- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
05-NAT配置
本章節下載: 05-NAT配置 (410.23 KB)
NAT(Network Address Translation,網絡地址轉換)是將IP數據報文頭中的IP地址轉換為另一個IP地址的過程。在實際應用中,NAT主要用於實現私有網絡訪問公共網絡的功能。這種通過使用少量的公網IP地址代表較多的私網IP地址的方式,將有助於減緩可用IP地址空間的枯竭。
私網IP地址是指內部網絡或主機的IP地址,公網IP地址是指在因特網上全球唯一的IP地址。
RFC 1918為私有網絡預留出了三個IP地址塊,如下:
A類:10.0.0.0~10.255.255.255
B類:172.16.0.0~172.31.255.255
C類:192.168.0.0~192.168.255.255
(上述三個範圍內的地址不會在因特網上被分配,因此可以不必向ISP或注冊中心申請而在公司或企業內部自由使用。)
NAT最初的設計目的是用於實現私有網絡訪問公共網絡的功能,後擴展到實現任意兩個網絡間進行訪問時的地址轉換應用,本文中將這兩個網絡分別稱為內部網絡(內網)和外部網絡(外網),通常私網為內部網絡,公網為外部網絡。
圖1-1描述了一個基本的NAT應用。
(1) 內網用戶主機(192.168.1.3)向外網服務器(1.1.1.2)發送的IP報文通過NAT設備。
(2) NAT設備查看報頭內容,發現該報文是發往外網的,將其源IP地址字段的私網地址192.168.1.3轉換成一個可在Internet上選路的公網地址20.1.1.1,並將該報文發送給外網服務器,同時在NAT設備的網絡地址轉換表中記錄這一映射。
(3) 外網服務器給內網用戶發送的應答報文(其初始目的IP地址為20.1.1.1)到達NAT設備後,NAT設備再次查看報頭內容,然後查找當前網絡地址轉換表的記錄,用內網私有地址192.168.1.3替換初始的目的IP地址。
上述的NAT過程對終端(如圖中的Host和Server)來說是透明的。對外網服務器而言,它認為內網用戶主機的IP地址就是20.1.1.1,並不知道有192.168.1.3這個地址。因此,NAT“隱藏”了企業的私有網絡。
地址轉換的優點在於,在為內部網絡主機提供了“隱私”保護的前提下,實現了內部網絡的主機通過該功能訪問外部網絡的資源。但它也有一些缺點:
l 由於需要對數據報文進行IP地址的轉換,涉及IP地址的數據報文的報頭不能被加密。在應用協議中,如果報文中有地址或端口需要轉換,則報文不能被加密。例如,不能使用加密的FTP連接,否則FTP協議的port命令不能被正確轉換。
l 網絡調試變得更加困難。比如,某一台內部網絡的主機試圖攻擊其它網絡,則很難指出究竟哪一台主機是惡意的,因為主機的IP地址被屏蔽了。
在實際應用中,我們可能希望某些內部網絡的主機可以訪問外部網絡,而某些主機不允許訪問,即當NAT設備查看IP數據報文的報頭內容時,如果發現源IP地址屬於禁止訪問外部網絡的內部主機,它將不進行地址轉換。另外,也希望隻有指定的公網地址才可用於地址轉換。
設備可以利用ACL(Access Control Limit,訪問控製列表)和地址池來對地址轉換進行控製。
l 訪問控製列表可以有效地控製地址轉換的使用範圍,隻有滿足訪問控製列表規則的數據報文才可以進行地址轉換。
l 地址池是用於地址轉換的一些連續的公網IP地址的集合,它可以有效地控製公網地址的使用。用戶可根據自己擁有的合法IP地址數目、內部網絡主機數目以及實際應用情況,定義合適的地址池。在地址轉換的過程中,NAT設備將會從地址池中挑選一個IP地址做為數據報文轉換後的源IP地址。
從圖1-1的地址轉換過程可見,當內部網絡訪問外部網絡時,地址轉換將會選擇一個合適的外部地址,來替代內部網絡數據報文的源地址。在圖1-1中是選擇NAT設備出接口的IP地址(公網IP地址)。這樣所有內部網絡的主機訪問外部網絡時,隻能擁有一個外部網絡的IP地址,因此,這種情況同時隻允許最多有一台內部網絡主機訪問外部網絡。
當內部網絡的多台主機並發的要求訪問外部網絡時,NAT也可實現對並發性請求的響應,允許NAT設備擁有多個公有IP地址。當第一個內網主機訪問外網時,NAT選擇一個公有地址IP1,在地址轉換表中添加記錄並發送數據報;當另一內網主機訪問外網時,NAT選擇另一個公有地址IP2,以此類推,從而滿足了多台內網主機訪問外網的請求。
NAT設備擁有的公有IP地址數目要遠少於內部網絡的主機數目,因為所有內網主機並不會同時訪問外網。公有IP地址數目的確定,應根據網絡高峰期可能訪問外網的內網主機數目的統計值來確定。
NAPT(Network Address Port Translation,網絡地址端口轉換)是基本地址轉換的一種變形,它允許多個內部地址映射到同一個公有地址上,也可稱之為“多對一地址轉換”。
NAPT同時映射IP地址和端口號:來自不同內部地址的數據報文的源地址可以映射到同一外部地址,但它們的端口號被轉換為該地址的不同端口號,因而仍然能夠共享同一地址,也就是“私網IP地址+端口號”與“公網IP地址+端口號”之間的轉換。
圖1-2描述了NAPT的基本原理。
圖1-2 NAPT基本原理示意圖
如圖1-2所示,三個帶有內部地址的數據報文到達NAT設備,其中報文1和報文2來自同一個內部地址但有不同的源端口號,報文1和報文3來自不同的內部地址但具有相同的源端口號。通過NAPT映射,三個數據報的源IP地址都被轉換到同一個外部地址,但每個數據報都被賦予了不同的源端口號,因而仍保留了報文之間的區別。當各報文的回應報文到達時,NAT設備仍能夠根據回應報文的目的IP地址和目的端口號來區別該報文應轉發到的內部主機。
采用NAPT可以更加充分地利用IP地址資源,實現更多內部網絡主機對外部網絡的同時訪問。
目前,NAPT支持兩種不同的地址轉換模式:
l Endpoint-Independent Mapping(不關心對端地址和端口轉換模式)
該模式下,NAT設備通過建立三元組(源地址、源端口號、協議類型)表項來進行地址分配和報文過濾。即,隻要是來自相同源地址和源端口號的報文,不論其目的地址是否相同,通過NAPT映射後,其源地址和源端口號都被轉換為同一個外部地址和端口號,並且NAT設備允許外部網絡的主機通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式可以很好得支持位於不同NAT設備之後的主機間進行互訪。
l Address and Port-Dependent Mapping(關心對端地址和端口轉換模式)
該模式下,NAT設備通過建立五元組(源地址、源端口號、協議類型、目的地址、目的端口號)表項為依據進行地址分配和報文過濾。即,對於來自相同源地址和源端口號的報文,若其目的地址和目的端口號不同,通過NAPT映射後,相同的源地址和源端口號將被轉換為不同的外部地址和端口號,並且NAT設備隻允許這些目的地址對應的外部網絡的主機才可以通過該轉換後的地址和端口來訪問這些內部網絡的主機。這種模式安全性好,但是不便於位於不同NAT設備之後的主機間進行互訪。
目前本係列產品僅支持Address and Port-Dependent Mapping地址轉換模式。
NAT隱藏了內部網絡的結構,具有“屏蔽”內部主機的作用,但是在實際應用中,可能需要給外部網絡提供一個訪問內網主機的機會,如給外部網絡提供一台Web服務器,或是一台FTP服務器。
NAT設備提供的內部服務器功能,就是通過靜態配置“公網IP地址+端口號”與“私網IP地址+端口號”間的映射關係,實現公網IP地址到私網IP地址的“反向”轉換。例如,可以將20.1.1.1:8080配置為內網某Web服務器的外部網絡地址和端口號供外部網絡訪問。
如圖1-3所示,外部網絡用戶訪問內部網絡服務器的數據報文經過NAT設備時,NAT設備根據報文的目的地址查找地址轉換表項,將訪問內部服務器的請求報文的目的IP地址和端口號轉換成內部服務器的私有IP地址和端口號。當內部服務器回應該報文時,NAT設備再根據已有的地址映射關係將回應報文的源IP地址和端口號轉換成公網IP地址和端口號。
Easy IP功能是指進行地址轉換時,直接使用接口的外網IP地址作為轉換後的源地址,能夠最大程度的節省IP地址資源。它也可以利用訪問控製列表控製哪些內部地址可以進行地址轉換。
NAT不僅實現了一般的地址轉換功能,同時提供了完善的地址轉換ALG (Application Layer Gateway,應用級網關)機製,使其可以支持一些特殊的應用協議,而不需要對NAT平台進行任何的修改,具有良好的可擴充性。這些特殊協議的報文載荷裏攜帶了地址或端口信息,該信息也可能需要進行地址轉換。
可支持的特殊協議包括:FTP(File Transfer Protocol,文件傳輸協議)、DNS(Domain Name System,域名係統)、ILS(Internet Locator Service,互聯網定位服務)、NBT(NetBIOS over TCP/IP,基於TCP/IP的網絡基本輸入輸出係統)等。
NAT多實例允許分屬於不同MPLS VPN的用戶通過同一個出口訪問外部網絡,同時允許分屬於不同MPLS VPN的用戶使用相同的私網地址。當MPLS VPN用戶訪問外部網絡時,地址轉換將內部網絡主機的IP地址和端口替換為設備的外部網絡地址和端口,同時還記錄了用戶的MPLS VPN信息(如協議類型和路由標識符RD等)。回應報文到達時,地址轉換將外部網絡地址和端口還原為內部網絡主機的IP地址和端口,同時可得知是哪一個MPLS VPN用戶的訪問。
同時,地址轉換支持內部服務器的多實例,給外部提供訪問MPLS VPN內主機的機會。例如,MPLS VPN1內提供Web服務的主機地址是10.110.1.1,可以使用202.110.10.20作為Web服務器的外部地址,Internet的用戶使用202.110.10.20的地址就可以訪問到MPLS VPN1提供的Web服務。
表1-1 NAT配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
|
配置地址轉換 |
配置靜態地址轉換 |
二者必選其一 |
|
|
配置動態地址轉換 |
|||
|
配置內部服務器 |
必選 |
||
|
配置地址轉換有效時間 |
可選 |
||
|
配置NAT ALG功能 |
可選 |
||
|
配置NAT日誌 |
可選 |
||
接口下的NAT相關配置(地址轉換或內部服務器配置)改變時,為保證連接的穩定性,建議用戶在完成所有NAT相關的配置之後,保存配置並重啟設備(或通過命令reset nat session手工清除與NAT相關的表項),以避免可能會產生的問題。這些問題主要包括:NAT相關的配置刪除後,已建立的連接仍然可以進行地址轉換處理;在連接過程中進行NAT配置,會因為配置順序的不一致,導致相同的配置產生不同的處理結果。
通過NAT設備上靜態建立或動態生成的地址映射關係,實現內部網絡與外部網絡IP地址的轉換。通常,我們按照地址映射關係的產生方式將地址轉換分為動態地址轉換和靜態地址轉換兩類:
l 靜態地址轉換
外部網絡和內部網絡之間的地址映射關係在配置中確定。適用於內部網絡與外部網絡之間的少量固定訪問需求。
l 動態地址轉換
外部網絡和內部網絡之間的地址映射關係由報文動態決定。通過配置訪問控製列表和地址池(或接口地址)的關聯,由“具有某些特征的IP報文”挑選使用“地址池中地址(或接口地址)”,從而建立動態地址映射關係。適用於內部網絡有大量用戶需要訪問外部網絡的需求。這種情況下,關聯中指定的地址池資源由內網報文按需從中選擇使用,訪問外網的會話結束之後該資源便釋放給其它用戶。
配置靜態地址轉換時,需要首先在係統視圖下配置靜態地址轉換映射,然後在接口下使該轉換生效。
靜態地址轉換映射支持兩種方式:一對一靜態轉換映射、網段對網段靜態轉換映射。
實現一個內部私有網絡地址到一個外部公有網絡地址的轉換。
表1-2 配置一對一靜態地址轉換
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置一對一靜態地址轉換映射 |
nat static local-ip [ vpn-instance local-name ] global-ip |
必選 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使配置的NAT靜態轉換在接口上生效 |
nat outbound static |
必選 |
實現一個內部私有網絡到一個外部公有網絡的地址轉換。
表1-3 配置網段對網段靜態地址轉換
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置網段對網段靜態地址轉換映射 |
nat static net-to-net local-start-address local-end-address global global-network { netmask-length | netmask } |
必選 |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
使配置的NAT靜態轉換在接口上生效 |
nat outbound static |
必選 |
通過在接口上配置訪問控製列表和地址池(或接口地址)的關聯即可實現動態地址轉換。
l 若直接使用接口的IP地址作為轉換後的地址,則配置Easy IP功能來實現動態地址轉換。
l 若選擇使用地址池中的地址作為轉換後的地址,則根據地址轉換過程中是否使用端口信息可將動態地址轉換分為NO-PAT和NAPT兩種方式:NO-PAT為不使用TCP/UDP端口信息實現的多對多地址轉換;NAPT為使用TCP/UDP端口信息實現的多對一地址轉換。
l 配置控製地址轉換範圍的訪問控製列表。
l 確定是否直接使用接口的IP地址作為轉換後的報文源地址。
l 配置根據實際網絡情況,合理規劃可用於地址轉換的公網IP地址池。
l 確定地址轉換過程中是否使用端口信息。
訪問控製列表的配置請參見“ACL和QoS配置指導”中的“ACL”。
用於地址轉換的IP地址池有兩種配置方式,一種是直接定義一個包含一段連續地址的地址池,另外一種是配置可包含多段連續地址的地址組。一個地址組中可以添加多個地址組成員,每個地址組成員都可以指定一段連續的地址池,因此通過配置地址組,可以指定多段非連續的IP地址。
動態地址轉換的過程中,NAT設備將會從配置的地址池中挑選一個IP地址做為轉換後的報文源地址。
表1-4 定義地址池
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
定義一個地址池 |
nat address-group group-number start-address end-address |
必選 |
表1-5 配置地址組
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
創建一個地址組,並進入地址組視圖 |
nat address-group group-number |
必選 |
|
添加地址組成員 |
address start-address end-address |
必選 |
l 不同地址池中定義的IP地址段之間不允許重疊。
l 地址組成員的IP地址段不能與其它地址池或者地址組成員的IP地址段重疊。
通過配置Easy IP功能,實現直接使用接口的IP地址作為轉換後的報文源地址。
表1-6 配置Easy IP
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置訪問控製列表和接口地址關聯,實現Easy IP功能 |
nat outbound acl-number |
必選 |
通過配置訪問控製列表和地址池的關聯,將與訪問控製列表匹配的報文的源地址映射為地址池中的地址,且不使用端口信息。
表1-7 配置NO-PAT
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
在出接口配置訪問控製列表和地址池關聯,且不使用端口信息,實現NO-PAT |
nat outbound acl-number address-group group-number no-pat |
必選 |
通過配置訪問控製列表和地址池的關聯,將與訪問控製列表匹配的報文的源地址映射為地址池中的地址,且使用端口信息。
通過配置內部服務器,可以將相應的外部地址和端口映射到內部服務器的私有地址和端口上,從而使外部網絡用戶能夠訪問內部服務器。內部服務器與外部網絡的映射表是通過在接口上配置nat server命令生成的。
配置內部服務器時需要配置的信息包括:外部網絡的信息(外部網絡地址global-address、外部網絡端口global-port)、內部網絡的信息(內部網絡地址local-address、內部網絡端口local-port)以及服務協議類型。
當內部服務器位於MPLS L3VPN時,還應指定所屬的vpn-instance-name。如果不設置該值,表示內部服務器不屬於任何一個VPN。
配置內部服務器是將內網服務器的地址和端口(local-address、local-port)映射為外網地址和端口(global-address、global-port),允許外部網絡中的主機訪問位於內網的服務器。
表1-9 配置內部服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置內部服務器 |
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } [ global-port ] inside local-address [ local-port ] [ vpn-instance local-name ] |
二者必選其一 |
|
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 inside local-address1 local-address2 local-port [ vpn-instance local-name ] |
該配置用於設置各協議地址轉換表項的有效時間。
表1-10 配置地址轉換有效時間
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置地址轉換表項的有效時間 |
nat aging-time { dns | ftp-ctrl | ftp-data | icmp | no-pat | pptp | tcp | tcp-fin | tcp-syn | udp } seconds |
可選 缺省情況下,各協議的地址轉換有效時間如下: l DNS協議地址轉換表項的有效時間為10秒; l FTP協議控製鏈路(ftp-ctrl)地址轉換表項的有效時間為300秒; l FTP協議數據鏈路(ftp-data)地址轉換表項的有效時間為300秒; l ICMP地址轉換表項的有效時間為10秒; l NO-PAT轉換方式下的私網地址和公網地址轉換表項的有效時間為240秒; l PPTP協議地址轉換表項的有效時間為300秒; l TCP地址轉換表項的有效時間為300秒; l TCP協議fin、rst連接地址轉換表項的有效時間為10秒; l TCP協議syn連接地址轉換表項的有效時間為10秒; l UDP地址轉換表項的有效時間為240秒 |
該配置用於設置地址轉換的應用級網關功能,可支持多種協議。
表1-11 配置NAT ALG功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能地址轉換應用網關功能 |
nat alg { all | dns | ftp | ils | nbt | pptp | tftp } |
可選 缺省情況下,地址轉換應用網關功能處於使能狀態 |
NAT日誌是NAT設備在進行NAT轉換時生成的一種係統信息。該信息包括報文的源IP地址、源端口、目的IP地址、目的端口、轉換後的源IP地址、轉換後的源端口以及用戶執行的操作等。它隻用於記錄內網用戶訪問外部網絡的情況,不記錄外部用戶對內網服務器的訪問。
內網用戶通過NAT設備訪問外部網絡時,多個用戶共用一個外網地址,從而無法定位訪問網絡的用戶。利用日誌功能可以實時跟蹤、記錄內網用戶訪問外部網絡的情況,增強網絡的安全性。
表1-12 開啟NAT日誌功能
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能NAT日誌功能 |
nat log enable [ acl acl-number ] |
必選 缺省情況下,NAT日誌功能處於關閉狀態 |
|
|
設置在創建NAT連接時生成NAT日誌 |
nat log flow-begin |
二者至少選其一 |
缺省情況下,創建NAT連接時不生成NAT日誌 |
|
使能NAT活躍流的日誌功能,並設置生成活躍流日誌的時間間隔 |
nat log flow-active minutes |
缺省情況下,NAT活躍流的日誌功能處於關閉狀態 |
|
NAT日誌信息有兩種輸出方式:
l 輸出至信息中心
NAT日誌將被轉化成係統日誌輸出到本設備的信息中心,再通過設置信息中心的輸出方向,最終決定NAT日誌的輸出方向。一次最多可以輸出10條NAT日誌到信息中心。
l 輸出至日誌服務器
係統將NAT日誌封裝成UDP報文發送給網絡中的日誌服務器,如圖1-4所示。輸出的NAT日誌報文可以有多種版本,不同的版本使用的UDP報文格式不同,目前使用的NAT日誌報文格式為版本1。UDP報文中可以包含多條NAT日誌記錄的原始信息,它由一個報文頭和若幹條NAT日誌記錄組成。
NAT日誌的兩種輸出方式互斥,同一時刻隻能選擇一種輸出方式。如果同時配置了兩種輸出方式,則係統會自動選擇輸出到信息中心,而不會發送到日誌服務器。
圖1-4 NAT日誌信息輸出至日誌服務器示意圖
表1-13 配置NAT日誌輸出至信息中心
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置NAT日誌輸出至信息中心 |
userlog nat syslog |
必選 缺省情況下,NAT日誌輸出至NAT日誌服務器 |
l NAT日誌輸出到信息中心會占用設備的存儲空間,所以,建議在日誌量較小的情況下,使用該輸出方向。
l NAT日誌輸出至信息中心時,NAT日誌信息的優先級為informational,即作為設備的一般提示信息。
l 有關信息優先級及信息中心的詳細介紹請參見“網絡管理與監控配置指導”中的“信息中心”。
以UDP報文方式將NAT日誌發送給NAT日誌服務器時,可以配置三項參數:
l NAT日誌服務器的IP地址和UDP端口號。如果不配置輸出到信息中心方向,也不指定日誌服務器的地址,NAT日誌就會無法正常輸出。
l NAT日誌報文的源IP地址。在日誌服務器端,通過識別NAT日誌的源IP地址,可以迅速定位日誌信息的來源,建議使用Loopback接口地址作為日誌報文的源IP地址。
l NAT日誌報文版本號。輸出的日誌報文可以有多種版本,不同的版本使用的報文格式不同,目前設備支持版本1。
表1-14 配置NAT日誌服務器
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
設置NAT日誌服務器的IP地址和UDP端口號(分布式設備) |
userlog nat export slot slot-number host { ipv4-address | ipv6 ipv6-address } udp-port |
二者必選其一 |
|
設置NAT日誌服務器的IP地址和UDP端口號(分布式IRF設備) |
userlog nat export chassis chassis-number slot slot-number host { ipv4-address | ipv6 ipv6-address } udp-port |
|
|
設置承載NAT日誌的UDP報文的源IP地址 |
userlog nat export source-ip ip-address |
可選 缺省情況下,承載NAT日誌的UDP報文的源IP地址為發送該報文的接口的IP地址 |
|
設置NAT日誌報文的版本號 |
userlog nat export version version-number |
可選 缺省情況下,NAT日誌報文的版本號為1 |
l 通過在分布式設備上指定slot參數,可以為不同的接口板指定不同的日誌服務器,實現日誌服務器的負載分擔。
l 通過在分布式IRF設備上指定chassis參數,可以為成員設備的不同接口板指定不同的日誌服務器,實現日誌服務器的負載分擔。
l NAT日誌服務器的IP地址必須是合法的IPv4或IPv6單播地址。
l 為避免與係統自定義的端口號衝突,建議用戶使用1024以上的UDP端口作為日誌服務器的UDP端口號。
在完成上述配置後,在任意視圖下執行display命令可以顯示NAT配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下,執行reset命令可以清除地址轉換的統計信息。
表1-15 NAT顯示和維護
|
操作 |
命令 |
|
顯示NAT地址池的信息 |
display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示地址轉換的有效時間 |
display nat aging-time [ | { begin | exclude | include } regular-expression ] |
|
顯示所有的NAT配置信息 |
display nat all [ | { begin | exclude | include } regular-expression ] |
|
顯示地址轉換關聯的配置信息 |
display nat bound [ | { begin | exclude | include } regular-expression ] |
|
顯示內部服務器的信息 |
display nat server [ | { begin | exclude | include } regular-expression ] |
|
顯示靜態配置的信息 |
display nat static [ | { begin | exclude | include } regular-expression ] |
|
顯示指定單板上的當前NAT轉換表項信息(分布式設備) |
display nat session [ vpn-instance vpn-instance-name ] slot slot-number [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ] |
|
顯示成員設備上指定單板的當前NAT轉換表項信息(分布式IRF設備) |
display nat session [ vpn-instance vpn-instance-name ] chassis chassis-number slot slot-number [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ] |
|
顯示NAT日誌的配置信息 |
display nat log [ | { begin | exclude | include } regular-expression ] |
|
查看指定單板輸出到日誌服務器的日誌的配置和統計信息(分布式設備) |
display userlog export slot slot-number [ | { begin | exclude | include } regular-expression ] |
|
查看成員設備上指定單板輸出到日誌服務器的日誌的配置和統計信息(分布式IRF設備) |
display userlog export chassis chassis-number slot slot-number [ | { begin | exclude | include } regular-expression ] |
|
清除指定單板上的NAT日誌緩存中的記錄(分布式設備) |
reset userlog nat logbuffer slot slot-number |
|
清除成員設備上指定單板上的NAT日誌緩存中的記錄(分布式IRF設備) |
reset userlog nat logbuffer chassis chassis-number slot slot-number |
|
清除指定單板上的NAT日誌的統計信息(分布式設備) |
reset userlog nat export slot slot-number |
|
清除成員設備上指定單板上的NAT日誌的統計信息(分布式IRF設備) |
reset userlog nat export chassis chassis-number slot slot-number |
|
清除指定單板上的內存中地址轉換的映射表,釋放動態分配的用於存放映射表的內存(分布式設備) |
reset nat session slot slot-number |
|
清除成員設備上指定單板的內存中地址轉換的映射表,釋放動態分配的用於存放映射表的內存(分布式IRF設備) |
reset nat session chassis chassis-number slot slot-number |
清除NAT日誌緩存區中的記錄會造成NAT日誌信息的丟失,正常情況下,建議不要進行清除操作。
內部網絡用戶10.110.10.8/24使用公網地址202.38.1.100訪問Internet。
圖1-5 靜態地址轉換典型配置組網圖
# 配置一對一靜態地址轉換映射。
<Switch> system-view
[Switch] nat static 10.110.10.8 202.38.1.100
# 使配置的靜態地址轉換在接口Vlan-interface1上生效。
[Switch] interface Vlan-interface 1
[Switch-Vlan-interface1] nat outbound static
[Switch-Vlan-interface1] quit
一個公司擁有202.38.1.1/24至202.38.1.3/24三個公網IP地址,內部網址為10.110.0.0/16。通過配置NAT使得僅內部網絡中10.110.10.0/24網段的用戶可以訪問Internet。
圖1-6 動態地址轉換典型配置組網圖
# 配置IP地址池1,包括兩個公網地址202.38.1.2和202.38.1.3。
<Switch> system-view
[Switch] nat address-group 1 202.38.1.2 202.38.1.3
# 配置訪問控製列表2001,僅允許內部網絡中10.110.10.0/24網段的用戶可以訪問Internet。
[Switch] acl number 2001
[Switch-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Switch-acl-basic-2001] rule deny
[Switch-acl-basic-2001] quit
# 在出接口Vlan-interface1上配置ACL 2001與IP地址池1相關聯。
l NO-PAT方式
[Switch] interface Vlan-interface 1
[Switch-Vlan-interface1] nat outbound 2001 address-group 1 no-pat
[Switch-Vlan-interface1] quit
l NAPT方式
[Switch] interface Vlan-interface 1
[Switch-Vlan-interface1] nat outbound 2001 address-group 1
[Switch-Vlan-interface1] quit
某公司內部對外提供Web、FTP和SMTP服務,而且提供兩台Web服務器。公司內部網址為10.110.0.0/16。其中,內部FTP服務器地址為10.110.10.3/16,內部Web服務器1的IP地址為10.110.10.1/16,內部Web服務器2的IP地址為10.110.10.2/16,內部SMTP服務器IP地址為10.110.10.4/16。公司擁有202.38.1.1/24至202.38.1.3/24三個IP地址。需要實現如下功能:
l 外部的主機可以訪問內部的服務器。
l 選用202.38.1.1作為公司對外提供服務的IP地址,Web服務器2對外采用8080端口。
圖1-7 內部服務器典型配置組網
# 進入接口Vlan-interface1。
<Switch> system-view
[Switch] interface Vlan-interface 1
# 設置內部FTP服務器。
[Switch-Vlan-interface1] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp
# 設置內部Web服務器1。
[Switch-Vlan-interface1] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www
# 設置內部Web服務器2。
[Switch-Vlan-interface1] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www
# 設置內部SMTP服務器。
[Switch-Vlan-interface1] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp
[Switch-Vlan-interface1] quit
l 私網上的PC通過Switch A訪問公網上的設備Switch B;
l Switch A上配置NAT功能,它對私網用戶和公網設備之間往來的報文做地址轉換,並將NAT日誌以UDP報文方式送往NAT日誌服務器;
l NAT日誌服務器運行XLog軟件,查看收到的NAT日誌信息。
圖1-8 NAT日誌輸出到日誌服務器組網圖
下麵隻列出了與NAT日誌相關的配置,各設備的IP地址及NAT設備上的NAT配置略。
# 設置Switch A的NAT日誌輸出到NAT日誌服務器。
<SwitchA> system-view
[SwitchA] userlog nat export slot 2 host 3.3.3.7 9021
# 設置Switch A的NAT日誌報文的源地址為9.9.9.9。
[SwitchA] userlog nat export source-ip 9.9.9.9
# 在Switch A上開啟NAT日誌功能。
[SwitchA] nat log enable
在NAT日誌/係統日誌服務器上需要允許Xlog軟件來查看收到的NAT日誌信息。
故障排除:通過打開NAT的調試信息開關,根據設備上的調試信息,初步定位錯誤,然後使用其它命令作進一步的判斷。調試時,注意觀察地址轉換後的源地址,要保證這個地址是希望轉換的地址,否則可能會是地址池配置錯誤。同時要保證目的網絡到地址池中地址段的路由可達。注意防火牆以及地址轉換本身的訪問控製列表對地址轉換造成的影響,同時注意路由的配置。
故障排除:如果外部主機不能正常訪問內部服務器,請檢查是否是內部服務器主機的配置有錯或路由器上對內部服務器的配置有錯,如對內部服務器的IP地址指定錯誤等等。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
