NAT444端口块静态映射时,超出部分的私网地址将无法分配到端口块。
【举例】
# 在端口块组1中添加一个私网地址成员,IP地址从172.16.1.1到172.16.1.255。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] local-ip-address 172.16.1.1 172.16.1.255
【相关命令】
· nat port-block-group
nat address-group命令用来创建地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo nat address-group命令用来删除指定的地址组。
【命令】
nat address-group group-id [ name group-name ]
undo nat address-group group-id
【缺省情况】
不存在地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:地址组编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,区分大小写。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时,其源地址将被转换为地址组成员中的某个地址。
【举例】
# 创建一个地址组,编号为1,名称为abc。
<Sysname> system-view
[Sysname] nat address-group 1 name abc
【相关命令】
· address
· display nat address-group
· display nat all
· nat inbound
· nat outbound
nat alg命令用来开启指定或所有协议类型的NAT ALG功能。
undo nat alg命令用来关闭指定或所有协议类型的NAT ALG功能。
【命令】
nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sctp | sip | sqlnet | sunrpc | tftp | xdmcp }
undo nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | sunrpc | tftp | xdmcp }
【缺省情况】
DNS、FTP、ICMP差错报文、PPTP、RTSP协议类型的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有可指定的协议的ALG功能。
dns:表示DNS协议的ALG功能。
ftp:表示FTP协议的ALG功能。
h323:表示H323协议的ALG功能。
icmp-error:表示ICMP差错控制报文的ALG功能。
ils:表示ILS(Internet Locator Service,互联网定位服务)协议的ALG功能。
mgcp:表示MGCP(Media Gateway Control Protocol,媒体网关控制协议)协议的ALG功能。
nbt:表示NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)协议的ALG功能。
pptp:表示PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)协议的ALG功能。
rsh:表示RSH(Remote Shell,远程外壳)协议的ALG功能。
rtsp:表示RTSP(Real Time Streaming Protocol,实时流协议)协议的ALG功能。
sccp:表示SCCP(Skinny Client Control Protocol,瘦小客户端控制协议)协议的ALG功能。
sctp:表示SCTP(Stream Control Transmission Protocol,流控制传输协议)协议的ALG功能。
sip:表示SIP(Session Initiation Protocol,会话初始协议)协议的ALG功能。
sqlnet:表示SQLNET协议的ALG功能。
sunrpc:表示SUNRPC(Sun Remote Procedure Call,远程调用)协议的ALG功能。
tftp:表示TFTP协议的ALG功能。
xdmcp:表示XDMCP(X Display Manager Control Protocol,X显示监控)协议的ALG功能。
【使用指导】
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换,以保证后续数据连接的正确建立。
【举例】
# 开启FTP协议的ALG功能。
<Sysname> system-view
[Sysname] nat alg ftp
【相关命令】
· display nat all
nat configuration-for-new-connection enable命令用来开启地址转换配置变更仅对新连接生效的功能。
undo configuration-for-new-connection enable命令用来关闭地址转换配置变更仅对新连接生效功能。
【命令】
nat configuration-for-new-connection enable
undo nat configuration-for-new-connection enable
【缺省情况】
地址转换配置变更仅对新连接生效的功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,当NAT配置发生变更时(例如添加、删除、修改或移动NAT规则),对于已经建立的连接,配置变更可能会导致该连接上的流量匹配到了新的NAT规则,此时需要重新建立连接。
如果不希望NAT配置变更影响已经建立的连接,请配置nat configuration-for-new-connection enable命令。配置本命令后,NAT配置变更时,对于已经建立的连接上的流量,设备仍然使用配置变更前的地址转换规则进行地址转换。对于新建立的连接上的流量,根据NAT配置变更后的NAT规则优先级顺序进行流量匹配,并使用匹配上的NAT规则进行地址转换。
使用nat configuration-for-new-connection enable命令时,需注意其潜在的局限性,特别是与NAT444、NO-PAT、EIM等配置共同使用时。该命令启用后,现有连接产生的流量所对应的NAT会话不会因NAT配置更改而自动删除。然而,NAT444、NO-PAT、EIM配置所生成的NAT表项依赖于会话的删除机制来移除。这可能导致在NAT配置变更后,原有的NAT表项仍然残留在系统中。这些残留的NAT表项有可能引起一系列问题,包括配置变更后表项统计数据不准、新建连接流量无法按照最新配置进行转换,甚至可能导致新建连接无法成功建立。因此,请谨慎使用nat configuration-for-new-connection enable命令。
【举例】
# 开启NAT配置变更仅对新连接生效的功能。
<Sysname> system-view
[Sysname] nat configuration-for-new-connection enable
【相关命令】
· display nat all
nat dns-map命令用来配置一条域名到内部服务器的映射。
undo nat dns-map命令用来删除一条域名到内部服务器的映射。
【命令】
nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port
undo nat dns-map domain domain-name
【缺省情况】
不存在域名到内部服务器的映射。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain domain-name:指定内部服务器的合法域名。domain-name表示内部服务器的域名,由“.”分隔的字符串组成(如example.com),每个字符串的长度不超过63个字符,包括“.”在内的总长度不超过253个字符。不区分大小写,字符串中可以包含字母、数字、“-”、“_”或“.”。
protocol pro-type:指定内部服务器的协议类型。pro-type表示具体的协议类型,取值为tcp或udp。
interface interface-type interface-number:表示使用指定接口的地址作为内部服务器的外网地址。interface-type interface-number表示接口类型和接口编号。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。global-ip表示外网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号,可输入的形式如下:
数字:取值范围为1~65535。协议名称:为1~15个字符的字符串,例如ftp、telnet等。
【使用指导】
NAT的DNS mapping功能需要和内部服务器配合使用,主要应用于DNS服务器在外网,应用服务器在内网(在NAT设备上有对应的nat server配置),内网用户需要通过域名访问内网应用服务器的场景。NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
设备可支持配置多条域名到内部服务器的映射。
【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.example.com,对外的IP地址为202.112.0.1,服务端口号为12345。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
<Sysname> system-view
[Sysname] nat dns-map domain www.example.com protocol tcp ip 202.112.0.1 port 12345
【相关命令】
· display nat all
· display nat dns-map
· nat server
nat global-policy命令用来创建全局NAT策略,并进入全局NAT策略视图。如果指定的全局NAT策略已经存在,则直接进入全局NAT策略视图。
undo nat global-policy命令用来删除全局NAT策略及全局NAT策略视图下的所有配置。
【命令】
nat global-policy
undo nat global-policy
【缺省情况】
不存在全局NAT策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
全局NAT策略根据报文的属性对报文进行地址转换。全局NAT策略通过NAT规则识别报文的属性,全局NAT策略中可以包含多条NAT规则,每条NAT规则中均可配置多种过滤条件,具体包括:源IP地址、目的IP地址、服务类型、源安全域和目的安全域。设备通过NAT规则中的过滤条件识别出特定的报文,并根据预先设定的动作类型对其源地址或者目的地址进行地址转换。
使用undo nat global-policy命令删除全局NAT策略及全局NAT策略视图下的所有配置时,系统会提示确认,确认后才会删除全局NAT策略及全局NAT策略视图下的所有配置。
【举例】
# 创建全局NAT策略,并进入全局NAT策略视图。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy]
【相关命令】
· display nat all
· display nat global-policy
nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp命令用来配置全局NAT策略中NAT类型的SNAT+DNAT规则的源IP地址转换和目的IP转换先于安全策略匹配,以便与老版本兼容。
undo nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp命令用来恢复缺省情况。
【命令】
nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp
undo nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp
【缺省情况】
设备先进行全局NAT策略中NAT类型的SNAT+DNAT规则的目的IP转换,然后使用转换前的源地址和转换后的目的地址匹配安全策略,最后进行全局NAT策略中NAT类型的SNAT+DNAT规则的源IP转换。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本命令仅用于兼容老版本,在软件升级过程中,设备会自从生成并下发nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp命令并保存此配置。不建议用户手工配置本命令。
【举例】
# 配置全局NAT策略中NAT类型的SNAT+DNAT规则的源IP地址转换和目的IP转换先于安全策略匹配,以便与老版本兼容。
<Sysname> system-view
[Sysname] nat global-policy compatible-previous-version rule-type ipv4-snat-and-dnat translate-before-secp
nat gratuitous-arp enable命令用来开启NAT发送免费ARP报文通告公网IP地址与MAC地址对应关系的功能。
undo nat gratuitous-arp enable命令用来关闭NAT发送免费ARP报文通告公网IP地址与MAC地址对应关系的功能。
【命令】
nat gratuitous-arp enable
undo nat gratuitous-arp enable
【缺省情况】
NAT发送免费ARP报文通告公网IP地址与MAC地址对应关系的功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,NAT模块会发送免费ARP报文,向同一局域网内所有节点通告NAT公网IP地址与MAC地址的对应关系。当NAT公网地址较多时,发送免费ARP耗时较长,可能会导致ARP业务异常。这种情况下,为了保证ARP业务正常运行,可以暂时关闭此功能。关闭此功能后,NAT不再发送免费ARP报文,但会回应同一局域网内其他节点发送的免费ARP。
关闭NAT发送免费ARP报文通告公网IP地址与MAC地址对应关系的功能后,当NAT公网地址或NAT公网地址对应的VRRP变更、接口MAC或虚MAC变更、等价出口的链路震荡等,NAT模块不会主动发送免费ARP,可能会导致同一局域网内其他节点不能及时更新MAC地址表项,从而引发业务异常。请谨慎使用。
【举例】
# 关闭NAT发送免费ARP报文通告公网IP地址与MAC地址对应关系的功能。
<Sysname> system-view
[Sysname] undo nat gratuitous-arp enable
【相关命令】
· display nat all
nat icmp-error reply命令用来开启NAT转换失败时发送ICMP差错报文功能。
undo nat icmp-error reply命令用来恢复缺省情况。
【命令】
nat icmp-error reply
undo nat icmp-error reply
【缺省情况】
NAT转换失败不发送ICMP差错报文。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,NAT设备对ICMP报文的地址转换失败时,不会发送ICMP差错报文,从而导致使用ICMP协议报文的应用无法感知此事件。开启本功能后,NAT设备对ICMP报文地址转换失败时,会发送ICMP差错报文,使用ICMP协议报文的应用根据收到的ICMP差错报文发现和定位问题。
【举例】
# 开启设备在NAT转换失败时,发送ICMP差错报文功能。
<Sysname> system-view
[Sysname] nat icmp-error reply
nat log alarm命令用来开启NAT告警信息日志功能。
undo nat log alarm命令用来关闭NAT告警信息日志功能。
【命令】
nat log alarm
undo nat log alarm
【缺省情况】
NAT告警信息日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在NAT地址转换中,如果可为用户分配的NAT资源用尽,后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。本命令用来在NAT资源不足时输出告警日志。在NO-PAT动态映射中,NAT资源是指公网IP地址;在EIM模式的PAT动态映射中,NAT资源是指公网IP地址和端口;在NAT444地址转换中,NAT资源是指公网IP、端口块和端口块中的端口。
NAT444端口块动态映射方式中,当端口块分配失败时,系统会输出日志信息。
NAT444端口块动态映射方式中,当端口块中的端口资源都用尽但还是无法满足用户的地址转换需求时,系统会输出日志信息。
对于NAT告警日志,在配置NAT告警信息日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT告警信息日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。
只有开启NAT日志功能(通过nat log enable命令)之后,NAT告警信息日志功能才能生效。
【举例】
# 开启NAT告警信息日志功能。
<Sysname> system-view
[Sysname] nat log alarm
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log enable命令用来开启NAT日志功能。
undo nat log enable用来关闭NAT日志功能。
【命令】
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat log enable
【缺省情况】
NAT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定ACL的编号或名称。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【使用指导】
必须开启NAT日志功能,NAT会话日志功能(包括NAT新建会话、NAT删除会话和NAT活跃流的日志功能)、NAT444用户日志功能(包括NAT444端口块分配和NAT444端口块回收的日志功能)、NAT告警信息日志功能和NAT NO-PAT日志功能才能生效。
acl参数只对NAT会话日志功能有效,对其他NAT日志功能无效。如果指定了ACL,则只有符合ACL permit规则的数据流才有可能触发输出NAT会话日志;如果没有指定ACL,则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志。
【举例】
# 开启NAT日志功能。
<Sysname> system-view
[Sysname] nat log enable
【相关命令】
· display nat all
· display nat log
· nat log alarm
· nat log flow-active
· nat log flow-begin
· nat log flow-end
· nat log no-pat ip-usage
· nat log port-block-assign
· nat log port-block-withdraw
nat log flow-active命令用来开启NAT活跃流日志功能,并设置生成活跃流日志的时间间隔。
undo nat log flow-active命令用来关闭NAT活跃流的日志功能。
【命令】
nat log flow-active time-value
undo nat log flow-active
【缺省情况】
NAT活跃流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
time-value:表示触发输出NAT活跃流日志的时间间隔,取值范围为1~6000,单位为分钟。
【使用指导】
对于一些长时间没有断开的NAT会话(即活跃流),如果需要定期记录其连接情况,则可以通过活跃流日志功能来实现。
开启NAT活跃流日志功能后,对于NAT活跃流,每经过指定的时间间隔,设备就会记录一次NAT日志。
只有开启NAT日志功能之后,活跃流日志功能才能生效。
【举例】
# 开启NAT活跃流日志功能,并设置输出NAT活跃流日志的时间间隔为10分钟。
<Sysname> system-view
[Sysname] nat log flow-active 10
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-begin命令用来开启NAT新建会话的日志功能,即新建NAT会话时,输出NAT日志。
undo nat log flow-begin命令用来关闭NAT新建会话的日志功能。
【命令】
nat log flow-begin
undo nat log flow-begin
【缺省情况】
NAT新建会话的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有开启NAT日志功能之后,NAT新建会话的日志功能才能生效。
【举例】
# 开启NAT新建会话的日志功能。
<Sysname> system-view
[Sysname] nat log flow-begin
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-end命令用来开启NAT删除会话的日志功能。
undo nat log flow-end命令用来关闭NAT删除会话的日志功能。
【命令】
nat log flow-end
undo nat log flow-end
【缺省情况】
NAT删除会话的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
只有开启NAT日志功能之后,NAT删除会话的日志功能才能生效。
【举例】
# 开启NAT删除会话的日志功能。
<Sysname> system-view
[Sysname] nat log flow-end
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log flow-match命令用来开启NAT快速输出新建流日志的功能。
undo nat log flow-match命令用来关闭NAT输出新建流日志的功能。
【命令】
nat log flow-match
undo nat log flow-match
【缺省情况】
NAT输出新建流日志的功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本功能用于需要快速输出NAT新建流日志的场景。
NAT支持将新建流日志快速输出到日志主机或DAC(Data Analysis Center,数据分析中心),从而满足简化配置、快速输出NAT新建流日志的需求,具体如下:
· 对于输出到日志主机的场景,配置customlog host v2命令并设置导出NAT日志后,如果未开启NAT新建流日志的快速输出功能,则需要配置nat log enable命令和nat log flow-begin命令才能输出NAT新建流日志到日志主机。开启NAT新建流日志的快速输出功能后,则无需配置nat log enable命令和nat log flow-begin命令即可输出NAT新建流日志到日志主机。
· 对于输出到DAC的场景,配置dac log-collect service nat flow_log enable命令后,如果未开启NAT新建流日志的快速输出功能,则需要配置nat log enable命令和nat log flow-begin命令才能输出NAT新建流日志到DAC。开启NAT新建流日志的快速输出功能后,则无需配置nat log enable命令和nat log flow-begin命令即可输出NAT新建流日志到DAC。关于DAC的详细介绍,请参见“DPI深度安全配置指导”中的“数据分析中心”。
NAT新建流日志的快速输出功能处于开启状态的情况下,如果配置了nat log enable命令和nat log flow-begin命令,则NAT设备新建流时会同时生成如下类型的日志:
· NAT_FLOW
· NAT_IPV4_MATCH
· NAT_IPV6_MATCH
【举例】
# 开启NAT输出新建流日志的功能。
<Sysname> system-view
[Sysname] nat log flow-match
【相关命令】
· customlog host v2(网络管理和监控命令参考/快速日志输出)
· dac log-collect enable(DPI深度安全命令参考/数据分析中心)
nat log no-pat ip-usage命令用来开启NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能,并设置NAT地址组中地址成员使用率的阈值。
undo nat log no-pat ip-usage命令用来关闭NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能。
【命令】
nat log no-pat ip-usage [ threshold value ]
undo nat log no-pat ip-usage
【缺省情况】
NAT地址组中地址成员使用率的日志信息功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold value:NO-PAT方式下NAT地址组中地址成员使用率的阈值,为百分比数值,取值范围为40~100,缺省值为90%。
【使用指导】
创建NO-PAT表项时,若NO-PAT方式下NAT地址组中地址成员的使用率超过设定的百分比时,系统将会输出日志信息。
只有开启NAT日志功能(通过nat log enable命令)之后,本命令才能生效。
【举例】
# 开启NO-PAT方式下NAT地址组中地址成员使用率的日志信息功能,并设置NAT地址组中地址成员使用率的阈值为60%。
<Sysname> system-view
[Sysname] nat log no-pat ip-usage threshold 60
【相关命令】
· display nat log
· display nat no-pat ip-usage
· nat log enable
nat log port-block usage threshold命令用来配置动态NAT444端口块使用率的阈值。
undo nat log port-block usage threshold命令用来恢复缺省情况。
【命令】
nat log port-block usage threshold threshold-value
undo nat log port-block usage threshold
【缺省情况】
动态NAT444的端口块使用率的阈值为90%。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:端口使用率的阈值,为百分比数值,取值范围为40~100。
【使用指导】
创建动态端口块表项时,若端口块的使用率大于阈值,系统会输出告警日志。
【举例】
# 配置动态NAT444端口块使用率的阈值为60%。
<Sysname> system-view
[Sysname] nat log port-block usage threshold 60
nat log port-block-assign命令用来开启端口块分配的NAT444用户日志功能。
undo nat log port-block-assign命令用来关闭端口块分配的NAT444用户日志功能。
【命令】
nat log port-block-assign
undo nat log port-block-assign
【缺省情况】
端口块分配的NAT444用户日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志。
端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志。
只有开启NAT日志功能之后,端口块分配的NAT444用户日志功能才能生效。
【举例】
# 开启端口块分配的NAT444用户日志功能。
<Sysname> system-view
[Sysname] nat log port-block-assign
【相关命令】
· display nat all
· display nat log
· nat log enable
nat log port-block-withdraw命令用来开启端口块回收的NAT444用户日志功能。
undo nat log port-block-withdraw命令用来关闭端口块回收的NAT444用户日志功能。
【命令】
nat log port-block-withdraw
undo nat log port-block-withdraw
【缺省情况】
端口块回收的NAT444用户日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志。
端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志。
只有开启NAT日志功能之后,端口块回收的NAT444用户日志功能才能生效。
【举例】
# 开启端口块回收的NAT444用户日志功能。
<Sysname> system-view
[Sysname] nat log port-block-withdraw
【相关命令】
· display nat all
· display nat log
· nat log enable
nat mapping-behavior命令用来配置PAT方式出方向动态地址转换的模式。
undo nat mapping-behavior命令用来恢复缺省情况。
【命令】
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ]
undo nat mapping-behavior endpoint-independent
【缺省情况】
PAT出方向动态方式地址转换的模式为Address and Port-Dependent Mapping。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定ACL的编号或名称,用于控制需要遵守指定地址转换模式的报文范围。
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【使用指导】
PAT方式出方向动态地址转换支持两种模式:
· Endpoint-Independent Mapping(不关心对端地址和端口的转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口的转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,由于相同的源地址和源端口号不要求被转换为相同的外部地址和端口号,所以通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。并且NAT网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但是不便于位于不同NAT网关之后的主机间进行互访。
该配置只对出方向动态地址转换的PAT方式起作用。入方向动态地址转换的PAT方式的转换模式始终为Address and Port-Dependent Mapping。
如果配置了acl参数,则表示只有符合ACL permit规则的报文才采用Endpoint-Independent Mapping模式进行地址转换;如果没有配置acl参数,则表示所有的报文都采用Endpoint-Independent Mapping模式进行地址转换。
【举例】
# 对所有报文都以Endpoint-Independent Mapping模式进行地址转换。
<Sysname> system-view
[Sysname] nat mapping-behavior endpoint-independent
# 仅对FTP和HTTP报文才以Endpoint-Independent Mapping模式进行地址转换,其它报文采用Address and Port-Dependent Mapping模式进行地址转换。
<Sysname> system-view
[Sysname] acl advanced 3000
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 80
[Sysname-acl-ipv4-adv-3000] rule permit tcp destination-port eq 21
[Sysname-acl-ipv4-adv-3000] quit
[Sysname] nat mapping-behavior endpoint-independent acl 3000
【相关命令】
· nat outbound
· display nat eim
nat periodic-statistics enable命令用来开启NAT定时统计功能。
undo nat periodic-statistics enable命令用来关闭NAT定时统计功能。
【命令】
nat periodic-statistics enable
undo nat periodic-statistics enable
【缺省情况】
NAT定时统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,NAT将按照一定的时间间隔对每个地址组中的会话数目和端口块分配冲突计数进行统计。
使用本功能可能会占用较多的CPU资源,当CPU资源紧张时,可将其关闭。
【举例】
# 开启NAT定时统计功能。
<Sysname> system-view
[Sysname] nat periodic-statistics enable
【相关命令】
· nat periodic-statistics interval
nat periodic-statistics interval命令用来配置NAT定时统计功能的时间间隔。
undo nat periodic-statistics interval命令用来恢复缺省情况。
【命令】
nat periodic-statistics interval interval
undo nat periodic-statistics interval
【缺省情况】
NAT定时统计功能的时间间隔为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:指定NAT定时统计功能的时间间隔,取值范围为180~604800,单位为秒。
【使用指导】
如果将NAT定时统计功能的时间间隔调小,可能会占用较多的CPU资源。通常情况下,建议使用缺省值。
【举例】
# 设置NAT定时统计功能的时间间隔为500秒。
<Sysname> system-view
[Sysname] nat periodic-statistics interval 500
【相关命令】
· nat periodic-statistics enable
nat port-block-group命令用来创建NAT端口块组,并进入NAT端口块组视图。如果指定的NAT端口块组已经存在,则直接进入NAT端口块组视图。
undo nat port-block-group命令用来删除指定的NAT端口块组。
【命令】
nat port-block-group group-id
undo nat port-block-group group-id
【缺省情况】
不存在NAT端口块组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:NAT端口块组的编号,取值范围为0~65535。
【使用指导】
创建的NAT端口块组用于配置NAT444端口块静态映射。一个端口块组中包含如下内容:
· 一个或多个私网地址成员,通过local-ip-address命令配置。
· 一个或多个公网地址成员,通过global-ip-pool命令配置。
· 公网地址的端口范围,通过port-range命令配置。
· 端口块大小,通过block-size命令配置。
在进行NAT444端口块静态映射时,系统根据相应端口块组的配置计算出私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。
【举例】
# 创建一个NAT端口块组,编号为1。
<Sysname>system-view
[Sysname]nat port-block-group 1
[Sysname-port-block-group-1]
【相关命令】
· block-size
· display nat all
· display nat port-block-group
· global-ip-pool
· local-ip-address
· nat outbound port-block-group
· port-range
nat port-load-balance enable命令用来开启NAT端口负载分担功能。
undo nat port-load-balance enable命令用来关闭NAT端口负载分担功能。
【命令】
nat port-load-balance enable slot slot-number
undo nat port-load-balance enable slot slot-number
【缺省情况】
NAT端口负载分担功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:指定使用数值较小的一半端口的成员设备,slot-number表示设备在IRF中的成员编号。
【使用指导】
在IRF双机热备的负载分担场景下,开启NAT端口负载分担功能后,两台设备各获得一半端口块资源,使相同私网IP地址在不同的成员设备上独占一定的端口资源,避免端口分配冲突。
开启本功能前,需要保证地址转换使用的地址组满足如下条件,否则会导致端口资源分配失败:
· 对于出方向动态地址转换,NAT地址组中公网IP地址的端口数目必须大于等于2。
· 对于NAT444端口块动态映射,NAT地址组中公网IP地址的端口数目和端口块大小必须大于等于2。
在IRF双机热备的主备备份场景下或者设备工作于独立运行模式下时,不需要配置此命令。
【举例】
# 开启NAT端口负载分担功能,并指定1号成员设备使用数值较小的一半端口。
<Sysname> system
[Sysname] nat port-load-balance enable slot 1
【相关命令】
· nat port-block synchronization enable
· port-block
· port-range
nat redirect reply-route enable命令用来开启反向报文的重定向功能。
undo nat redirect reply-route enable命令用来关闭反向报文的重定向功能。
【命令】
nat redirect reply-route enable
undo nat redirect reply-route enable
【缺省情况】
反向报文的重定向功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
通过在设备的出接口开启反向报文的重定向功能,使出接口收到反向报文后查询NAT会话表项,根据NAT会话表项记录的信息将反向报文的目的IP地址进行NAT地址转换,从而使反向报文通过接收正向报文的隧道发送出去。
【举例】
# 开启接口GigabitEthernet1/0/1上的反向报文的重定向功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat redirect reply-route enable
nat remote-backup port-alloc命令用来指定HA中主、从管理设备可以使用的NAT端口块范围。
undo nat remote-backup port-alloc命令用来恢复缺省情况。
【命令】
nat remote-backup port-alloc { primary | secondary }
undo nat remote-backup port-alloc
【缺省情况】
HA中的主、从管理设备共用NAT端口资源。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
primary:使用数值较小的一半端口。
secondary:使用数值较大的一半端口。
【使用指导】
在双主模式的HA组网中,由于下列原因可能会出现两台设备上不同的IP地址+端口号的地址转换结果相同的情况:
· 两台设备共用NAT地址
· 两台设备的NAT端口范围相同
为了避免上述情况的发生,需要在主管理设备上配置可以使用的NAT端口块范围。
在主管理设备上选择了某一类NAT端口块范围后,从管理设备上会自动使用另外一类NAT端口块范围。例如,在HA的主管理设备上配置nat remote-backup port-alloc primary命令,从管理设备上会自动下发nat remote-backup port-alloc secondary的配置。有关HA的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。
在主备备份方式的HA组网中,仅由一台设备处理NAT业务,不会出现NAT端口资源冲突的情况,因此无需配置本命令。
在双主模式的HA组网中,需要注意:
· 使用NAT444端口块动态映射时,必须同时开启NAT444业务热备份功能(通过nat port-block synchronization enable命令)和端口拆分功能(通过nat remote-backup port-alloc命令)。否则,两台设备可能因分配相同的端口而导致端口冲突,从而造成流量中断。
· 使用NAT444端口块静态映射时,配置nat port-block synchronization enable命令后,nat remote-backup port-alloc命令才会生效。
【举例】
# 在HA中指定主管理设备使用数值较小的一半端口。
<Sysname> system-view
[Sysname] nat remote-backup port-alloc primary
【相关命令】
· nat port-block synchronization enable
nat session create-rate enable命令用来开启新建NAT会话速率的统计功能。
undo nat session create-rate enable命令用来关闭新建NAT会话速率的统计功能。
【命令】
nat session create-rate enable
undo nat session create-rate enable
【缺省情况】
新建NAT会话速率的统计功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启新建NAT会话速率的统计功能后,设备会对新建NAT会话的速率进行统计,统计信息可以通过display nat statistics命令查看。
【举例】
# 开启新建NAT会话速率的统计功能。
<Sysname> system-view
[Sysname] nat session create-rate enable
【相关命令】
· display nat statistics
nat timestamp delete命令用来开启对TCP SYN和SYN ACK报文中时间戳的删除功能。
undo nat timestamp delete命令用来恢复缺省情况。
【命令】
nat timestamp delete [ vpn-instance vpn-instance-name ]
undo nat timestamp delete [ vpn-instance vpn-instance-name ]
【缺省情况】
不对TCP SYN和SYN ACK报文中的时间戳进行删除处理。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
vpn-instance vpn-instance-name:表示TCP SYN和SYN ACK报文所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。若未指定本参数,则表示TCP SYN和SYN ACK报文属于公网。
【使用指导】
开启本功能后,未指定VPN参数时,系统会把动态地址转换后的公网上TCP SYN和SYN ACK报文中的时间戳删除;指定VPN参数时,系统会把动态地址转换后的指定VPN中TCP SYN和SYN ACK报文中的时间戳删除。
在PAT方式的动态地址转换(即接口上配置了nat inbound或nat outbound命令)组网环境中,若服务器上同时开启了tcp_timestams和tcp_tw_recycle功能,则Client与Server之间可能会出现无法建立TCP连接的现象。
为了解决以上问题,可在服务器上关闭tcp_tw_recycle功能或在设备上开启对TCP SYN和SYN ACK报文中时间戳的删除功能。
多次执行本命令,可为不同VPN中的报文开启此功能。
【举例】
# 开启对公网上TCP SYN和SYN ACK报文中时间戳的删除功能。
<Sysname> system-view
[Sysname] nat timestamp delete
# 开启对名称为aa的VPN中TCP SYN和SYN ACK报文中时间戳的删除功能。
<Sysname> system-view
[Sysname] nat timestamp delete vpn-instance aa
【相关命令】
· nat outbound
· nat inbound
nat trap no-pat ip-usage threshold命令用来配置NO-PAT模式NAT地址资源使用率的告警阈值。
undo nat trap no-pat ip-usage threshold命令用来恢复缺省情况。
【命令】
nat trap no-pat ip-usage threshold threshold-value
undo nat trap no-pat ip-usage threshold
【缺省情况】
NO-PAT模式NAT地址资源使用率的告警阈值为95%。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:NAT地址资源使用率的告警阈值,取值范围为1~99,单位为百分比。
【使用指导】
本功能用于在NO-PAT模式NAT地址资源的使用率过高或资源恢复时,向网络管理系统发送Trap消息进行告警。具体工作机制如下:
(1) 当NO-PAT模式NAT地址资源的使用率大于或等于本命令设置的threshold-value时,系统向网络管理系统发送Trap消息进行告警。
(2) 当NO-PAT模式NAT地址资源的使用率回落到小于本命令设置的threshold-value时,系统向网络管理系统发送Trap消息,提示用户NO-PAT模式NAT地址资源恢复。
【举例】
# 配置NO-PAT模式NAT地址资源使用率的告警阈值为91%。
<Sysname> system-view
[Sysname] nat trap no-pat ip-usage threshold 91
nat trap nqa threshold命令用来配置NAT地址组通过NQA探测排除不可用IP地址时,不可用IP地址排除率的告警阈值。
undo nat trap nqa threshold命令用来恢复缺省情况。
【命令】
nat trap nqa threshold upper-limit upperlimit-value lower-limit lowerlimit-value
undo nat trap nqa threshold
【缺省情况】
NAT地址组通过NQA探测排除不可用IP地址时,系统会在不可用IP地址的排除率高于90%或者低于85%的情况下发送Trap消息进行告警。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
upper-limit upperlimit-value:NAT地址组通过NQA探测排除不可用IP地址时,不可用IP地址的排除率的上限阈值,即系统会在不可用IP地址的排除率大于upper-value的情况下发送Trap消息,取值范围为1~100,单位为百分比。
lower-limit lowerlimit-value:NAT地址组通过NQA探测排除不可用IP地址时,不可用IP地址的排除率的下限阈值,即系统会在不可用IP地址的排除率小于lowerlimit-value的情况下发送Trap消息,取值范围为1~99,单位为百分比。lowerlimit-value的配置值必须小于upperlimit-value。
【使用指导】
NAT地址组下通过配置probe命令引用NQA模板来检测NAT地址组中地址可用性时,会将不可用的IP地址从地址组中排除。排除不可用IP地址的过程中,如下两种情况会触发系统发送Trap消息:
· 当不可用IP地址的排除率大于upperlimit-value导致剩余IP地址不足时,系统会向网络管理系统发送Trap消息进行告警。
· 当不可用IP地址的排除率小于lowerlimit-value时,系统会向网络管理系统发送Trap消息,提示用户可用IP地址资源充足。
【举例】
# 配置NAT地址组通过NQA探测排除不可用IP地址时,不可用IP地址排除率的上限告警阈值为95%,下限告警阈值为60%。
<Sysname> system-view
[Sysname] nat trap nqa threshold upper-limit 95 lower-limit 60
nat trap port-block threshold命令用来配置NAT动态端口块资源使用率的告警阈值。
undo nat trap port-block threshold命令用来恢复缺省情况。
【命令】
nat trap port-block threshold threshold-value
undo nat trap port-block threshold
【缺省情况】
NAT动态端口块资源使用率的告警阈值为95%。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
threshold-value:NAT动态端口块资源使用率的告警阈值,取值范围为1~99,单位为百分比。
【使用指导】
本功能用于在NAT动态端口块资源的使用率过高或资源恢复时,向网络管理系统发送Trap消息进行告警。具体工作机制如下:
(1) 当NAT动态端口块资源的使用率大于或等于本命令设置的threshold-value时,系统向网络管理系统发送Trap消息进行告警。
(2) 当NAT动态端口块资源的使用率回落到小于本命令设置的threshold-value的90%时,系统向网络管理系统发送Trap消息,提示用户端口块资源恢复。
【举例】
# 配置动态NAT端口块资源使用率的告警阈值为90%。
<Sysname> system-view
[Sysname] nat trap port-block threshold 90
nat zone-switch recreate-session命令用来开启主备链路切换导致出接口所属安全域变化后的NAT会话重建功能。
undo nat zone-switch recreate-session命令用来关闭主备链路切换导致出接口所属安全域变化后的NAT会话重建功能。
【命令】
nat zone-switch recreate-session
undo nat zone-switch recreate-session
【缺省情况】
主备链路切换导致出接口所属安全域变化后的NAT会话重建功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
广域网双出口组网环境中,NAT设备上的出方向动态地址转换(引用不同的地址组)分别在不同的出接口生效(假设为Interface A和Interface B),基于出接口所属安全域的不同情况,NAT设备的处理机制有所不同:
· 如果两个出接口属于不同的安全域,当Interface A的链路发生故障触切换到Interface B的链路时,NAT设备会删除原来的会话表项,由流量触发重新建立NAT会话表项。如果NAT设备删除原来的会话表项会导致用户无法访问外网,则请关闭本功能,保证用户业务的可用性。
· 如果两个出接口属于同一个安全域,当Interface A的链路发生故障触切换到Interface B的链路时,NAT设备不会删除原来的会话表项,流量与原来的会话表项匹配。若这种处理方式会导致用户无法访问外网,则请通过nat link-switch recreate-session命令开启主备链路切换后的NAT会话重建功能。若这种处理方式不会导致用户无法访问外网,则无需执行其他配置。
本功能仅在NAT44和NAT66场景下生效。
对于入接口目的地址转换的情况,无法通过本命令控制是否删除会话。
nat zone-switch recreate-session命令与nat link-switch recreate-session命令的作用对比如表1-18所示。请根据需求选择配置nat zone-switch recreate-session命令或nat link-switch recreate-session命令。
表1-18 nat zone-switch recreate-session命令与nat link-switch recreate-session命令作用对比
|
命令 |
作用 |
|
nat zone-switch recreate-session |
配置本命令后,主备链路切换导致出接口所属安全域变化后,NAT设备会删除原来的会话表项 |
|
nat link-switch recreate-session |
配置本命令后,主备链路切换,但是出接口所属安全域不变,NAT设备会删除原来的会话表项 |
【举例】
# 开启主备链路切换导致出接口所属安全域变化后的NAT会话重建功能。
<Sysname> system-view
[Sysname] nat zone-switch recreate-session
【相关命令】
· nat link-switch recreate-session
port-block命令用来配置NAT地址组的端口块参数。
undo port-block命令用来恢复缺省情况。
【命令】
port-block block-size block-size [ extended-block-number extended-block-number ]
undo port-block
【缺省情况】
未配置NAT地址组的端口块参数。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-size block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~65535。同一NAT地址组内,该参数的值不能超过port-range参数的值。
extended-block-number extended-block-number:增量端口块数,取值范围为1~5。当分配端口块中的端口资源耗尽(所有端口都被使用)时,如果对应的私网IP地址向公网发起新的连接,则无法从分配端口块中获取端口。此时,如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数,则可以为对应的私网IP地址进行增量端口块分配。一个私网IP地址最多可同时占有1+extended-block-number个端口块。
【使用指导】
端口块动态映射方式下,配置出方向地址转换所引用的NAT地址组中必须配置端口块参数。当某私网IP地址首次向公网发起连接时,从所匹配的NAT地址组中获取一个公网IP地址,从获取的公网IP地址中分配一个动态端口块并创建动态端口块表项(该私网IP地址后续向公网发起连接时,通过私网IP地址查找动态端口块表项),使用公网IP地址进行IP地址转换,并从端口块中动态分配一个端口进行TCP/UDP端口转换。
【举例】
# 配置NAT地址组2的端口块参数,端口块大小为256,增量端口块数为1。
<Sysname> system-view
[Sysname] nat address-group 2
[Sysname-address-group-2] port-block block-size 256 extended-block-number 1
【相关命令】
· nat address-group
port-range命令用来配置公网IP地址的端口范围。
undo port-range命令用来恢复缺省情况。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情况】
公网IP地址的端口范围为1~65535。
【视图】
NAT地址组视图
NAT端口块组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-port-number end-port-number:公网IP地址端口的起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值,避免出现应用协议识别错误的问题。
【使用指导】
在NAT地址组(或NAT端口块组)视图下配置端口范围后,该NAT地址组(或NAT端口块组)内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内。
在NAT端口块组内配置端口范围时,端口范围不能小于端口块大小。在NAT地址组内配置端口范围时,如果地址组配置了端口块参数,则端口范围也不能小于端口块大小。
【举例】
# 配置NAT地址组1的公网IP地址端口范围为1024~65535。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] port-range 1024 65535
# 配置NAT端口块组1的公网IP地址端口范围为30001~65535。
<Sysname> system-view
[Sysname] nat port-block-group 1
[Sysname-port-block-group-1] port-range 30001 65535
【相关命令】
· nat address-group
· nat port-block-group
probe命令用来指定NAT地址组中地址成员的检测方法。
undo probe命令用来取消NAT地址组中地址成员的检测方法。
【命令】
probe template-name
undo probe template-name
【缺省情况】
未指定NAT地址组中地址成员的检测方法。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
template-name:检测方法所使用的NQA模板名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
NAT地址池检测功能用于检测NAT地址组中地址的可用性,是通过在地址池中引用NQA模板来实现的,详细过程如下:
(1) 引用NQA探测模板后,设备会周期性的向NQA模板中指定的目的地址依次发送探测报文,其中探测报文的源IP地址是地址池中的IP地址。
(2) 若设备没有收到NQA探测应答报文,则将探测报文的源IP地址从地址池中排除,暂时禁止该IP地址用于地址转换。
(3) 被排除的IP地址还会继续作为探测报文的源IP地址对目的IP地址在下个探测周期进行探测,如果收到回应报文,则允许该IP地址重新用于地址转换。
可通过重复执行本命令为NAT地址组配置多个NQA探测模板。当配置多个NQA探测模板时,只要有一个NQA探测模板探测成功,则表示该地址可用于地址转换。
本功能仅对用于出方向地址转换的地址成员的可用性进行检测。不对通过exclude-ip命令配置的禁止用于地址转换的IP地址的可用性进行检测。
请使用nqa template命令创建检测方法所使用的NQA模板,但该模板不能配置源IP地址。
【举例】
# 创建ICMP类型的NQA模板t4,并将其指定为NAT地址组1的检测方法。
<Sysname> system-view
[Sysname] nqa template icmp t4
[Sysname-nqatplt-icmp-t4] quit
[Sysname] nat address-group 1
[Sysname-lb-lgroup-lg] probe t4
【相关命令】
· display nat probe address-group
· exclude-ip
· nqa template(网络管理和监控命令参考/NQA)
reset nat count statistics命令用来清除NAT转换计数信息。
【命令】
reset nat count statistics { all | dynamic | global-policy | server | static | static-port-block }
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:清除所有NAT转换计数信息。
dynamic:清除所有动态NAT转换计数信息。
global-policy:清除全局NAT转换计数信息。
policy:清除接口NAT策略转换计数信息。
server:清除NAT server转换计数信息。
static:清除所有静态NAT转换计数信息。
static-port-block:清除NAT444端口块静态映射转换计数信息。
【举例】
# 清除所有NAT转换计数信息。
<Sysname> reset nat count statistics all
【相关命令】
· display nat inbound
· display nat outbound
· display nat port-block
· display nat static
reset nat periodic-statistics命令用来清除NAT定时统计功能的计数信息。
【命令】
reset nat periodic-statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:清除指定成员设备上NAT定时统计功能的计数信息,slot-number表示设备在IRF中的成员编号。不指定该参数时,将清除所有成员设备上NAT定时统计功能的计数信息。
【举例】
# 清除指定slot上NAT定时统计功能的计数信息。
<Sysname> reset nat periodic-statistics slot 1
【相关命令】
· display nat periodic-statistics
reset nat session命令用来删除NAT会话。
【命令】
reset nat session [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:删除指定成员设备上的NAT会话,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示删除所有成员设备上的NAT会话。
【举例】
# 删除指定slot上的NAT会话。
<Sysname> reset nat session slot 1
【相关命令】
· display nat session
rule move命令用来修改全局NAT规则的匹配优先级顺序。
【命令】
rule move rule-name1 [ type { nat | nat64 | nat66 } ] { after | before } [ rule-name2 [ type { nat | nat64 | nat66 } ] ]
【视图】
全局NAT策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name1:指定待移动的全局NAT规则的名称,为1~63个字符的字符串,不区分大小写。
type:指定待移动的NAT规则的类型。
nat:NAT类型的规则。
nat64:NAT64类型的规则。
nat66:NAT66类型的规则。
after:将待移动规则后置,即将规则rule-name1移动到规则rule-name2后面。
before:将待移动规则前置,即将规则rule-name1移动到规则rule-name2前面。
rule-name2:待移动的全局NAT规则的参照规则,为1~63个字符的字符串,不区分大小写。如果不指定本参数,那么:
· NAT规则的移动方式为after时,rule-name1将被排到优先级最低的位置。
· NAT规则的移动方式为before时,rule-name1将被排到优先级最高的位置。
【使用指导】
NAT规则的位置越靠前,则其具有更高的匹配优先级。对于需要调整NAT规则匹配顺序的场景,请使用本功能移动NAT规则的位置,从而灵活调整规则的匹配优先级顺序。
调整NAT规则的位置会修改规则的匹配优先级的值,优先级的值越小,则匹配优先级越高。具体机制为:
· 将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。
· 将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。
执行本命令修改全局NAT规则的优先级顺序时,需确保所有的“DNAT规则”和“SNAT+DNAT规则”位于“SNAT规则”之前:
· 不允许将“DNAT规则”或“SNAT+DNAT规则”移动到“SNAT规则”之后。
· 不允许将“SNAT规则”移动到“DNAT规则”或“SNAT+DNAT规则”之前。
通过本命令只能调整已经存在的NAT规则的匹配优先级顺序。
使用本命令调整NAT规则的匹配优先级顺序时,可以不指定规则类型。若指定了规则类型,建议指定准确的类型。
【举例】
# 将全局NAT规则aaa移动到全局NAT规则bbb之后。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule move aaa after bbb
【相关命令】
· display nat all
· display nat global-policy
rule name命令用来创建NAT规则,并进入NAT规则视图。如果指定的NAT规则已经存在,则直接进入NAT规则视图。
undo rule name命令用来删除指定的NAT规则。
【命令】
rule name rule-name [ type { nat | nat64 | nat66 } ]
undo rule name rule-name
【缺省情况】
不存在NAT规则。
【视图】
全局NAT策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
rule-name:表示NAT规则的名称,为1~63个字符的字符串,不区分大小写,不能包括“-”、“%”,若要使用“\”或“"”,则必须在输入时使用转义操作符“\”。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
type:表示全局NAT策略下的NAT规则类型。如果未指定本参数,表示NAT规则类型为NAT。
nat:指定全局NAT策略下的NAT规则类型为NAT,即只进行IPv4地址和IPv4地址的相互转换。
nat64:指定全局NAT策略下的NAT规则类型为NAT64,即进行IPv4地址和IPv6地址的相互转换。
nat66:指定全局NAT策略下的NAT规则类型为NAT66,即进行IPv6地址之间或IPv6地址前缀之间的相互转换。
【使用指导】
创建、移动或改变NAT规则的类型时,需要注意:
· 对于全局NAT策略视图下的NAT规则,其匹配优先级顺序受规则创建顺序和规则中包含的转换动作类型的影响,具体如下:
¡ “DNAT规则”和“SNAT+DNAT规则”的匹配优先级高于所有“SNAT规则”
¡ “DNAT规则”和“SNAT+DNAT规则”的匹配优先级顺序与创建顺序有关,先创建的规则拥有较高的匹配优先级。
¡ 当新建“DNAT规则”或“SNAT+DNAT规则”时,该规则位于所有已存在的“DNAT规则”以及“SNAT+DNAT规则”之后,即该规则的匹配优先级低于所有已存在的“DNAT规则”以及“SNAT+DNAT规则”。
¡ “SNAT规则”的匹配优先级与创建顺序有关,先创建的规则拥有较高的匹配优先级。
¡ 当新建“SNAT规则”时,该规则在所有已有的“SNAT规则”之后,即该规则的匹配优先级低于所有已存在的“SNAT规则”。
用户可以通过rule move命令移动NAT规则来调整匹配优先级顺序。实际生效的匹配优先级顺序可通过display nat global-policy命令查看。
· 不能通过重复执行rule name rule-name type命令改变NAT规则的类型。如需修改,请先通过undo rule name命令删除NAT规则,再执行rule name rule-name type命令。
【举例】
# 在全局NAT策略中配置名为aaa的NAT规则,并进入该NAT规则视图。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa]
【相关命令】
· display nat all
· display nat global-policy
· rule move
service命令用来配置NAT规则引用的服务对象组。
undo service命令用来删除NAT规则引用的服务对象组。
【命令】
service object-group-name
undo service [ object-group-name ]
【缺省情况】
NAT规则中不存在服务对象组。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
object-group-name:指定NAT规则引用的服务对象组,object-group-name表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
【使用指导】
设备会使用NAT规则中的过滤条件对经过本设备的报文进行过滤,NAT设备仅对匹配过滤条件的报文进行地址转换。
本命令与action snat命令配合使用时,将在NAT设备的出接口方向进行源IP地址转换。本命令与action snat命令、action dnat命令配合使用时,将在NAT设备的入接口方向同时进行源IP地址和目的IP转换。
引用的服务对象组必须已经存在,否则配置将失败。
执行undo service命令时可以不指定任何参数,表示删除此规则引用的所有服务对象组。
同一NAT规则下可引用多个服务对象组,最多不能超过256个。
【举例】
# 在全局NAT策略中配置NAT规则aaa引用名为service1、service2和service3的服务对象组。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] service service1
[Sysname-nat-global-policy-rule-aaa] service service2
[Sysname-nat-global-policy-rule-aaa] service service3
【相关命令】
· display nat all
· display nat global-policy
· object-group(安全命令参考/对象组)
source-ip命令用来配置NAT规则中用于匹配报文源IP地址的过滤条件。
undo source-ip命令用来删除NAT规则中用于匹配报文源IP地址的过滤条件。
【命令】
全局NAT策略下NAT类型的规则视图:
source-ip ipv4-object-group-name
undo source-ip [ ipv4-object-group-name ]
全局NAT策略下NAT类型的规则视图:
source-ip { host ip-address | subnet subnet-ip-address mask-length }
undo source-ip { host [ ip-address ] | subnet [subnet-ip-address mask-length ] }
全局NAT策略下NAT64类型的规则视图:
source-ip { ipv4-object-group-name | ipv6-object-group-name }
undo source-ip [ ipv4-object-group-name | ipv6-object-group-name ]
source-ip { host { ipv4-address | ipv6-address } | subnet { subnet-ipv4-address mask-length | ipv6-prefix prefix-length } }
undo source-ip { host [ ipv4-address | ipv6-address ] | subnet [ ipv4-address mask-length | ipv6-prefix prefix-length ] }
全局NAT策略下NAT66类型的规则视图:
source-ip ipv6-object-group-name
undo source-ip [ ipv6-object-group-name ]
source-ip { host ipv6-address | subnet ipv6-prefix prefix-length }
undo source-ip { host ipv6-address | subnet ipv6-prefix prefix-length }
【缺省情况】
NAT规则中不存在用于匹配报文源IP地址的过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-object-group-name:指定NAT规则引用的源地址对象组,ipv4-object-group-name表示源IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
ipv6-object-group-name:指定NAT规则引用的源IPv6地址对象组,ipv6-object-group-name表示源IPv6地址对象组的名称,为1~63个字符的字符串,不区分大小写,且不能为字符串any。如果该字符串中包含空格,需要在字符串的首末添加英文格式的引号,形如“xxx xxx”。
host ipv4-address:指定NAT规则中用于匹配报文源IP地址的IPv4地址,ipv4-address表示报文源IPv4地址,不能为全0地址、全1地址、D类地址、E类地址和环回地址。
host ipv6-address:指定NAT规则中用于匹配报文源IPv6地址的IPv6地址,ipv6-address表示报文源IPv6地址。
subnet subnet-ipv4-address mask-length:指定NAT规则引用的IPv4网段。subnet-ipv4-address表示网段IPv4地址;mask-length表示该网段掩码长度,取值可以为8、16或范围为24~31之间的整数。
subnet ipv6-prefix prefix-length:指定NAT规则引用的IPv6地址前缀。ipv6-prefix表示IPv6地址前缀;prefix-length表示前缀长度,取值范围为1~128。
【使用指导】
配置本命令后,NAT设备将使用该过滤条件中的IP地址对报文进行过滤,只有源IP地址与过滤条件匹配的报文才会被NAT设备进行地址转换。
本命令与action snat命令配合使用时,对于内网访问外网的报文,将在NAT设备的出接口上进行源IP地址转换。
引用地址对象组时,需要注意:
· 引用的地址对象组必须已经存在,否则配置将失败。
· 引用的地址对象组中的对象必须通过如下方式创建,否则引用地址对象的配置将失败:
¡ [ object-id ] network host address ip-address
¡ [ object-id ] network subnet ip-address { mask-length | mask }
¡ [ object-id ] network range ip-address1 ip-address2
关于以上命令的详细介绍,请参见“安全命令参考”中的“对象组”。
执行undo source-ip命令时若不指定任何参数,表示删除此规则中所有用于匹配报文源IP地址的过滤条件。
同一NAT规则下配置过滤条件时,需要注意:
· 同一NAT规则下可引用多个源地址对象组,最多不能超过256个。
· 同一NAT规则下可引用多个网段,最多不能超过256个。
· 同一NAT规则中可配置多个匹配报文源IP地址的过滤条件,匹配报文源IP地址最多不能超过256个。
· 同一个NAT64类型的规则中配置多个过滤条件时,后配置的过滤条件中的IP地址类型必须与先配置的过滤条件中的IP地址类型一致,例如先配置了source-ip host 192.168.1.1,接下来配置了source-ip host 100::1,那么source-ip host 100::1配置失败。请根据实际应用场景规划配置。
· 同一个NAT规则视图下的source-ip命令、source-ip host命令以及source-ip subnet命令相互覆盖。
【举例】
# 在全局NAT策略中配置NAT规则aaa引用名为srcIP1、srcIP2和srcIP3的源地址对象组。
<Sysname> system
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name aaa
[Sysname-nat-global-policy-rule-aaa] source-ip srcip1
[Sysname-nat-global-policy -rule-aaa] source-ip srcip2
[Sysname-nat-global-policy -rule-aaa] source-ip srcip3
【相关命令】
· display nat all
· display nat global-policy
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为NAT规则过滤条件的源安全域。
undo source-zone命令用来删除作为NAT规则过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone [ source-zone-name ]
【缺省情况】
NAT规则中不存在源安全域过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
source-zone-name:源安全域的名称,为1~31个字符的字符串,不区分大小写,且不能为字符串any。作为规则过滤条件的源安全域可以不存在,但要使配置生效,必须通过security-zone name命令创建安全域。关于安全域的详细介绍,请参见“安全配置指导”中的“安全域”。
【使用指导】
配置本命令后,NAT设备将使用该过滤条件中的IP地址对报文进行过滤,只有源安全域与过滤条件匹配的报文才会被NAT设备进行地址转换。
本命令与action snat命令配合使用时,将在NAT设备的出接口方向进行源IP地址转换。本命令与action snat命令、action dnat命令配合使用时,将在NAT设备的入接口方向同时进行源IP地址和目的IP转换。
不能通过重复执行本命令修改作为NAT规则过滤条件的源安全域。如需修改作为NAT规则过滤条件的源安全域,请先通过undo source-zone命令删除作为NAT规则过滤条件的源安全域,再执行source-zone命令。
使用undo命令时若不指定任何参数,则表示删除此规则中所有源安全域类型的过滤条件。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
最多支持将16个源安全域作为NAT规则的过滤条件。
【举例】
# 配置作为NAT规则rule1过滤条件的源安全域为trust。
<Sysname> system-view
[Sysname] nat global-policy
[Sysname-nat-global-policy] rule name rule1
[Sysname-nat-global-policy-rule-rule1] source-zone trust
【相关命令】
· security-zone name(安全命令参考/安全域)
vrf命令用来配置NAT规则中用于匹配报文所属VPN实例的过滤条件。
undo vrf命令用来删除NAT规则中用于匹配报文所属VPN实例的过滤条件。
【命令】
vrf vrf-name
undo vrf
【缺省情况】
NAT规则中不存在用于匹配报文所属VPN实例的过滤条件。
【视图】
NAT规则视图
【缺省用户角色】
network-admin
context-admin
【参数】
vrf-name:表示MPLS L3VPN的VPN实例的名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。
【使用指导】
本命令与action snat命令配合使用时,工作机制如下:
(1) NAT设备做源地址转换时,将报文所属的VPN实例作为一个过滤条件。对于通过过滤条件的报文,NAT设备根据action snat中的转换规则进行地址转换,并在建立的NAT映射表中记录VPN信息。
(2) 当外部网络服务器回应内部主机时,根据已经建立的NAT映射表,NAT设备进行地址转换,并将转后的报文转发给内部主机。
本命令与action dnat命令配合使用时,工作机制如下:
(3) NAT设备做目的地址转换时,将报文所属的VPN实例作为一个过滤条件。对于通过过滤条件的报文,NAT设备根据action dnat中的转换规则进行地址转换,并在建立的NAT映射表中记录VPN信息。
(4) 当内部服务器回应外部网络主机时,根据已经建立的NAT映射表,NAT设备进行地址转换,并将转换后的报文转发给外部网络主机。
仅全局NAT策略中的NAT规则视图下支持配置本命令。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 在NAT规则rule1中配置vpn1作为匹配报文所属VPN实例的过滤条件。
<sysname> system-view
[sysname] nat global-policy
[sysname-nat-global-policy] rule name rule1
[sysname-nat-global-policy-rule-rule1] vrf vpn1
【相关命令】
· action dnat
· action snat
yundi alias命令用来配置电信云堤网络中NAT地址组别名及所属的租户。
undo yundi alias命令用来恢复缺省情况。
【命令】
yundi alias alias-name tenant tenant-id
undo yundi rule-name
【缺省情况】
在电信云堤网络中未配置NAT地址组别名及所属的租户。
【视图】
NAT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
alias-name:NAT地址组或NAT规则别名,为1~63个字符的字符串,不区分大小写。
tenant-id:租户ID,唯一标识一个租户,为1~63个字符的字符串,不区分大小写。
【使用指导】
在电信云堤组网场景中,租户在控制器上创建NAT地址组,然后由控制器向设备下发配置。别名和租户ID分别用于标识租户创建NAT地址组时指定的名称和该租户的ID,通常由控制器下发,因此不建议在设备上手工设置本功能。
【举例】
# 配置NAT地址组1的别名为group1,所属的租户为abc。
<Sysname> system-view
[Sysname] nat address-group 1
[Sysname-address-group-1] yundi alias group1 tenant abc
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
