i目录1NAT1-11.
1NAT简介·1-11.
1.
1NAT工作机制·1-11.
1.
2NAT转换控制·1-31.
1.
3NAT实现方式·1-31.
1.
4NAT表项1-61.
1.
5NAT支持多VPN实例·1-61.
1.
6DNSmapping1-71.
1.
7NAT支持ALG·1-71.
2NAT配置任务简介1-71.
3配置限制和指导·1-81.
4配置静态地址转换1-81.
4.
1配置准备1-91.
4.
2配置出方向一对一静态地址转换·1-91.
4.
3配置出方向网段对网段静态地址转换·1-91.
4.
4配置入方向一对一静态地址转换·1-101.
4.
5配置入方向网段对网段静态地址转换·1-101.
5配置动态地址转换1-111.
5.
1配置准备1-111.
5.
2配置出方向动态地址转换·1-111.
5.
3配置入方向动态地址转换·1-121.
6配置内部服务器·1-131.
6.
1配置普通内部服务器1-131.
6.
2配置负载分担内部服务器·1-141.
7配置NAT444地址转换1-141.
8配置NAT业务板·1-151.
9配置DNSmapping·1-151.
10配置NAThairpin功能·1-161.
11配置NATALG·1-161.
12配置NAT日志功能1-171.
12.
1配置NAT会话日志功能1-171.
12.
2配置NAT444用户日志功能·1-171.
12.
3配置NAT444告警信息日志功能1-181.
13NAT显示和维护·1-181.
14NAT典型配置举例1-191.
14.
1内网用户通过NAT地址访问外网(静态地址转换)1-191.
14.
2内网用户通过NAT地址访问外网(地址不重叠)1-21ii1.
14.
3内网用户通过NAT地址访问外网(地址重叠)1-231.
14.
4外网用户通过外网地址访问内网服务器1-271.
14.
5外网用户通过域名访问内网服务器(地址不重叠)1-291.
14.
6外网用户通过域名访问内网服务器(地址重叠)1-321.
14.
7内网用户通过NAT地址访问内网服务器1-351.
14.
8内网用户通过NAT地址互访1-381.
14.
9地址重叠的两个VPN之间互访1-411.
14.
10负载分担内部服务器典型配置举例1-441.
14.
11NATDNSmapping典型配置举例1-461-11NAT目前除CSPC-CP2LB单板外,其他业业板都可以提供NAT处理.
实实NAT功能时,如果入接口位于CMPE-1104单板或CSPC类单板,需要配置QoS策略将流量入接口收到的报文重定向到出接口上指定的提供NAT处理的业业板,这这流量才会进行NAT处理.
关于QoS策略的相关介绍绍参见"ACL和QoS配置指导"中的"QoS".
1.
1NAT简介NAT(NetworkAddressTranslation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程.
在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的.
NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用.
NAT可以让少量的外网网络IP地址代表较多的内部网络IP地址,这种地址转换能力具备以下优点:私有网络内部的通信利用私网地址,如果私有网络需要与外部网络通信或访问外部资源,则可通过将大量的私网地址转换成少量的公网地址来实现,这在一定程度上缓解了IPv4地址空间日益枯竭的压力.
地址转换可以利用端口信息,通过同时转换公网地址与传输层端口号,使得多个私网用户可共用一个公网地址与外部网络通信,节省了公网地址.
通过静态映射,不同的内部服务器可以映射到同一个公网地址.
外部用户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服务器的真实IP地址,从而防止外部对内部服务器乃至内部网络的攻击.
方便网络管理,例如私网服务器迁移时,无需过多配置的改变,仅仅通过调整内部服务器的映射表就可将这一变化体现出来.
1.
1.
1NAT工作机制配置了NAT功能的连接内部网络和外部网络的边缘设备,通常被称为NAT设备.
当内部网络访问外部网络的报文经过NAT设备时,NAT设备会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网侧返回时,NAT设备查找原有的记录,将报文的目的地址再替换回原来的私网地址,并转发给内网侧主机.
这个过程,在私网侧或公网侧设备看来,与普通的网络访问并没有任何的区别.
1.
基本概念NAT接口:NAT设备上应用了NAT相关配置的接口.
NAT地址:用于进行地址转换的IP地址,与外部网络路由可达,可静态指定或动态分配.
NAT表项:NAT设备上用于记录网络地址转换映射关系的表项.
EasyIP功能:NAT转换时直接使用设备上接口的IP地址作为NAT地址.
设备上接口的地址可通过DHCP等协议动态获取,因此对于支持EasyIP的NAT配置,不直接指定NAT地址,而是指定对应的接口或当前接口.
1-22.
NAT的基本组网类型(1)传统NAT报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换.
对于内网访问外网的报文,在出接口上进行源IP地址转换;对于外网访问内网的报文,在入接口上进行目的地址IP地址转换.
(2)两次NAT报文入接口和出接口均为NAT接口.
报文经过NAT设备时,先后进行两次NAT转换.
对于内网访问外网的报文和外网访问内网的报文,均在入接口进行目的IP地址转换,在出接口进行源IP地址转换.
这种方式常用于支持地址重叠的VPN间互访.
(3)双向NAT报文经过NAT设备时,在NAT接口上同时进行一次源IP地址转换和一次目的IP地址转换.
对于内网访问外网的报文,在出接口上同时进行源IP地址和目的IP地址的转换;对于外网访问内网的报文,同时在入接口上进行目的地址IP地址和源IP地址的转换.
这种方式常用于支持内网用户主动访问与之地址重叠的外网资源.
(4)NAThairpinNAThairpin功能用于满足位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT地址进行访问的需求.
使能NAThairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换.
它支持两种组网模式:P2P:位于内网侧的用户之间通过动态分配的NAT地址互访.
C/S:位于内网侧的用户使用静态配置的NAT地址访问内网服务器.
3.
传统NAT的典型工作过程如图1-1所示,一台NAT设备连接内网和外网,连接外网的接口为NAT接口,当有报文经过NAT设备时,NAT的基本工作过程如下.
图1-1NAT基本工作过程示意图(1)当内网用户主机(192.
168.
1.
3)向外网服务器(1.
1.
1.
2)发送的IP报文通过NAT设备时,NAT设备查看报文的IP头内容,发现该报文是发往外网的,则将其源IP地址字段的内网地址192.
168.
1.
3转换成一个可路由的外网地址20.
1.
1.
1,并将该报文发送给外网服务器,同时在NAT设备上建立表项记录这一映射.
(2)外网服务器给内网用户发送的应答报文到达NAT设备后,NAT设备使用报文信息匹配建立的表项,然后查找匹配到的表项记录,用内网私有地址192.
168.
1.
3替换初始的目的IP地址20.
1.
1.
1.
上述的NAT过程对终端(如图中的Host和Server)来说是透明的.
对外网服务器而言,它认为内网用户主机的IP地址就是20.
1.
1.
1,并不知道有192.
168.
1.
3这个地址.
因此,NAT"隐藏"了企业的私有网络.
192.
168.
1.
3Src:192.
168.
1.
3Dst:1.
1.
1.
2Src:20.
1.
1.
1Dst:1.
1.
1.
2192.
168.
1.
120.
1.
1.
1Src:1.
1.
1.
2Dst:20.
1.
1.
1Src:1.
1.
1.
2Dst:192.
168.
1.
31.
1.
1.
2ServerHostNATIntranetInternetBeforeNAT192.
168.
1.
3AfterNAT20.
1.
1.
1DirectionOutbound20.
1.
1.
1192.
168.
1.
3Inbound1-31.
1.
2NAT转换控制在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问;或者希望某些外部网络的主机可以访问内部网络,而某些主机不允许访问.
即NAT设备只对符合要求的报文进行地址转换.
NAT设备可以利用ACL(AccessControlList,访问控制列表)来对地址转换的使用范围进行控制,通过定义ACL规则,并将其与NAT配置相关联,实现只对匹配指定的ACLpermit规则的报文才进行地址转换的目的.
而且,NAT仅使用规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例这几个元素进行报文匹配,忽略其它元素.
1.
1.
3NAT实现方式1.
静态方式静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境.
静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网.
2.
动态方式动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生.
该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境.
动态地址转换存在两种转换模式:NO-PAT模式NO-PAT(NotPortAddressTranslation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用.
当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用.
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文.
PAT模式PAT(PortAddressTranslation)模式下,一个NAT地址可以同时分配给多个内网地址共用.
该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(InternetControlMessageProtocol,因特网控制消息协议)查询报文.
图1-2描述了PAT的基本原理.
图1-2PAT基本原理示意图1-4如图1-2所示,三个带有内网地址的报文到达NAT设备,其中报文1和报文2来自同一个内网地址但有不同的源端口号,报文1和报文3来自不同的内网地址但具有相同的源端口号.
通过PAT映射,三个报文的源IP地址都被转换为同一个外网地址,但每个报文都被赋予了不同的源端口号,因而仍保留了报文之间的区别.
当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机.
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问.
目前,PAT支持两种不同的地址转换模式:Endpoint-IndependentMapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好的支持位于不同NAT网关之后的主机进行互访.
AddressandPort-DependentMapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号.
与Endpoint-IndependentMapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访.
3.
内部服务器在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务.
这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系.
如图1-3所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备将报文的目的地址与接口上的NAT内部服务器配置进行匹配,并将匹配上的访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号.
当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成外网IP地址和端口号.
图1-3内部服务器基本原理示意图4.
NAT444端口块方式NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能.
在众多IPv4向IPv6网络过渡的技术中,NAT444仅需在运营商侧引入二次NAT,对终端和应用服务器端的更改较小,并且NAT444通过端口块分配方式解决用户溯源等问题,因此成为了运营商的首选IPv6过渡方案.
NAT444解决方案的架构如图1-4所示.
192.
168.
1.
3192.
168.
1.
120.
1.
1.
120.
1.
1.
2NATIntranetInternetHostServerDst:20.
1.
1.
1:8080Dst:192.
168.
1.
3:8080Src:192.
168.
1.
3:8080Src:20.
1.
1.
1:8080BeforeNAT20.
1.
1.
1:8080AfterNAT192.
168.
1.
3:8080DirectionInbound1-5图1-4NAT444解决方案架构CPE:实现用户侧地址转换.
BRAS:负责接入终端,并配合AAA完成用户认证、授权和计费.
NAT444网关:实现运营商级地址转换.
AAA服务器:负责用户认证、授权和计费等.
日志服务器:接受和记录用户访问信息,响应用户访问信息查询.
NAT444网关设备进行的地址转换(以下称为"NAT444地址转换")是一种PAT方式的动态地址转换,但与普通PAT方式动态地址转换不同的是,NAT444地址转换是基于端口块(即一个端口范围)的方式来复用公网IP地址的,即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块.
例如:假设私网IP地址10.
1.
1.
1独占公网IP地址202.
1.
1.
1的一个端口块10001~10256,则该私网IP向公网发起的所有连接,源IP地址都将被转换为同一个公网IP地址202.
1.
1.
1,而源端口将被转换为端口块10001~10256之内的一个端口.
端口块的分配支持静态映射和动态映射两种方式,本设备目前仅支持端口块动态映射.
(2)端口块静态映射端口块静态映射是指,NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项.
当私网IP地址成员中的某个私网IP地址向公网发起新建连接时,根据私网IP地址匹配静态端口块表项,获取对应的公网IP地址和端口块,并从端口块中动态为其分配一个公网端口,对报文进行地址转换.
配置端口块静态映射时,需要创建一个端口块组,并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小.
假设端口块组中每个公网IP地址的可用端口块数为m(即端口范围除以端口块大小),则端口块静态映射的算法如下:按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列,最小的m个私网IP地址对应最小的公网IP地址及其端口块,端口块按照起始端口号从小到大的顺序分配;次小的m个私网IP地址对应次小的公网IP地址及其端口块,端口块的分配顺序相同;依次类推.
(3)端口块动态映射端口块动态映射融合了普通NAT动态地址转换和NAT444端口块静态映射的特点.
当内网用户向公网发起连接时,首先根据动态地址转换中的ACL规则进行过滤,决定是否需要进行源地址转换.
对于需要进行源地址转换的连接,当该连接为该用户的首次连接时,从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址,从该公网IP地址中动态分配一个端口块,创建动态端口块表项,然后从端口块表项中动态分配一个公网端口,进行地址转换.
对该用户后续连接的转换,均从生成的动态端口块表项中分配公网端口.
当该用户的所有连接都断开时,回收为其分配的端口块资源,删除相应的动态端口块表项.
端口块动态映射支持增量端口块分配.
当为某私网IP地址分配的端口块资源耗尽(端口块中的所有端口都被使用)时,如果该私网IP地址向公网发起新的连接,则无法再从端口块中获取端口,无法进行地址转换.
此时,如果预先在相应的NAT地址组中配置了增量端口块数,则可以为该私网IP地址分配额外的端口块,进行地址转换.
1-61.
1.
4NAT表项1.
NAT会话表项NAT设备处理一个连接的首报文时便确定了相应的地址转换关系,并同时创建会话表项,该会话表项中添加了NAT扩展信息(例如接口信息、转换方式).
会话表项中记录了首报文的地址转换信息.
这类经过NAT处理的会话表项,也称为NAT会话表项.
当该连接的后续报文经过NAT设备时,将与NAT会话表项进行匹配,NAT设备从匹配到的会话表项中得到首报文的转换方式,并根据首报文的转换方式对后续报文进行处理.
后续报文方向与首报文相同时,源和目的的转换方式与首报文相同;方向相反时,转换方式与首报文相反.
即,如果首报文转换了源地址,则后续报文需要转换目的地址;如果首报文转换了目的地址,则后续报文需要转换源地址.
NAT会话表项的更新和老化由会话管理模块维护,关于会话管理的相关介绍请参见"安全配置指导"中的"会话管理".
2.
EIM表项如果NAT设备上使能了Endpoint-IndependentMapping模式,则在PAT方式的动态地址转换过程中,会首先创建一个NAT会话表项,然后创建一个EIM表项用于记录地址和端口的转换关系(内网地址和端口NAT地址和端口),该表项有以下两个作用:保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系.
允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换.
该表项在与其相关联的所有NAT会话表项老化后老化.
3.
NO-PAT表项在NO-PAT方式进行源地址的动态转换过程中,NAT设备首先创建一个NAT会话表项,然后建立一个NO-PAT表项用于记录该转换关系(内网地址NAT地址).
除此之外,在NAT设备进行ALG处理时,也会触发创建NO-PAT表项.
NATALG的相关介绍请参见"1.
1.
7NAT支持ALG".
NO-PAT表项有以下两个作用:保证后续来自相同源地址的新建连接与首次连接使用相同的转换关系.
配置了reversible参数的情况下,允许满足指定条件的主机向NAT地址发起的新建连接根据NO-PAT表项进行反向地址转换.
该表项在与其相关联的所有NAT会话表项老化后老化.
4.
NAT444端口块表项NAT444端口块表项记录1个用户在NAT444网关转换前的私网IP地址、转换后对应的公网IP地址及其端口块.
动态端口块表项在收到某私网IP地址的首次连接时创建,在该私网IP地址的所有连接都已关闭,表项中的所有端口都被回收时删除.
1.
1.
5NAT支持多VPN实例支持多VPN实例的NAT允许VPN实例内的用户访问外部网络,同时允许分属于不同VPN实例的用户互访.
例如,当某VPN实例内的用户经过NAT设备访问外部网络时,NAT将内部网络主机的IP地址和端口替换为NAT地址和端口,同时还记录了用户的VPN实例信息(如VPN实例名称).
外部网络的回应报文到达NAT设备时,NAT将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时可得知该回应报文应该转发给哪一个VPN实例内的用户.
另外,NAT还可利用外部网络地址所携带的VPN实例信息,支持多个VPN实例之间的互访.
同时,NAT内部服务器也支持多VPN实例,这给外部网络提供了访问VPN实例内服务器的机会.
例如,VPN1内提供Web服务的主机地址是10.
110.
1.
1,可以使用202.
110.
10.
20作为Web服务器的外部地址,Internet的用户使用202.
110.
10.
20的地址就可以访问到VPN1提供的Web服务.
1-71.
1.
6DNSmapping一般情况下,DNS(DomainNameSystem,域名系统)服务器和访问私网服务器的用户都在公网,通过在NAT设备的公网接口上配置内部服务器,可以将公网地址、端口等信息映射到私网内的服务器上,使得公网用户可以通过内部服务器的域名或公网地址来访问内部服务器.
但是,如图1-5所示,如果DNS服务器在公网,私网用户希望通过域名来访问私网的Web服务器,则会由于DNS服务器向私网用户发送的响应报文中包含的是私网服务器的公网地址,而导致收到响应报文的私网用户无法利用域名访问私网服务器.
通过在设备上配置DNSmapping可以解决该问题.
图1-5NATDNSmapping工作示意图DNSmapping功能是指,通过配置"域名+公网IP地址+公网端口号+协议类型"的映射表,建立内部服务器域名与内部服务器公网信息的对应关系.
在配置了NAT的接口上,设备检查接收到的DNS响应报文,根据报文中的域名查找用户配置的DNSmapping映射表,并根据表项内的"公网地址+公网端口+协议类型"信息查找内部服务器地址映射表中该信息对应的私网地址,替换DNS查询结果中的公网地址.
这样,私网用户收到的DNS响应报文中就包含了要访问的内部服务器的私网地址,也就能够使用内部服务器域名访问同一私网内的内部服务器.
1.
1.
7NAT支持ALGALG(ApplicationLevelGateway,应用层网关)主要完成对应用层报文的解析和处理.
通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理.
然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常.
例如,FTP(FileTransferProtocol,文件传输协议)应用由FTP客户端与FTP服务器之间建立的数据连接和控制连接共同实现,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置完成载荷信息的转换,以保证后续数据连接的正确建立.
1.
2NAT配置任务简介若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、NAT444端口块动态映射和内部服务器的配置,则在地址转换过程中,它们的优先级从高到低依次为:(1)内部服务器.
(2)普通NAT静态地址转换.
(3)NAT444端口块动态映射和普通NAT动态地址转换,系统对二者不做区分,统一按照ACL编号由大到小的顺序匹配.
1-8表1-1NAT配置任务简介配置任务说明详细配置配置静态地址转换根据实际的组网需求,选择其中一种或多种转换方式(1)静态地址转换适用于:转换关系完全确定(2)动态地址转换PAT方式适用于大量内网用户通过少量NAT地址访问外网NO-PAT方式,通常仅用于配合内部服务器或静态地址转换实现双向NAT应用(3)内部服务器:内网服务器向外网提供服务(4)NAT444端口块动态映射适用于用户私网IP地址不确定的组网环境1.
4配置动态地址转换1.
5配置内部服务器1.
6配置NAT444地址转换1.
7配置NAT业务板必选1.
8配置DNSmapping可选1.
9配置NAThairpin可选1.
10配置NATALG功能可选1.
11配置NAT日志功能可选1.
121.
3配置限制和指导配置BFD功能的接口不能开启EasyIP功能,否则可能导致BFD功能不能正常使用.
关于BFD的详细介绍请参见"可靠性配置指导"中的"BFD".
配置EasyIP功能时,必须将提供NAT处理的业务板指定为流量出接口所在单板.
配置两次NAT时,入接口和出接口上指定提供NAT处理的业务板必须为同一块单板.
在同时配置了多条动态地址转换的情况下:{指定了ACL参数的动态地址转换配置的优先级高于未指定ACL参数的动态地址转换配置;{对于指定了ACL参数的动态地址转换配置,其优先级由ACL编号的大小决定,编号越大,优先级越高.
当QoS策略的流量重定向动作切换至重定向到指定的单板,或者从重定向到指定单板切换至其他重定向动作后,需要使用resetipfast-forwardingcacheslot命令清除指定单板上的快速转发表中的信息.
IRF模式下,QoS策略不支持重定向到其他成员设备的NAT单板.
当端口容量不大于80G的CSPC类单板和丝印为CMPE-1104的单板上的子接口使能QinQ终结功能后,该子接口无法作为NAT出接口.
单板的端口容量是指整块单板上所有接口速率的总和,如CSPC-GP24XP2LB单板的端口容量为44G,即2x10G+24x1G.
1.
4配置静态地址转换配置静态地址转换时,需要首先在系统视图下配置静态地址转换映射,然后在接口下使该转换映射生效.
静态地址转换映射支持两种方式:一对一静态转换映射、网段对网段静态转换映射.
静态地址转换可以支持配置在接口的出方向(natstaticoutbound)或入方向(natstaticinbound)上,入方向的静态地址转换通常用于与其他NAT转换方式配合以实现双向NAT,不建议单独配置.
1-91.
4.
1配置准备配置控制地址转换范围的ACL.
ACL配置的相关介绍请参见"ACL和QoS配置指导"中的"ACL".
需要注意的是,NAT仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素.
对于入方向静态地址转换,需要手工添加路由:目的地址为静态地址转换配置中指定的local-ip或local-network;下一跳为静态地址转换配置中指定的外网地址,或者报文出接口的实际下一跳地址.
1.
4.
2配置出方向一对一静态地址转换出方向一对一静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的源IP地址转换为global-ip.
对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的目的IP地址转换为local-ip.
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACLpermit规则的报文进行地址转换.
表1-2配置出方向一对一静态地址转换操作命令说明进入系统视图system-view-配置出方向一对一静态地址转换映射natstaticoutboundlocal-ip[vpn-instancelocal-name]global-ip[vpn-instanceglobal-name][aclacl-number[reversible]]缺省情况下,不存在任何地址转换映射退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-开启接口上的NAT静态地址转换功能natstaticenable缺省情况下,NAT静态地址转换功能处于关闭状态1.
4.
3配置出方向网段对网段静态地址转换出方向网段对网段静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络到一个外部公有网络的地址转换,具体过程如下:对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网网络地址进行匹配,并将匹配的源IP地址转换为指定外网网络地址之一.
对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网网络地址进行匹配,并将匹配的目的IP地址转换为指定的内网网络地址之一.
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACLpermit规则的报文进行地址转换.
表1-3配置出方向网段对网段静态地址转换操作命令说明进入系统视图system-view-1-10操作命令说明配置出方向网段对网段静态地址转换映射natstaticoutboundnet-to-netlocal-start-addresslocal-end-address[vpn-instancelocal-name]globalglobal-network{mask-length|mask}[vpn-instanceglobal-name][aclacl-number[reversible]]缺省情况下,不存在任何地址转换映射退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-开启接口上的NAT静态地址转换功能natstaticenable缺省情况下,NAT静态地址转换功能处于关闭状态1.
4.
4配置入方向一对一静态地址转换入方向一对一静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下:对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的目的IP地址转换为global-ip.
对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的源IP地址转换为local-ip.
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACLpermit规则的报文进行地址转换.
表1-4配置入方向一对一静态地址转换操作命令说明进入系统视图system-view-配置入方向一对一静态地址转换映射natstaticinboundglobal-ip[vpn-instanceglobal-name]local-ip[vpn-instancelocal-name][aclacl-number[reversible]]缺省情况下,不存在任何地址转换映射退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-开启接口上的NAT静态地址转换功能natstaticenable缺省情况下,NAT静态地址转换功能处于关闭状态1.
4.
5配置入方向网段对网段静态地址转换入方向网段对网段静态地址转换用于实现一个内部私有网络与一个外部公有网络之间的地址转换,具体过程如下:对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网网络地址进行匹配,并将匹配的目的IP地址转换为指定的外网网络地址之一.
对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网网络地址进行匹配,并将匹配的源IP地址转换为指定的内网网络地址之一.
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACLpermit规则的报文进行地址转换.
1-11表1-5配置入方向网段对网段静态地址转换操作命令说明进入系统视图system-view-配置入方向网段对网段静态地址转换映射natstaticinboundnet-to-netglobal-start-addressglobal-end-address[vpn-instanceglobal-name]locallocal-network{mask-length|mask}[vpn-instancelocal-name][aclacl-number[reversible]]缺省情况下,不存在任何地址转换映射退回系统视图quit-进入接口视图interfaceinterface-typeinterface-number-开启接口上的NAT静态地址转换功能natstaticenable缺省情况下,NAT静态地址转换功能处于关闭状态1.
5配置动态地址转换通过在接口上配置ACL和地址组(或接口地址)的关联即可实现动态地址转换.
直接使用接口的IP地址作为转换后的地址,即实现EasyIP功能.
选择使用地址组中的地址作为转换后的地址,根据地址转换过程中是否转换端口信息可将动态地址转换分为NO-PAT和PAT两种方式.
1.
5.
1配置准备配置控制地址转换范围的ACL.
ACL配置的相关介绍请参见"ACL和QoS配置指导"中的"ACL".
需要注意的是,NAT仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素.
确定是否直接使用接口的IP地址作为转换后的报文源地址.
配置根据实际网络情况,合理规划可用于地址转换的公网IP地址组.
确定地址转换过程中是否使用端口信息.
对于入方向动态地址转换,如果指定了add-route参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址;如果没有指定add-route参数,则用户需要在设备上手工添加路由.
由于自动添加路由表项速度较慢,通常建议手工添加路由.
1.
5.
2配置出方向动态地址转换出方向动态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:对于经过该接口发送的内网访问外网的报文,将与指定ACLpermit规则匹配的报文源IP地址转换为地址组中的地址.
在指定了no-patreversible参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址.
1-12表1-6配置出方向动态地址转换操作命令说明进入系统视图system-view-创建一个NAT地址组,并进入NAT地址组视图nataddress-groupgroup-number缺省情况下,不存在地址组添加地址组成员addressstart-addressend-address缺省情况下,不存在地址组成员可通过多次执行本命令添加多个地址组成员当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠进入接口视图interfaceinterface-typeinterface-number-配置出方向动态地址转换NO-PAT方式natoutbound[acl-number]address-groupgroup-number[vpn-instancevpn-instance-name]no-pat[reversible]二者至少选其一缺省情况下,不存在出方向动态地址转换配置一个接口下可配置多个出方向的动态地址转换PAT方式natoutbound[acl-number][address-groupgroup-number][vpn-instancevpn-instance-name][port-preserved](可选)配置PAT方式地址转换的模式natmapping-behaviorendpoint-independent[aclacl-number]缺省情况下,PAT方式地址转换的模式为AddressandPort-DependentMapping该配置只对PAT方式的出方向动态地址转换有效1.
5.
3配置入方向动态地址转换入方向动态地址转换功能通常与接口上的出方向动态地址转换(natoutbound)、内部服务器(natserver)或出方向静态地址转换(natstaticoutbound)配合,用于实现双向NAT应用,不建议单独使用.
入接口动态地址转换的具体过程如下:对于该接口接收到的外网访问内网的首报文,将与指定的ACLpermit规则匹配的报文的源IP地址转换为地址组中的地址.
在指定了no-patreversible参数,并且已经存在NO-PAT表项的情况下,对于经过该接口发送的内网访问外网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址.
需要注意的是,设备不支持入方向动态地址转换和EasyIP功能配合使用.
表1-7配置入方向动态地址转换操作命令说明进入系统视图system-view-创建一个NAT地址组,并进入NAT地址组视图nataddress-groupgroup-number缺省情况下,不存在NAT地址组1-13操作命令说明添加地址组成员addressstart-addressend-address缺省情况下,不存在地址组成员可通过多次执行本命令添加多个地址组成员当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址组成员重叠进入接口视图interfaceinterface-typeinterface-number-配置入方向动态地址转换natinboundacl-numberaddress-groupgroup-number[vpn-instancevpn-instance-name][no-pat[reversible][add-route]]缺省情况下,不存在入方向动态地址转换配置一个接口下可配置多个入方向的动态地址转换1.
6配置内部服务器通过在NAT设备上配置内部服务器,建立一个或多个内网服务器内网地址和端口与外网地址和端口的映射关系,使外部网络用户能够通过配置的外网地址和端口来访问内网服务器.
内部服务器可以位于一个普通的内网内,也可以位于一个VPN实例内.
内部服务器通常配置在外网侧接口上.
若内部服务器配置中引用了acl参数,则表示与指定的ACLpermit规则匹配的报文才可以使用内部服务器的映射表进行地址转换.
需要注意的是,NAT仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素.
1.
6.
1配置普通内部服务器普通的内部服务器是将内网服务器的地址和端口映射为外网地址和端口,允许外部网络中的主机通过配置的外网地址和端口访问位于内网的服务器.
表1-8配置普通内部服务器操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置普通内部服务器外网地址单一,未使用外网端口或外网端口单一natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}[global-port][vpn-instanceglobal-name]insidelocal-address[local-port][vpn-instancelocal-name][aclacl-number]四者至少选其一缺省情况下,不存在内部服务器一个接口下可以配置多个普通内部服务器外网地址单一,外网端口连续natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}global-port1global-port2[vpn-instanceglobal-name]inside{{local-address|local-address1local-address2}local-port|local-addresslocal-port1local-port2}[vpn-instancelocal-name][aclacl-number]外网地址连续,未使用外网端口或外网端口单一natserverprotocolpro-typeglobalglobal-address1global-address2[global-port][vpn-instanceglobal-name]inside{local-address|local-address1local-address2}[local-port][vpn-instancelocal-name][aclacl-number]外网地址连续,外网端口单一natserverprotocolpro-typeglobalglobal-address1global-address2global-port[vpn-instanceglobal-name]insidelocal-addresslocal-port1local-port2[vpn-instancelocal-name][aclacl-number]1-141.
6.
2配置负载分担内部服务器负载分担内部服务器是指在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务.
外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担.
表1-9配置负载分担内部服务器操作命令说明进入系统视图system-view-配置内部服务器组,并进入服务器组视图natserver-groupgroup-number缺省情况下,不存在内部服务器组添加内部服务器组成员insideipinside-ipportport-number[weightweight-value]缺省情况下,内部服务器组内没有内部服务器组成员一个内部服务器组内可以添加多个组成员进入接口视图interfaceinterface-typeinterface-number-配置负载分担内部服务器natserverprotocolpro-typeglobal{{global-address|current-interface|interfaceinterface-typeinterface-number}{global-port|global-port1global-port2}|global-address1global-address2global-port}[vpn-instanceglobal-name]insideserver-groupgroup-number[vpn-instancelocal-name][aclacl-number]缺省情况下,不存在内部服务器一个接口下可以配置多个负载分担内部服务器1.
7配置NAT444地址转换通过在NAT444网关设备上配置NAT444地址转换,可以实现基于端口块的公网IP地址复用,使一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块.
NAT444是出方向地址转换,通常配置在外网侧接口上.
NAT444端口块动态映射的配置方式与普通的PAT方式出方向动态地址转换的配置基本相同,只要在接口的出方向上配置ACL和NAT地址组的关联即可.
所不同的是,对于NAT444端口动态映射,必须在NAT地址组中配置端口块参数,以实现基于端口块的NAT444地址转换.
表1-10配置NAT444端口块动态映射操作命令说明进入系统视图system-view-创建一个NAT地址组,并进入NAT地址组视图nataddress-groupgroup-number缺省情况下,不存在地址组添加地址组成员addressstart-addressend-address缺省情况下,不存在地址组成员可通过多次执行本命令添加多个地址组成员当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠1-15操作命令说明配置端口范围port-rangestart-port-numberend-port-number缺省情况下,端口范围为1-65535该配置仅对PAT方式地址转换生效配置端口块参数port-blockblock-sizeblock-size[extended-block-numberextended-block-number]缺省情况下,不存在端口块参数该配置仅对PAT方式地址转换生效进入接口视图interfaceinterface-typeinterface-number-配置PAT方式出方向动态地址转换natoutbound[acl-number][address-groupgroup-number][vpn-instancevpn-instance-name][port-preserved]缺省情况下,不存在PAT方式出方向动态地址转换配置port-preserved参数对NAT444端口块动态映射无效(可选)配置PAT方式地址转换的模式natmapping-behaviorendpoint-independent[aclacl-number]缺省情况下,PAT方式出方向动态地址转换的模式为AddressandPort-DependentMapping1.
8配置NAT业务板通过在配置了NAT业务的接口上指定具有NAT处理能力的业务板(以下称为NAT业务板),使该接口的NAT功能生效.
表1-11配置NAT业务板操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-指定NAT业务板(独立运行模式)natserviceslotslot-number缺省情况下,接口没有指定NAT业务板指定NAT业务板(IRF模式)natservicechassischassis-numberslotslot-number缺省情况下,接口没有指定NAT业务板如果需要在出入接口同时配置natserviceslot,绍请先指定相同槽位,否则会大幅降低设设设设性能.
1.
9配置DNSmapping通过配置DNSmapping,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能.
DNSmapping功能需要和内部服务器配合使用,由natserver配置定义内部服务器对外提供服务的外网IP地址和端口号,由DNSmapping建立"内部服务器域名外网IP地址+外网端口号+协议类型"的映射关系.
NAT设备对来自外网的DNS响应报文进行DNSALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNSALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果.
因此需要借助DNSmapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的1-16映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址.
表1-12配置DNSmapping操作命令说明进入系统视图system-view-配置一条域名到内部服务器的映射natdns-mapdomaindomain-nameprotocolpro-type{interfaceinterface-typeinterface-number|ipglobal-ip}portglobal-port缺省情况下,不存在域名到内部服务器的映射可配置多条域名到内部服务器的映射1.
10配置NAThairpin功能通过在内网侧接口上使能NAThairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户.
NAThairpin功能需要与内部服务器(natserver)、出方向动态地址转换(natoutbound)或出方向静态地址转换(natstaticoutbound)配合工作.
该功能在不同工作方式下的具体转换过程如下:C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成.
P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访.
该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并使能EIM模式.
表1-13配置NAThairpin功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-使能NAThairpin功能nathairpinenable缺省情况下,NAThairpin功能处于关闭状态1.
11配置NATALG通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理.
表1-14配置NATALG功能操作命令说明进入系统视图system-view-开启指定或所有协议类型的NATALG功能natalg{all|dns|ftp|h323|icmp-error|ils|mgcp|nbt|pptp|rsh|rtsp|sccp|sip|sqlnet|tftp|xdmcp}缺省情况下,所有协议类型的NATALG功能均处于开启状态1-171.
12配置NAT日志功能1.
12.
1配置NAT会话日志功能NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息.
有三种情况可以触发设备生成NAT会话日志:新建NAT会话.
删除NAT会话.
新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除.
存在NAT活跃流.
NAT活跃流是指在一定时间内存在的NAT会话.
当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志.
表1-15配置NAT会话日志功能操作命令说明进入系统视图system-view-开启NAT日志功能natlogenable[aclacl-number]缺省情况下,NAT日志功能处于关闭状态开启NAT新建会话的日志功能natlogflow-begin三者至少选其一缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志开启NAT删除会话的日志功能natlogflow-end开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔natlogflow-activetime-value1.
12.
2配置NAT444用户日志功能NAT444用户日志是为了满足互联网用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系.
在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址.
有两种情况可以触发设备输出NAT444用户日志:端口块分配:端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志.
端口块回收:端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志.
在配置NAT444用户日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444用户日志.
详细配置请参见"网络管理和监控配置指导"中的"信息中心".
表1-16配置NAT444用户日志功能操作命令说明进入系统视图system-view-开启NAT日志功能natlogenable[aclacl-number]缺省情况下,NAT日志功能处于关闭状态ACL参数对NAT444用户日志功能无效1-18操作命令说明开启端口块分配的NAT444用户日志功能natlogport-block-assign二者至少选其一缺省情况下,分配和回收端口块时,均不输出NAT444用户日志开启端口块回收的NAT444用户日志功能natlogport-block-withdraw1.
12.
3配置NAT444告警信息日志功能在NAT444地址转换中,如果可为用户分配的公网IP地址、端口块或端口块中的端口都被占用,则该用户的后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃.
为了监控公网IP地址和端口块资源的使用情况,可以对端口用满和资源用满两种情况记录告警信息日志.
端口用满告警:在私网IP地址对应的端口块中的所有端口都被占用的情况下,输出告警信息日志.
对于端口块动态映射方式,如果配置了增量端口块分配,则当首次分配的端口块中的端口都被占用时,并不输出日志;只有当增量端口块中的端口也都被占用时,才会输出日志.
资源用满告警:在NAT444端口块动态映射中,如果所有资源(公网IP地址、端口块)都被占用,则输出日志.
在配置NAT444告警信息日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444告警信息日志.
详细配置请参见"网络管理和监控配置指导"中的"信息中心".
表1-17配置NAT444告警信息日志功能操作命令说明进入系统视图system-view-开启NAT日志功能natlogenable[aclacl-number]缺省情况下,NAT日志功能处于关闭状态ACL参数对NAT444告警信息日志功能无效开启NAT444告警信息的日志功能natlogalarm缺省情况下,NAT444告警信息日志功能处于关闭状态1.
13NAT显示和维护在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除NAT表项.
表1-18NAT显示和维护操作命令显示所有的NAT配置信息displaynatall显示NAT地址组的配置信息displaynataddress-group[group-number]显示NATDNSmapping的配置信息displaynatdns-map显示NATEIM表项信息(独立运行模式)displaynateim[slotslot-number]显示NATEIM表项信息(IRF模式)displaynateim[chassischassis-numberslotslot-number]显示NAT入接口动态地址转换关系的配置信息displaynatinbound1-19操作命令显示NAT日志功能的配置信息displaynatlog显示NATNO-PAT表项信息(独立运行模式)displaynatno-pat[slotslot-number]显示NATNO-PAT表项信息(IRF模式)displaynatno-pat[chassischassis-numberslotslot-number]显示NAT出接口动态地址转换关系的配置信息displaynatoutbound显示动态端口块表项displaynatport-blockdynamic显示指定单板上NAT地址转换的统计信息displaynatserviceslotslot-number显示NAT内部服务器的配置信息displaynatserver显示NAT内部服务器组的配置信息displaynatserver-group[group-number]显示NAT会话(独立运行模式)displaynatsession[{source-ipsource-ip|destination-ipdestination-ip}*[vpn-instancevpn-name]][slotslot-number][verbose]显示NAT会话(IRF模式)displaynatsession[{source-ipsource-ip|destination-ipdestination-ip}*[vpn-instancevpn-name]][chassischassis-numberslotslot-number][verbose]显示NAT静态地址转换的配置信息displaynatstatic显示NAT统计信息(独立运行模式)displaynatstatistics[slotslot-number]显示NAT统计信息(IRF模式)displaynatstatistics[chassischassis-numberslotslot-number]删除NAT会话(独立运行模式)resetnatsession[slotslot-number]删除NAT会话(IRF模式)resetnatsession[chassischassis-numberslotslot-number]删除指定单板上NAT地址转换的统计信息resetnatservicestatisticsslotslot-number1.
14NAT典型配置举例1.
14.
1内网用户通过NAT地址访问外网(静态地址转换)1.
组网需求内部网络用户10.
110.
10.
8/24使用外网地址202.
38.
1.
100访问Internet.
2.
组网图图1-6静态地址转换典型配置组网图3.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#配置内网IP地址10.
110.
10.
8到外网地址202.
38.
1.
100之间的一对一静态地址转换映射.
system-view[Router]natstaticoutbound10.
110.
10.
8202.
38.
1.
100Host10.
110.
10.
8/24ServerInternetGE1/0/110.
110.
10.
1/24GE1/0/2202.
38.
1.
1/16Router1-20#使配置的静态地址转换在接口GigabitEthernet1/0/2上生效.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]natstaticenable#指定2号单板为提供NAT服务的业务板.
[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit#配置重定向报文的访问控制列表2001.
[Router]aclnumber2001[Router-acl-basic-2001]rulepermitsource10.
110.
10.
00.
0.
0.
255[Router-acl-basic-2001]quit#配置QoS策略将报文重定向到2号单板.
[Router]trafficclassifier1[Router-classifier-1]if-matchacl2001[Router-classifier-1]quit[Router]trafficbehavior1[Router-behavior-1]redirectslot2[Router-behavior-1]quit[Router]qospolicy1[Router-qospolicy-1]classifier1behavior1[Router-qospolicy-1]quit[Router]interfaceGigabitethernet1/0/1[Router-GigabitEthernet1/0/1]qosapplypolicy1inbound[Router-GigabitEthernet1/0/1]quit4.
验证配置#以上配置完成后,内网主机可以访问外网服务器.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatstaticStaticNATmappings:Totally1outboundstaticNATmappings.
IP-to-IP:LocalIP:10.
110.
10.
8GlobalIP:202.
38.
1.
100Configstatus:ActiveInterfacesenabledwithstaticNAT:Totally1interfacesenabledwithstaticNAT.
Interface:GigabitEthernet1/0/2Servicecard:Slot2Configstatus:Active#通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:10.
110.
10.
8/42496DestinationIP/port:202.
38.
1.
111/2048DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)Responder:SourceIP/port:202.
38.
1.
111/42496DestinationIP/port:202.
38.
1.
100/0DS-Litetunnelpeer:-1-21VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)State:ICMP_REPLYApplication:INVALIDStarttime:2012-08-1609:30:49TTL:27sInterface(in):GigabitEthernet1/0/1Interface(out):GigabitEthernet1/0/2Initiator->Responder:5packets420bytesResponder->Initiator:5packets420bytesTotalsessionsfound:11.
14.
2内网用户通过NAT地址访问外网(地址不重叠)1.
组网需求某公司内网使用的IP地址为192.
168.
0.
0/16.
该公司拥有202.
38.
1.
2和202.
38.
1.
3两个外网IP地址.
需要实现,内部网络中192.
168.
1.
0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet.
使用的外网地址为202.
38.
1.
2和202.
38.
1.
3.
2.
组网图图1-7内网用户通过NAT访问外网(地址不重叠)3.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#配置地址组0,包含两个外网地址202.
38.
1.
2和202.
38.
1.
3.
system-view[Router]nataddress-group0[Router-nat-address-group-0]address202.
38.
1.
2202.
38.
1.
3[Router-nat-address-group-0]quit#配置ACL2000,仅允许对内部网络中192.
168.
1.
0/24网段的用户报文进行地址转换.
[Router]aclnumber2000[Router-acl-basic-2000]rulepermitsource192.
168.
1.
00.
0.
0.
255[Router-acl-basic-2000]quit#在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL2000的报文进行源地址转换,并在转换过程中使用端口信息.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]natoutbound2000address-group0#指定2号单板为提供NAT服务的业务板.
1-22[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit#配置重定向报文的访问控制列表2001.
由于本例中重定向到提供NAT服务的业务板的报文为需要地址转换的报文,因此ACL2001中定义的ACL规则与ACL2000相同,但也可以根据实际组网需求定义不同的规则.
[Router]aclnumber2001[Router-acl-basic-2001]rulepermitsource192.
168.
1.
00.
0.
0.
255[Router-acl-basic-2001]quit#配置QoS策略将报文重定向到2号单板.
[Router]trafficclassifier1[Router-classifier-1]if-matchacl2001[Router-classifier-1]quit[Router]trafficbehavior1[Router-behavior-1]redirectslot2[Router-behavior-1]quit[Router]qospolicy1[Router-qospolicy-1]classifier1behavior1[Router-qospolicy-1]quit[Router]interfaceGigabitethernet1/0/1[Router-GigabitEthernet1/0/1]qosapplypolicy1inbound[Router-GigabitEthernet1/0/1]quit4.
验证配置以上配置完成后,HostA能够访问WWWserver,HostB和HostC无法访问WWWserver.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatallNATaddressgroupinformation:Totally1NATaddressgroups.
Addressgroup0:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
38.
1.
2202.
38.
1.
3NAToutboundinformation:Totallu1NAToutboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:0Port-preserved:NNO-PAT:NReversible:NServicecard:Slot2Configstatus:ActiveNATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:DisabledPort-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNATmappingbehavior:Mappingmode:AddressandPort-Dependent1-23ACL:---Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRSH:EnabledRTSP:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:Enabled#通过以下显示命令,可以看到HostA访问WWWserver时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:192.
168.
1.
10/52992DestinationIP/port:200.
1.
1.
10/2048DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)Responder:SourceIP/port:200.
1.
1.
10/4DestinationIP/port:202.
38.
1.
3/0DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)State:ICMP_REPLYApplication:INVALIDStarttime:2012-08-1514:53:29TTL:12sInterface(in):GigabitEthernet1/0/1Interface(out):GigabitEthernet1/0/2Initiator->Responder:1packets84bytesResponder->Initiator:1packets84bytesTotalsessionsfound:11.
14.
3内网用户通过NAT地址访问外网(地址重叠)1.
组网需求某公司内网网段地址为192.
168.
1.
0/24,该网段与要访问的外网Web服务器所在网段地址重叠.
该公司拥有202.
38.
1.
2和202.
38.
1.
3两个外网IP地址.
需要实现,内网用户可以通过域名访问外网的Web服务器.
1-242.
组网图图1-8内网用户通过NAT访问外网(地址重叠)3.
配置思路这是一个典型的双向NAT应用,具体配置思路如下.
内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求.
由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址.
动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNSALG功能实现,DNSALG功能缺省处于开启状态.
内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器.
由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现.
外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/0/2.
4.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#配置ACL2000,仅允许对192.
168.
1.
0/24网段的用户报文进行地址转换.
system-view[Router]aclnumber2000[Router-acl-basic-2000]rulepermitsource192.
168.
1.
00.
0.
0.
255[Router-acl-basic-2000]quit#创建地址组1.
[Router]nataddress-group1#添加地址组成员202.
38.
1.
2.
[Router-nat-address-group-1]address202.
38.
1.
2202.
38.
1.
2[Router-nat-address-group-1]quit#创建地址组2.
[Router]nataddress-group2#添加地址组成员202.
38.
1.
3.
[Router-nat-address-group-2]address202.
38.
1.
3202.
38.
1.
3[Router-nat-address-group-2]quit#在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]natinbound2000address-group1no-patreversible1-25#在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息.
[Router-GigabitEthernet1/0/2]natoutbound2000address-group2#指定2号单板为提供NAT服务的业务板.
[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit#配置静态路由,目的地址为外网服务器NAT地址202.
38.
1.
2,出接口为GigabitEthernet1/0/2,下一跳地址为20.
2.
2.
2(20.
2.
2.
2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准).
[Router]iproute-static202.
38.
1.
232gigabitethernet1/0/220.
2.
2.
2#配置重定向报文的访问控制列表2001.
由于本例中重定向到提供NAT服务的业务板的报文为需要地址转换的报文,因此ACL2001中定义的ACL规则与ACL2000相同,但也可以根据实际组网需求定义不同的规则.
[Router]aclnumber2001[Router-acl-basic-2001]rulepermitsource192.
168.
1.
00.
0.
0.
255[Router-acl-basic-2001]quit#配置QoS策略将报文重定向到2号单板.
[Router]trafficclassifier1[Router-classifier-1]if-matchacl2001[Router-classifier-1]quit[Router]trafficbehavior1[Router-behavior-1]redirectslot2[Router-behavior-1]quit[Router]qospolicy1[Router-qospolicy-1]classifier1behavior1[Router-qospolicy-1]quit[Router]interfaceGigabitethernet1/0/1[Router-GigabitEthernet1/0/1]qosapplypolicy1inbound5.
验证配置以上配置完成后,HostA能够通过域名访问Webserver.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatallNATaddressgroupinformation:Totally2NATaddressgroups.
Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
38.
1.
2202.
38.
1.
2Addressgroup2:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
38.
1.
3202.
38.
1.
3NATinboundinformation:Totally1NATinboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:1Addroute:NNO-PAT:YReversible:YServicecard:Slot21-26Configstatus:ActiveNAToutboundinformation:Totally1NAToutboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:2Port-preserved:NNO-PAT:NReversible:NServicecard:Slot2Configstatus:ActiveNATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:DisabledPort-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNATmappingbehavior:Mappingmode:AddressandPort-DependentACL:---Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRSH:EnabledRTSP:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:Enabled#通过以下显示命令,可以看到HostA访问WWWserver时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:192.
168.
1.
10/1694DestinationIP/port:202.
38.
1.
2/8080DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:192.
168.
1.
10/8080DestinationIP/port:202.
38.
1.
3/1025DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-1-27Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStarttime:2012-08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/0/1Interface(out):GigabitEthernet1/0/2Initiator->Responder:7packets308bytesResponder->Initiator:5packets312bytesTotalsessionsfound:11.
14.
4外网用户通过外网地址访问内网服务器1.
组网需求某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器.
公司内部网址为10.
110.
0.
0/16.
其中,内部FTP服务器地址为10.
110.
10.
3/16,内部Web服务器1的IP地址为10.
110.
10.
1/16,内部Web服务器2的IP地址为10.
110.
10.
2/16,内部SMTP服务器IP地址为10.
110.
10.
4/16.
公司拥有202.
38.
1.
1至202.
38.
1.
3三个公网IP地址.
需要实现如下功能:外部的主机可以访问内部的服务器.
选用202.
38.
1.
1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口.
2.
组网图图1-9外网用户通过外网地址访问内网服务器3.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#进入接口GigabitEthernet1/0/2.
system-view[Router]interfacegigabitethernet1/0/2#配置内部FTP服务器,允许外网主机使用地址202.
38.
1.
1、端口号21访问内网FTP服务器.
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.
38.
1.
121inside10.
110.
10.
3ftp#配置内部Web服务器1,允许外网主机使用地址202.
38.
1.
1、端口号80访问内网Web服务器1.
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.
38.
1.
180inside10.
110.
10.
1http#配置内部Web服务器2,允许外网主机使用地址202.
38.
1.
1、端口号8080访问内网Web服务器2.
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.
38.
1.
18080inside10.
110.
10.
2http1-28#配置内部SMTP服务器,允许外网主机使用地址202.
38.
1.
1以及SMTP协议定义的端口访问内网SMTP服务器.
[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.
38.
1.
1smtpinside10.
110.
10.
4smtp#指定2号单板为提供NAT服务的业务板.
[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit4.
验证配置以上配置完成后,外网Host能够通过NAT地址访问各内网服务器.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatallNATinternalserverinformation:Totally4internalservers.
Interface:GigabitEthernet1/0/2Protocol:6(TCP)GlobalIP/port:202.
38.
1.
1/21LocalIP/port:10.
110.
10.
3/21Servicecard:Slot2Configstatus:ActiveInterface:GigabitEthernet1/0/2Protocol:6(TCP)GlobalIP/port:202.
38.
1.
1/25LocalIP/port:10.
110.
10.
4/25Servicecard:Slot2Configstatus:ActiveInterface:GigabitEthernet1/0/2Protocol:6(TCP)GlobalIP/port:202.
38.
1.
1/80LocalIP/port:10.
110.
10.
1/80Servicecard:Slot2Configstatus:ActiveInterface:GigabitEthernet1/0/2Protocol:6(TCP)GlobalIP/port:202.
38.
1.
1/8080LocalIP/port:10.
110.
10.
2/80Servicecard:Slot2Configstatus:ActiveNATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:DisabledPort-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNATmappingbehavior:Mappingmode:AddressandPort-Dependent1-29ACL:---Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRSH:EnabledRTSP:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:Enabled#通过以下显示命令,可以看到Host访问FTPserver时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:202.
38.
1.
10/1694DestinationIP/port:202.
38.
1.
1/21DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:10.
110.
10.
3/21DestinationIP/port:202.
38.
1.
10/1694DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:FTPStarttime:2012-08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/0/2Interface(out):GigabitEthernet1/0/1Initiator->Responder:7packets308bytesResponder->Initiator:5packets312bytesTotalsessionsfound:11.
14.
5外网用户通过域名访问内网服务器(地址不重叠)1.
组网需求某公司内部对外提供Web服务,Web服务器地址为10.
110.
10.
2/24.
该公司在内网有一台DNS服务器,IP地址为10.
110.
10.
3/24,用于解析Web服务器的域名.
该公司拥有两个外网IP地址:202.
38.
1.
2和202.
38.
1.
3.
需要实现,外网主机可以通过域名访问内网的Web服务器.
1-302.
组网图图1-10外网用户通过域名访问内网服务器(地址不重叠)3.
配置思路外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口.
DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址.
外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNSALG功能实现,DNSALG功能缺省处于开启状态.
4.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#配置ACL2000,允许对内部网络中10.
110.
10.
2的报文进行地址转换.
system-view[Router]aclnumber2000[Router-acl-basic-2000]rulepermitsource10.
110.
10.
20[Router-acl-basic-2000]quit#创建地址组1.
[Router]nataddress-group1#添加地址组成员202.
38.
1.
3.
[Router-nat-address-group-1]address202.
38.
1.
3202.
38.
1.
3[Router-nat-address-group-1]quit#在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.
38.
1.
2访问内网DNS服务器.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]natserverprotocoludpglobal202.
38.
1.
2inside10.
110.
10.
3domain#在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换.
[Router-GigabitEthernet1/0/2]natoutbound2000address-group1no-patreversible#指定2号单板为提供NAT服务的业务板.
[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit1-315.
验证配置以上配置完成后,外网Host能够通过域名访问内网Webserver.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatallNATaddressgroupinformation:Totally1NATaddressgroups.
Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
38.
1.
3202.
38.
1.
3NAToutboundinformation:Totally1NAToutboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:1Port-preserved:NNO-PAT:YReversible:YServicecard:Slot2Configstatus:ActiveNATinternalserverinformation:Totally1internalservers.
Interface:GigabitEthernet1/0/2Protocol:17(UDP)GlobalIP/port:202.
38.
1.
2/53LocalIP/port:10.
110.
10.
3/53Servicecard:Slot2Configstatus:ActiveNATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:DisabledPort-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNATmappingbehavior:Mappingmode:AddressandPort-DependentACL:---Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRSH:Enabled1-32RTSP:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:Enabled#通过以下显示命令,可以看到Host访问Webserver时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:202.
1.
1.
2/1694DestinationIP/port:202.
38.
1.
3/8080DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:10.
110.
10.
2/8080DestinationIP/port:202.
1.
1.
2/1694DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStarttime:2012-08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/0/2Interface(out):GigabitEthernet1/0/1Initiator->Responder:7packets308bytesResponder->Initiator:5packets312bytesTotalsessionsfound:11.
14.
6外网用户通过域名访问内网服务器(地址重叠)1.
组网需求某公司内网使用的IP地址为192.
168.
1.
0/24.
该公司内部对外提供Web服务,Web服务器地址为192.
168.
1.
2/24.
该公司在内网有一台DNS服务器,IP地址为192.
168.
1.
3/24,用于解析Web服务器的域名.
该公司拥有三个外网IP地址:202.
38.
1.
2、202.
38.
1.
3和202.
38.
1.
4.
需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器.
2.
组网图图1-11外网用户通过域名访问内网服务器(地址重叠)1-333.
配置思路这是一个典型的双向NAT应用,具体配置思路如下.
外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口.
DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址.
NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNSALG功能实现,DNSALG功能缺省处于开启状态.
外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现.
NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/0/2.
4.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#配置ACL2000,允许对内部网络中192.
168.
1.
0/24网段的报文进行地址转换.
system-view[Router]aclnumber2000[Router-acl-basic-2000]rulepermitsource192.
168.
1.
00.
0.
0.
255[Router-acl-basic-2000]quit#创建地址组1.
[Router]nataddress-group1#添加地址组成员202.
38.
1.
2.
[Router-nat-address-group-1]address202.
38.
1.
2202.
38.
1.
2[Router-nat-address-group-1]quit#创建地址组2.
[Router]nataddress-group2#添加地址组成员202.
38.
1.
3.
[Router-nat-address-group-2]address202.
38.
1.
3202.
38.
1.
3[Router-nat-address-group-2]quit#在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.
38.
1.
4访问内网DNS服务器.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]natserverprotocoludpglobal202.
38.
1.
4inside192.
168.
1.
3domain#在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换.
[Router-GigabitEthernet1/0/2]natoutbound2000address-group1no-patreversible#在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息.
[Router-GigabitEthernet1/0/2]natinbound2000address-group2#指定2号单板为提供NAT服务的业务板.
[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit1-34#配置到达202.
38.
1.
3地址的静态路由,出接口为GigabitEthernet1/0/2,下一跳地址为20.
2.
2.
2(20.
2.
2.
2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准).
[Router]iproute-static202.
38.
1.
332gigabitethernet1/0/220.
2.
2.
25.
验证配置以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Webserver.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatallNATaddressgroupinformation:Totally2NATaddressgroups.
Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
38.
1.
2202.
38.
1.
2Addressgroup2:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
38.
1.
3202.
38.
1.
3NATinboundinformation:Totally1NATinboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:2Addroute:NNO-PAT:NReversible:NServicecard:Slot2Configstatus:ActiveNAToutboundinformation:Totally1NAToutboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:1Port-preserved:NNO-PAT:YReversible:YServicecard:Slot2Configstatus:ActiveNATinternalserverinformation:Totally1internalservers.
Interface:GigabitEthernet1/0/2Protocol:17(UDP)GlobalIP/port:202.
38.
1.
4/53LocalIP/port:200.
1.
1.
3/53Servicecard:Slot2Configstatus:ActiveNATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:DisabledPort-block-assign:Disabled1-35Port-block-withdraw:DisabledAlarm:DisabledNATmappingbehavior:Mappingmode:AddressandPort-DependentACL:---Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRSH:EnabledRTSP:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:Enabled#通过以下显示命令,可以看到Host访问Webserver时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:192.
168.
1.
2/1694DestinationIP/port:202.
38.
1.
2/8080DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:192.
168.
1.
2/8080DestinationIP/port:202.
38.
1.
3/1025DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStarttime:2012-08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/0/2Interface(out):GigabitEthernet1/0/1Initiator->Responder:7packets308bytesResponder->Initiator:5packets312bytesTotalsessionsfound:11.
14.
7内网用户通过NAT地址访问内网服务器1.
组网需求某公司内部网络中有一台FTP服务器,地址为192.
168.
1.
4/24.
该公司拥有两个外网IP地址:202.
38.
1.
1和202.
38.
1.
2.
1-36需要实现如下功能:外网主机可以通过202.
38.
1.
2访问内网中的FTP服务器.
内网主机也可以通过202.
38.
1.
2访问内网中的FTP服务器.
2.
组网图图1-12内网用户通过NAT地址访问内网服务器3.
配置思路该需求为典型的C-S模式的NAThairpin应用,具体配置思路如下.
为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器.
为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAThairpin功能.
其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置.
4.
配置步骤#按照组网图配置各接口的IP地址,具体配置过程略.
#配置ACL2000,允许对内部网络中192.
168.
1.
0/24网段的报文进行地址转换.
system-view[Router]aclnumber2000[Router-acl-basic-2000]rulepermitsource192.
168.
1.
00.
0.
0.
255[Router-acl-basic-2000]quit#在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.
38.
1.
2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换.
[Router]interfacegigabitethernet1/0/2[Router-GigabitEthernet1/0/2]natserverprotocoltcpglobal202.
38.
1.
2inside192.
168.
1.
4ftp#在接口GigabitEthernet1/0/2上配置EasyIP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/0/2的IP地址进行源地址转换.
[Router-GigabitEthernet1/0/2]natoutbound2000#在接口GigabitEthernet1/0/2上指定2号单板为提供NAT服务的业务板.
[Router-GigabitEthernet1/0/2]natserviceslot2[Router-GigabitEthernet1/0/2]quit#在接口GigabitEthernet1/0/1上使能NAThairpin功能.
[Router]interfacegigabitethernet1/0/1[Router-GigabitEthernet1/0/1]nathairpinenable#在接口GigabitEthernet1/0/1上指定2号单板为提供NAT服务的业务板.
1-37[Router-GigabitEthernet1/0/1]natserviceslot2[Router-GigabitEthernet1/0/1]quit5.
验证配置以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTPServer.
通过查看如下显示信息,可以验证以上配置成功.
[Router]displaynatallNAToutboundinformation:Totally1NAToutboundrules.
Interface:GigabitEthernet1/0/2ACL:2000Addressgroup:---Port-preserved:NNO-PAT:NReversible:NServicecard:Slot2Configstatus:ActiveNATinternalserverinformation:Totally1internalservers.
Interface:GigabitEthernet1/0/2Protocol:6(TCP)GlobalIP/port:202.
38.
1.
2/21LocalIP/port:192.
168.
1.
4/21Servicecard:Slot2Configstatus:ActiveNATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:DisabledPort-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNAThairpinning:Totally1interfacesenabledwithNAThairpinning.
Interface:GigabitEthernet1/0/1Servicecard:Slot2Configstatus:ActiveNATmappingbehavior:Mappingmode:AddressandPort-DependentACL:---Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRSH:Enabled1-38RTSP:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:Enabled#通过以下显示命令,可以看到HostA访问FTPserver时生成NAT会话信息.
[Router]displaynatsessionverboseInitiator:SourceIP/port:192.
168.
1.
2/1694DestinationIP/port:202.
38.
1.
2/21DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Responder:SourceIP/port:192.
168.
1.
4/21DestinationIP/port:202.
38.
1.
1/1025DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:HTTPStarttime:2012-08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/0/1Interface(out):GigabitEthernet1/0/1Initiator->Responder:7packets308bytesResponder->Initiator:5packets312bytesTotalsessionsfound:11.
14.
8内网用户通过NAT地址互访1.
组网需求某P2P应用环境中,内网中的客户端首先需要向外网服务器进行注册,外网服务器会记录客户端的IP地址和端口号.
如果内网的一个客户端要访问内网的另一个客户端,首先需要向服务器获取对方的IP地址和端口号.
需要实现如下功能:内网客户端可以向外网中的服务器注册,且注册为一个相同的外网地址.
欧路云怎么样?欧路云主要运行弹性云服务器,可自由定制配置,可选加拿大的480G超高防系列,也可以选择美国(200G高防)系列,也有速度直逼内地的香港CN2系列。所有配置都可以在下单的时候自行根据项目 需求来定制自由升级降级 (降级按天数配置费用 退款回预存款)。2021年7月14日美国 CERA 弹性云服务器 上新 联通CUVIP 线路!8折特惠中!点击进入:欧路云官方网站地址付款方式:PayPa...
欧路云新上了美国洛杉矶cera机房的云服务器,具备弹性云特征(可自定义需要的资源配置:E5-2660 V3、内存、硬盘、流量、带宽),直连网络(联通CUVIP线路),KVM虚拟,自带一个IP,支持购买多个IP,10G的DDoS防御。付款方式:PayPal、支付宝、微信、数字货币(BTC USDT LTC ETH)测试IP:23.224.49.126云服务器 全场8折 优惠码:zhujiceping...
ucloud:全球大促活动降价了!这次云服务器全网最低价,也算是让利用户了,UCloud商家调低了之前的促销活动价格,并且新增了1核1G内存配置快杰型云服务器,价格是47元/年(也可选2元首月),这是全网同配置最便宜的云服务器了!UCloud全球大促活动促销机型有快杰型云服务器和通用型云服务器,促销机房国内海外都有,覆盖全球20个城市,具体有北京、上海、广州、香港、 台北、日本东京、越南胡志明市、...