| 05 | 您所在的位置:网站首页 › nat内网 › 05 |
05
|
2
配置NAT
2.1 NAT配置限制和指导
根据NAT规则的应用范围,将NAT地址转换方式分为接口NAT和全局NAT两类: · 对于接口NAT,需要在接口上应用NAT规则,根据该NAT规则进行NAT操作。 · 对于全局NAT,需要创建全局NAT策略,NAT设备将按照全局NAT策略中的NAT规则对通过过滤条件的报文进行NAT操作。 NAT通用配置限制和指导如下: · 如果NAT规则中使用了ACL进行报文过滤,则NAT只对匹配指定的ACL permit规则的报文才进行地址转换,匹配时仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素。 · 在双上行链路组网环境中,一个出接口配置了地址转换,另一个出接口没有配置地址转换,这种情况下,建议用户不要将两个出接口添加到同一个安全域,否则可能导致流量中断。关于“安全域”的相关介绍,请参见“安全配置指导”中的“安全域”。 · 若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、内部服务器、NAT444端口块静态映射、NAT444端口块动态映射和DS-Lite B4地址转换的配置,则在地址转换过程中,它们的优先级从高到低依次为: a. 内部服务器。 b. 普通NAT静态地址转换。 c. NAT444端口块静态映射。 d. NAT444端口块动态映射、普通NAT动态地址转换和DS-Lite B4地址转换。对于NAT444端口块动态映射和普通NAT动态地址转换,系统在处理IPv4报文时对二者不做区分,统一按照ACL编号由大到小的顺序匹配。DS-Lite B4地址转换处理的是IPv6报文。 配置BRAS联动功能时,需要注意: · 目前,支持BRAS联动功能的用户地址类型包括私网IP地址(private-ipv4)、私网双栈地址(private-ds)和轻量级双栈地址(ds-lite)。 · 用户上线后,若NAT444配置发生变更,则在线用户使用的公网IP和端口块也会随之变化,而上报给RADIUS服务器的公网IP和端口块并不能保持同步变化,会导致在线用户溯源不准确。因此,建议在NAT444配置发生变更之后,立即手动强制所有使用该NAT配置的用户下线。当用户再次上线之后,将会使用配置变更后的公网IP和端口。 同一类NAT规则的匹配优先级取决于NAT规则优先级的值,数值越小,匹配优先级越高。通过调整NAT规则的位置,可以改变同一类NAT规则的匹配顺序。调整NAT规则的匹配顺序后,NAT规则的匹配优先级的值也会发生变化,具体规则为: · 将nat-rule-name1移动到nat-rule-name2后面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1。 · 将nat-rule-name1移动到nat-rule-name2前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值-1。 2.2 接口NAT配置任务简介(1) 配置接口上的地址转换方式 ¡ 配置接口上的静态地址转换 ¡ 配置接口上的动态地址转换 ¡ 配置接口上的内部服务器 ¡ 配置接口上的NAT444地址转换 ¡ 配置接口上的DS-Lite B4地址转换 (2) (可选)配置NAT hairpin功能 (3) (可选)配置NAT ALG (4) (可选)配置NAT日志功能 (5) (可选)开启NAT转换失败发送ICMP差错报文功能 (6) (可选)特定组网环境中的NAT配置 ¡ 开启反向报文的重定向功能 ¡ 开启对TCP SYN和SYN ACK报文中时间戳的删除功能 ¡ 开启主备链路切换后的NAT会话重建功能 2.3 配置接口上的静态地址转换 2.3.1 配置限制和指导入方向的静态地址转换建议与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合使用,以实现双向NAT。 2.3.2 配置准备· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。 · 对于入方向静态地址转换,需要手动添加路由:目的地址为静态地址转换配置中指定的local-ip或local-network;下一跳为静态地址转换配置中指定的外网地址,或者报文出接口的实际下一跳地址。 2.3.3 配置出方向一对一静态地址转换 1. 功能简介出方向一对一静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的源IP地址转换为global-ip。 · 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的目的IP地址转换为local-ip。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置出方向一对一静态地址转换映射。 nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] (3) (可选)调整出方向一对一静态NAT规则的匹配优先级。 nat static outbound rule move nat-rule-name1 { after | before } nat-rule-name2 (4) 进入接口视图。 interface interface-type interface-number (5) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.4 配置出方向网段对网段静态地址转换 1. 功能简介出方向网段对网段静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络到一个外部公有网络的地址转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网网络地址进行匹配,并将匹配的源IP地址转换为指定外网网络地址之一。 · 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网网络地址进行匹配,并将匹配的目的IP地址转换为指定的内网网络地址之一。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置出方向网段对网段静态地址转换映射。 nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] (3) 进入接口视图。 interface interface-type interface-number (4) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.5 配置基于对象组的出方向静态地址转换 1. 功能简介基于对象组的出方向静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IPv4地址对象组进行匹配,并将匹配的源IP地址转换为外网IPv4地址对象组中的地址。 · 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IPv4地址对象组进行匹配,并将匹配的目的IP地址转换为内网IPv4地址对象组中的地址。 2. 配置限制和指导如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。 基于地址对象组的出方向静态地址转换引用的IPv4地址对象组满足如下条件时,配置才能生效: · 引用的地址对象组中只能存在一个主机对象(host)或者一个子网对象(subnet)。 · 引用的地址对象组的子网对象中不能包含排除地址。 3. 配置步骤(1) 进入系统视图。 system-view (2) 配置基于对象组的出方向静态地址转换映射。 nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ disable ] [ counting ] 缺省情况下,不存在地址转换映射。 (3) 进入接口视图。 interface interface-type interface-number (4) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.6 配置入方向一对一静态地址转换 1. 功能简介入方向一对一静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的目的IP地址转换为global-ip。 · 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的源IP地址转换为local-ip。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置入方向一对一静态地址转换映射。 nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] (3) 进入接口视图。 interface interface-type interface-number (4) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.7 配置入方向网段对网段静态地址转换 1. 功能简介入方向网段对网段静态地址转换用于实现一个内部私有网络与一个外部公有网络之间的地址转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网网络地址进行匹配,并将匹配的目的IP地址转换为指定的外网网络地址之一。 · 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网网络地址进行匹配,并将匹配的源IP地址转换为指定的内网网络地址之一。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置入方向网段对网段静态地址转换映射。 nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] (3) 进入接口视图。 interface interface-type interface-number (4) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.8 配置基于对象组的入方向静态地址转换 1. 功能简介基于对象组的入方向静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IPv4地址对象组进行匹配,并将匹配的目的IP地址转换为指定的外网IPv4地址对象组中的地址。 · 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IPv4地址对象组进行匹配,并将匹配的源IP地址转换为指定的内网IPv4地址对象组中的地址。 2. 配置限制和指导如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。 基于地址对象组的入方向静态地址转换引用的IPv4地址对象组满足如下条件时,配置才能生效: · 引用的地址对象组中只能存在一个主机对象(host)或者一个子网对象(subnet)。 · 引用的地址对象组的子网对象中不能包含排除地址。 如果接口上配置的基于地址对象组的入方向静态地址转换所引用的内网IPv4地址对象组中配置了主机对象,那么该主机对象的IP地址不能与该接口的IP地址处于同一网段。 3. 配置步骤(1) 进入系统视图。 system-view (2) 配置基于对象组的入方向静态地址转换映射。 nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ] [ counting ] 缺省情况下,不存在地址转换映射。 (3) 进入接口视图。 interface interface-type interface-number (4) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.4 配置接口上的动态地址转换 2.4.1 配置限制和指导在同时配置了多条动态地址转换的情况下: · 指定了ACL参数的动态地址转换配置的优先级高于未指定ACL参数的动态地址转换配置; · 对于指定了ACL参数的动态地址转换配置,其优先级由ACL编号的大小决定,编号越大,优先级越高。 对于多形态防火墙设备,如果NO-PAT方式的地址转换需要进行DNS ALG处理,则配置的地址组成员个数应不少于处理安全业务的slot数乘以内部服务器数的个数,从而保证每个处理NAT业务的安全引擎上都有足够的地址资源用于转换。 2.4.2 配置准备· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。 · 确定是否直接使用接口的IP地址作为转换后的报文源地址。 · 配置根据实际网络情况,合理规划可用于地址转换的公网IP地址组。 · 确定地址转换过程中是否使用端口信息。 2.4.3 配置出方向动态地址转换 1. 功能简介出方向动态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换。 2. 配置步骤(1) 进入系统视图。 system-view (2) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id [ name group-name ] (3) 添加地址组成员。 address start-address end-address 可通过多次执行本命令添加多个地址组成员。 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠。 (4) 退回系统视图。 quit (5) 进入接口视图。 interface interface-type interface-number (6) 配置出方向动态地址转换。请至少选择其中一项进行配置。 ¡ NO-PAT方式。 nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] ¡ PAT方式。 nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] 一个接口下可配置多个出方向的动态地址转换。 参数 功能 address-group 不指定该参数时,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能 no-pat reversible 在指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址
(7) (可选)配置PAT方式地址转换的模式。 a. 退回系统视图。 quit b. 配置PAT方式地址转换的模式。 nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式地址转换的模式为Address and Port-Dependent Mapping。 该配置只对PAT方式的出方向动态地址转换有效。 (8) (可选)调整出方向动态NAT规则的匹配优先级。 nat outbound rule move nat-rule-name1 { after | before } nat-rule-name2 2.4.4 配置入方向动态地址转换 1. 配置限制和指导入方向动态地址转换功能通常与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合,用于实现双向NAT应用,不建议单独使用。 由于自动添加路由表项速度较慢,通常建议手工添加路由。 2. 配置步骤(1) 进入系统视图。 system-view (2) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id [ name group-name ] (3) 添加地址组成员。 address start-address end-address 可通过多次执行本命令添加多个地址组成员。 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址组成员重叠。 (4) 退回系统视图。 quit (5) 进入接口视图。 interface interface-type interface-number (6) 配置入方向动态地址转换。 nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] 一个接口下可配置多个入方向的动态地址转换。 参数 功能 no-pat reversible 指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口发送的内网访问外网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址 add-route · 指定该参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址 · 没有指定该参数,则用户需要在设备上手工添加路由
(7) (可选)调整入方向动态NAT规则的匹配优先级。 nat inbound rule move nat-rule-name1 { after | before } nat-rule-name2 2.5 配置接口上的内部服务器 2.5.1 功能简介内部服务器通常配置在外网侧接口上。通过在NAT设备上配置内部服务器,建立一个或多个内网服务器内网地址和端口与外网地址和端口的映射关系,使外部网络用户能够通过配置的外网地址和端口来访问内网服务器。内部服务器可以位于一个普通的内网内,也可以位于一个VPN实例内。 内部服务器可以通过如下配置方式实现。 · 普通内部服务器:将内网服务器的地址和端口映射为外网地址和端口,允许外部网络中的主机通过配置的外网地址和端口访问位于内网的服务器。 · 负载分担内部服务器:在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。 · 基于ACL的内部服务器:普通内部服务器方式必须指定公网地址,基于ACL内部服务器不用指定具体的公网地址,而是指定公网地址的集合,即通过ACL规则匹配过滤的一部分公网地址。对于符合ACL规则的报文,它的目的地址统一转换成相同的内部服务器地址和端口,它是普通内部服务器的扩展。 · 基于对象组的内部服务器:基于对象组的内部服务器使用地址对象组和服务对象组作为报文匹配条件,对于符合匹配条件的报文,它的目的地址和端口统一转换成相同的内部服务器地址和端口。关于对象组的详细介绍,请参见“安全配置指导”中的“对象组”。 2.5.2 配置限制和指导在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。在支持NAT内部服务器自动分配NAT规则名称的版本上执行配置回滚操作时,如果回滚配置文件中的NAT内部服务器不存在系统为其自动分配的NAT规则名称,会出现回滚失败的错误提示信息。比如,回滚配置文件中的配置为nat server global 112.1.1.1 inside 192.168.20.1,回滚操作完成后的配置为nat server global 112.1.1.1 inside 192.168.20.1 rule 内部服务器规则_10(内部服务器规则_10为系统自动分配的NAT规则名称),系统会将此配置与回滚文件中的配置进行比较,比较后发现两者不一致,会提示用户回滚失败。这种情况下,相关的命令已下发成功,用户无需处理。 2.5.3 配置普通内部服务器(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 配置普通内部服务器。请至少选择其中一项进行配置。 ¡ 外网地址单一,未使用外网端口或外网端口单一。 nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ] ¡ 外网地址单一,外网端口连续。 nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ] ¡ 外网地址连续,未使用外网端口。 nat server protocol pro-type global global-address1 global-address2 [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ] ¡ 外网地址连续,外网端口单一。 nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside { local-address [ local-port1 local-port2 ] | [ local-address | local-address1 local-address2 ] [ local-port ] } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ] 一个接口下可以配置多个普通内部服务器。 2.5.4 配置负载分担内部服务器(1) 进入系统视图。 system-view (2) 创建内部服务器组,并进入服务器组视图。 nat server-group group-id (3) 添加内部服务器组成员。 inside ip inside-ip port port-number [ weight weight-value ] 一个内部服务器组内可以添加多个组成员。 (4) 退回系统视图。 quit (5) 进入接口视图。 interface interface-type interface-number (6) 配置负载分担内部服务器。 nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] [ disable ] [ counting ] [ description text ] 一个接口下可以配置多个负载分担内部服务器。 2.5.5 配置基于ACL的内部服务器(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 配置基于ACL的内部服务器。 nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] 一个接口下可以配置多个基于ACL的内部服务器。 (4) (可选)调整基于ACL内部服务器NAT规则的匹配优先级。 nat server rule move nat-rule-name1 { after | before } nat-rule-name2 2.5.6 配置基于对象组的内部服务器 1. 功能简介基于对象组的内部服务器使用地址对象组和服务对象组作为报文匹配条件,对于符合匹配条件的报文,它的目的地址和端口统一转换成相同的内部服务器地址和端口。关于对象组的详细介绍,请参见“安全配置指导”中的“对象组”。 当存在多条基于对象组的NAT内部服务器规则时,报文会按照配置顺序与这些规则进行匹配,一旦匹配上某条规则便结束匹配过程。 2. 配置限制和指导引用的服务对象组中,只有服务对象组的协议类型是TCP或UDP时,配置的内部服务器的内网端口号才会生效。 每个内部服务器最多可引用5个地址对象组和1个服务对象组。 3. 配置准备创建IPv4地址对象组或服务对象组。其中,IPv4地址对象组中不能存在排除的IPv4地址。 4. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 配置基于对象组的内部服务器。 nat server rule rule-name global destination-ip object-group-name& [ service object-group-name ] inside local-address [ local-port ] [ vrrp virtual-router-id ] [ disable ] [ counting ] [ description text ] 缺省情况下,不存在基于对象组的内部服务器。 (4) 添加内部服务器引用的对象组。 nat server rule rule-name global { destination-ip object-group-name& | service object-group-name } 只能向已经存在的基于对象组的NAT内部服务器规则中添加对象组。 2.6 配置接口上的NAT444地址转换 2.6.1 功能简介NAT444是出方向地址转换,通常配置在外网侧接口上。通过在NAT444网关设备上配置NAT444地址转换,可以实现基于端口块的公网IP地址复用,使一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。 2.6.2 配置限制和指导对于NAT444端口动态映射,必须在NAT地址组中配置端口块参数,以实现基于端口块的NAT444地址转换。 2.6.3 配置NAT444端口块静态映射(1) 进入系统视图。 system-view (2) 创建NAT端口块组,并进入NAT端口块组视图。 nat port-block-group group-id (3) 添加私网地址成员。 local-ip-address start-address end-address [ vpn-instance vpn-instance-name ] 一个端口块组内,可以配置多个私网地址成员,但各私网地址成员之间的IP地址不能重叠。 (4) 添加公网地址成员。 global-ip-pool start-address end-address 一个端口块组内,可以配置多个公网地址成员,但各公网地址成员之间的IP地址不能重叠。 (5) 配置公网地址的端口范围。 port-range start-port-number end-port-number 缺省情况下,公网地址的端口范围为1~65535。 (6) 配置端口块大小。 block-size block-size 缺省情况下,端口块大小为256。 (7) 退回系统视图。 quit (8) 进入接口视图。 interface interface-type interface-number (9) 配置NAT444端口块静态映射。 nat outbound port-block-group group-id [ rule rule-name ] [ counting ] 缺省情况下,不存在NAT444端口块静态映射配置。 一个接口下可配置多条基于不同端口块组的NAT444端口块静态映射。 (10) (可选)配置PAT方式出方向动态地址转换的模式。 a. 退回系统视图。 quit b. 配置PAT方式出方向动态地址转换的模式。 nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping。 2.6.4 配置NAT444端口块动态映射 1. 配置限制和指导向NAT地址组中添加地址成员时,可采用如下方式之一: · 添加一个或多个IP地址段。 · 添加一个接口,即实现Easy IP功能的NAT444端口块动态映射。与实现Easy IP功能的出方向动态地址转换相比,该方式支持用户溯源。 对于同一个NAT地址组,只能采用一种地址成员添加方式。 在NAT转换后的IP地址为设备外网侧接口的IP地址,且该地址是通过DHCP或PPPoE等协议动态获取的情况下,为了防止接口IP地址变化导致NAT IP地址信息不正确,请采用添加接口的方式。 2. 配置步骤(1) 进入系统视图。 system-view (2) (可选)配置PAT方式地址转换的模式。 nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping。 (3) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id [ name group-name ] (4) 添加地址成员。下面两种方法互斥,请选择其中一项进行配置。 ¡ 将IP地址段作为NAT地址组中的地址成员。 address start-address end-address 可通过多次执行本命令添加多个地址组成员。 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员 重叠。 (5) (可选)配置端口范围。 port-range start-port-number end-port-number 缺省情况下,端口范围为1~65535。 该配置仅对PAT方式地址转换生效。 (6) 配置端口块参数。 port-block block-size block-size [ extended-block-number extended-block-number ] 该配置仅对PAT方式地址转换生效。 (7) 退回系统视图。 quit (8) 进入接口视图。 interface interface-type interface-number (9) 配置PAT方式出方向动态地址转换。 nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ] port-preserved参数对NAT444端口块动态映射无效。 (10) (可选)开启NAT动态端口块热备份功能。 a. 退回系统视图。 quit b. 开启NAT动态端口块热备份功能。 nat port-block synchronization enable 缺省情况下,NAT动态端口块热备份功能处于关闭状态。 2.6.5 配置NAT444端口块全局共享功能 1. 功能简介在已配置NAT444端口块动态映射的情况下,当同一个源IP地址的报文从不同出接口进行NAT地址转换时,可能会分配到不同的端口块。如果需要使同一个源IP地址分配到相同的端口块,请开启端口块全局共享功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置NAT444端口块全局共享功能。 nat port-block global-share enable 缺省情况下,端口块全局共享功能处于关闭状态。 2.7 配置接口上的DS-Lite B4地址转换 1. 功能简介DS-Lite B4地址转换配置在外网侧接口上,关联IPv6 ACL控制地址转换范围,目前仅支持端口块动态映射方式。 2. 配置准备在配置接口上的DS-Lite B4地址转换之前,请确保B4设备和AFTR之间IPv6报文路由可达。 3. 配置步骤(1) 进入系统视图。 system-view (2) (可选)配置PAT方式地址转换的模式。 nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping。 (3) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id [ name group-name ] (4) 添加地址组成员。 address start-address end-address 可通过多次执行本命令添加多个地址组成员。 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠。 (5) 配置端口范围。 port-range start-port-number end-port-number 缺省情况下,端口范围为1-65535。 该配置仅对PAT方式地址转换生效。 (6) 配置端口块参数。 port-block block-size block-size [ extended-block-number extended-block-number ] 该配置仅对PAT方式地址转换生效。 (7) 退回系统视图。 quit (8) 进入接口视图。 interface interface-type interface-number (9) 配置DS-Lite B4端口块映射。 nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id 2.8 配置NAT hairpin功能 1. 功能简介NAT hairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。 2. 配置限制和指导NAT hairpin功能需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。 P2P方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并开启EIM模式。 3. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 开启NAT hairpin功能。 nat hairpin enable 缺省情况下,NAT hairpin功能处于关闭状态。 2.9 配置NAT ALG 1. 功能简介ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换,以保证后续数据连接的正确建立。 DNS服务器在外网,应用服务器在内网(在NAT设备上有对应的nat server配置),内网用户需要通过域名访问内网应用服务器的场景中,NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。 2. 配置限制和指导DNS mapping功能需要和内部服务器配合使用,由nat server配置定义内部服务器对外提供服务的外网IP地址和端口号,由DNS mapping建立“内部服务器域名外网IP地址+外网端口号+协议类型”的映射关系。 3. 配置步骤(1) 进入系统视图。 system-view (2) 开启指定或所有协议类型的NAT ALG功能。 nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp } 缺省情况下,DNS、FTP、ICMP差错报文、PPTP、RTSP协议类型的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态。 (3) (可选)配置一条域名到内部服务器的映射。 nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port 可配置多条域名到内部服务器的映射。 2.10 配置NAT日志功能 2.10.1 配置NAT会话日志功能 1. 功能简介NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。 有三种情况可以触发设备生成NAT会话日志: · 新建NAT会话。 · 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。 · 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 (3) 开启NAT相关日志功能。请至少选择其中一项进行配置。 ¡ 开启NAT新建会话的日志功能。 nat log flow-begin ¡ 开启NAT删除会话的日志功能。 nat log flow-end ¡ 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔。 nat log flow-active time-value 缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志。 2.10.2 配置NAT444用户日志功能 1. 功能简介NAT444用户日志是为了满足互联网用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。 有两种情况可以触发设备输出NAT444用户日志: · 端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。 · 端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。 2. 配置准备在配置NAT444用户日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444用户日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。 3. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 ACL参数对NAT444用户日志功能无效。 (3) 开启端口块用户日志功能。请至少选择其中一项进行配置。 ¡ 开启端口块分配的NAT444用户日志功能。 nat log port-block-assign ¡ 开启端口块回收的NAT444用户日志功能。 nat log port-block-withdraw 缺省情况下,分配和回收端口块时,均不输出NAT444用户日志。 2.10.3 配置NAT告警信息日志功能 1. 功能简介在NAT地址转换中,如果可为用户分配的NAT资源用尽,后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃。本命令用来在NAT资源用尽时输出告警日志。在NO-PAT动态映射中,NAT资源是指公网IP地址;在EIM模式的PAT动态映射中,NAT资源是指公网IP地址和端口;在NAT444地址转换中,NAT资源是指公网IP、端口块和端口块中的端口。 NAT444端口块动态映射方式中,当端口块分配失败时,系统会输出日志信息。 NAT444端口块动态映射方式中,当端口块中的端口资源都用尽但还是无法满足用户的地址转换需求时,系统会输出日志信息。 2. 配置限制和指导只有开启NAT日志功能(通过nat log enable命令)之后,NAT告警信息日志功能才能生效。 3. 配置准备在配置NAT告警信息日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT告警信息日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。 4. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 ACL参数对NAT告警信息日志功能无效。 (3) 开启NAT告警信息的日志功能。 nat log alarm 缺省情况下,NAT告警信息日志功能处于关闭状态。 NAT资源用尽时,系统会输出告警日志。 (4) (可选)配置动态NAT444端口块使用率的阈值。 nat log port-block usage threshold threshold-value 缺省情况下,动态NAT444的端口块使用率的阈值为90%。 创建动态端口块表项时,若端口块的使用率大于阈值,系统会输出告警日志。 2.11 开启NAT转换失败发送ICMP差错报文功能 1. 功能简介缺省情况下,设备在NAT转换失败时,不发送ICMP差错报文,既可以减少网络上的无用报文,节约带宽,还可以避免将防火墙IP地址暴露在公网侧。 2. 配置限制和指导使用traceroute功能时,需要用到ICMP差错报文,需要开启发送ICMP差错报文的功能。 3. 配置步骤(1) 进入系统视图。 system-view (2) 开启设备NAT转换失败发送ICMP差错报文功能。 nat icmp-error reply 缺省情况下,NAT转换失败时,设备不发送ICMP差错报文。 2.12 特定组网环境中的NAT配置 2.12.1 开启反向报文的重定向功能 1. 功能简介在入方向动态地址转换功能与隧道功能配合使用的组网环境中,若多个隧道接口引用同一个NAT地址组,则设备会将来自不同隧道的报文的源IP地址转换为相同的NAT地址,并从设备的出接口转发出去。缺省情况下,设备出接口收到反向报文后,不会查询NAT会话表项,这将导致反向报文不能正确转发。为解决此问题,可在设备的出接口开启反向报文的重定向功能,使出接口收到反向报文后查询NAT会话表项,根据NAT会话表项记录的信息将反向报文的目的IP地址进行NAT地址转换,从而使反向报文通过接收正向报文的隧道发送出去。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 开启反向报文的重定向功能。 nat redirect reply-route enable 缺省情况下,反向报文的重定向功能处于关闭状态。 2.12.2 开启对TCP SYN和SYN ACK报文中时间戳的删除功能 1. 功能简介在PAT方式的动态地址转换(即接口上配置了nat inbound或nat outbound命令)组网环境中,若服务器上同时开启了tcp_timestams和tcp_tw_recycle功能,则Client与Server之间可能会出现无法建立TCP连接的现象。 为了解决以上问题,可在服务器上关闭tcp_tw_recycle功能或在设备上开启对TCP SYN和SYN ACK报文中时间戳的删除功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启对TCP SYN和SYN ACK报文中时间戳的删除功能。 nat timestamp delete [ vpn-instance vpn-instance-name ] 缺省情况下,不对TCP SYN和SYN ACK报文中的时间戳进行删除。 多次执行本命令,可为不同VPN中的报文开启此功能。 2.12.3 开启主备链路切换后的NAT会话重建功能 1. 功能简介广域网双出口组网环境中,分别在NAT设备的出接口(假设为Interface A和Interface B)下配置出方向动态地址转换(引用不同的地址组),基于出接口所属安全域的不同情况,NAT设备的处理机制有所不同: · 如果两个出接口属于不同的安全域,当Interface A的链路发生故障切换到Interface B的链路时,NAT设备会删除原来的会话表项,由流量触发重新建立NAT会话,保证用户访问外网的业务不受影响。 · 如果两个出接口属于相同的安全域,当Interface A的链路发生故障切换到Interface B的链路时,NAT设备不会删除原来的会话表项,流量与原来的会话表项匹配,导致用户无法访问外网。为了避免该问题的发生,请开启本功能,保证用户业务的可用性。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启主备链路切换后的NAT会话重建功能。 nat link-switch recreate-session 缺省情况下,主备链路切换后的NAT会话重建功能处于关闭状态。 2.13 NAT显示和维护在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果。 在用户视图下,执行reset命令可以清除NAT表项。 表2-1 NAT显示和维护 操作 命令 显示NAT ALG功能的开启状态 display nat alg 显示所有的NAT配置信息 display nat all 显示NAT地址组的配置信息 display nat address-group [ group-id ] 显示NAT DNS mapping的配置信息 display nat dns-map 显示NAT EIM表项信息 (独立运行模式) display nat eim [ slot slot-number ] (IRF模式) display nat eim [ chassis chassis-number slot slot-number ] 显示NAT入接口动态地址转换关系的配置信息 display nat inbound 显示NAT日志功能的配置信息 display nat log 显示NAT NO-PAT表项信息 (独立运行模式) display nat no-pat [ slot slot-number ] (IRF模式) display nat no-pat [ chassis chassis-number slot slot-number ] 显示NAT出接口动态地址转换关系的配置信息 display nat outbound 显示NAT内部服务器的配置信息 display nat server 显示NAT内部服务器组的配置信息 display nat server-group [ group-id ] 显示NAT会话 (独立运行模式) display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn -instance-name ] ] [ slot slot-number ] [ brief | verbose ] (IRF模式) display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn -instance-name ] ] [ chassis chassis-number slot slot-number ] [ brief | verbose ] 显示NAT静态地址转换的配置信息 display nat static 显示NAT统计信息 (独立运行模式) display nat statistics [ summary ] [ slot slot-number ] (IRF模式) display nat statistics [ summary ] [ chassis chassis-number slot slot-number ] 显示NAT444端口块静态映射的配置信息 display nat outbound port-block-group 显示NAT端口块组配置信息 display nat port-block-group [ group-id ] 显示端口块表项 (独立运行模式) display nat port-block { dynamic [ address-group { group-id | name group-name } ] [ ds-lite-b4 ] | static [ port-block-group group-id ] } [ slot slot-number ] (IRF模式) display nat port-block { dynamic [ address-group { group-id | name group-name } ] [ ds-lite-b4 ] | static [ port-block-group group-id ] } [ chassis chassis-number slot slot-number ] 显示动态NAT444地址组中端口块的使用率 (独立运行模式) display nat port-block-usage [ address-group group-id ] [ slot slot-number ] (IRF模式) display nat port-block-usage [ address-group group-id ] [ chassis chassis-number slot slot-number ] 清除NAT转换计数信息 reset nat count statistics { all | dynamic | global-policy | server | static | static-port-block } 删除NAT会话 (独立运行模式) reset nat session [ slot slot-number ] (IRF模式) reset nat session [ chassis chassis-number slot slot-number ] 2.14 NAT典型配置举例 2.14.1 内网用户通过NAT地址访问外网配置举例(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图图2-1 静态地址转换典型配置组网图
3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 10.110.10.8 202.38.1.100 # 使配置的静态地址转换在接口GigabitEthernet2/0/2上生效。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat static enable 4. 验证配置# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat static Static NAT mappings: Totally 1 outbound static NAT mappings. IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100 Config status: Active
Interfaces enabled with static NAT: Totally 1 interfaces enabled with static NAT. Interface: GigabitEthernet2/0/2 Config status: Active # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 202.38.1.111/42496 Destination IP/port: 202.38.1.100/0 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/2 State: ICMP_REPLY Application: INVALID Rule ID: -/-/- Rule name: Start time: 2012-08-16 09:30:49 TTL: 27s Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1 2.14.2 内网用户通过NAT地址访问外网配置举例(地址不重叠) 1. 组网需求· 某公司内网使用的IP地址为192.168.0.0/16。 · 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。 · 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。 2. 组网图图2-2 内网用户通过NAT访问外网配置组网图(地址不重叠)
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。 system-view [Router] nat address-group 0 [Router-address-group-0] address 202.38.1.2 202.38.1.3 [Router-address-group-0] quit # 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet2/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 0 4. 验证配置以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT address group information: Totally 1 NAT address groups. Address group ID: 0: Port range: 1-65535 Address information: Start address End address 202.38.1.2 202.38.1.3
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 0 Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 192.168.1.10/52992 Destination IP/port: 200.1.1.10/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 200.1.1.10/4 Destination IP/port: 202.38.1.3/0 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/2 State: ICMP_REPLY Application: INVALID Rule ID: -/-/- Rule name: Start time: 2012-08-15 14:53:29 TTL: 12s Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1 2.14.3 内网用户通过NAT地址访问外网配置举例(地址重叠) 1. 组网需求· 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。 · 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。 · 需要实现,内网用户可以通过域名访问外网的Web服务器。 2. 组网图图2-3 内网用户通过NAT访问外网配置组网图(地址重叠) 3. 配置思路这是一个典型的双向NAT应用,具体配置思路如下。 · 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。 · 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个NAT地址,可以通过出方向动态地址转换实现。 · 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet2/0/2。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS的NAT ALG功能。 system-view [Router] nat alg dns # 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 创建地址组1。 [Router] nat address-group 1 # 添加地址组成员202.38.1.2。 [Router-address-group-1] address 202.38.1.2 202.38.1.2 [Router-address-group-1] quit # 创建地址组2。 [Router] nat address-group 2 # 添加地址组成员202.38.1.3。 [Router-address-group-2] address 202.38.1.3 202.38.1.3 [Router-address-group-2] quit # 在接口GigabitEthernet2/0/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet2/0/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。 [Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 2 # 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet2/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。 [Router] ip route-static 202.38.1.2 32 gigabitethernet 2/0/2 20.2.2.2 5. 验证配置以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT address group information: Totally 2 NAT address groups. Address group ID: 1 Port range: 1-65535 Address information: Start address End address 202.38.1.2 202.38.1.2
Address group ID: 2 Port range: 1-65535 Address information: Start address End address 202.38.1.3 202.38.1.3
NAT inbound information: Totally 1 NAT inbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 1 Add route: N NO-PAT: Y Reversible: Y Config status: Active
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 2 Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 192.168.1.10/1694 Destination IP/port: 202.38.1.2/8080 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 192.168.1.10/8080 Destination IP/port: 202.38.1.3/1025 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 State: TCP_ESTABLISHED Application: HTTP Rule ID: -/-/- Rule name: Start time: 2012-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.14.4 外网用户通过外网地址访问内网服务器配置举例 1. 组网需求某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能: · 外部的主机可以访问内部的服务器。 · 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。 2. 组网图图2-4 外网用户通过外网地址访问内网服务器配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 进入接口GigabitEthernet2/0/2。 system-view [Router] interface gigabitethernet 2/0/2 # 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp # 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http # 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http # 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp 4. 验证配置# 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT internal server information: Totally 4 internal servers. Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/21 Local IP/port : 10.110.10.3/21 Rule name : ServerRule_1 NAT counting : 0 Config status : Active
Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/25 Local IP/port : 10.110.10.4/25 Rule name : ServerRule_4 NAT counting : 0 Config status : Active
Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/80 Local IP/port : 10.110.10.1/80 Rule name : ServerRule_2 NAT counting : 0 Config status : Active
Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/8080 Local IP/port : 10.110.10.2/80 Rule name : ServerRule_3 NAT counting : 0 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 202.38.1.10/1694 Destination IP/port: 202.38.1.1/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.10/1694 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 State: TCP_ESTABLISHED Application: FTP Rule ID: -/-/- Rule name: Start time: 2012-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.14.5 外网用户通过域名访问内网服务器配置举例(地址不重叠) 1. 组网需求· 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。 · 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。 · 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。 需要实现,外网主机可以通过域名访问内网的Web服务器。 2. 组网图图2-5 外网用户通过域名访问内网服务器配置组网图(地址不重叠)
3. 配置思路· 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。 · DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS协议的ALG功能。 system-view [Router] nat alg dns # 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0 [Router-acl-ipv4-basic-2000] quit # 创建地址组1。 [Router] nat address-group 1 # 添加地址组成员202.38.1.3。 [Router-address-group-1] address 202.38.1.3 202.38.1.3 [Router-address-group-1] quit # 在接口GigabitEthernet2/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns # 在接口GigabitEthernet2/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。 [Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 1 no-pat reversible 5. 验证配置以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT address group information: Totally 1 NAT address groups. Address group ID: 1 Port range: 1-65535 Address information: Start address End address 202.38.1.3 202.38.1.3
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 1 Port-preserved: N NO-PAT: Y Reversible: Y Config status: Active
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet2/0/2 Protocol: 17(UDP) Global IP/port: 202.38.1.2/53 Local IP/port : 10.110.10.3/53 Rule name : ServerRule_1 NAT counting : 0 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 200.1.1.2/1694 Destination IP/port: 202.38.1.3/8080 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: 10.110.10.2/8080 Destination IP/port: 200.1.1.2/1694 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 State: TCP_ESTABLISHED Application: HTTP Rule ID: -/-/- Rule name: Start time: 2012-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.14.6 外网用户通过域名访问内网服务器配置举例(地址重叠) 1. 组网需求· 某公司内网使用的IP地址为192.168.1.0/24。 · 该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。 · 该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。 · 该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。 需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。 2. 组网图图2-6 外网用户通过域名访问内网服务器配置组网图(地址重叠)
3. 配置思路这是一个典型的双向NAT应用,具体配置思路如下。 · 外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。 · DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。 · 外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。 · NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet2/0/2。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS协议的ALG功能。 system-view [Router] nat alg dns # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 创建地址组1。 [Router] nat address-group 1 # 添加地址组成员202.38.1.2。 [Router-address-group-1] address 202.38.1.2 202.38.1.2 [Router-address-group-1] quit # 创建地址组2。 [Router] nat address-group 2 # 添加地址组成员202.38.1.3。 [Router-address-group-2] address 202.38.1.3 202.38.1.3 [Router-address-group-2] quit # 在接口GigabitEthernet2/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns # 在接口GigabitEthernet2/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。 [Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet2/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。 [Router-GigabitEthernet2/0/2] nat inbound 2000 address-group 2 # 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet2/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。 [Router] ip route-static 202.38.1.3 32 gigabitethernet 2/0/2 20.2.2.2 5. 验证配置# 以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT address group information: Totally 2 NAT address groups. Address group ID: 1 Port range: 1-65535 Address information: Start address End address 202.38.1.2 202.38.1.2
Address group ID: 2 Port range: 1-65535 Address information: Start address End address 202.38.1.3 202.38.1.3
NAT inbound information: Totally 1 NAT inbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 2 Add route: N NO-PAT: N Reversible: N Config status: Active
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 1 Port-preserved: N NO-PAT: Y Reversible: Y Config status: Active
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet2/0/2 Protocol: 17(UDP) Global IP/port: 202.38.1.4/53 Local IP/port : 200.1.1.3/53 Rule name : ServerRule_1 NAT counting : 0 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/8080 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: 192.168.1.2/8080 Destination IP/port: 202.38.1.3/1025 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 State: TCP_ESTABLISHED Application: HTTP Rule ID: -/-/- Rule name: Start time: 2012-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.14.7 内网用户通过NAT地址访问内网服务器配置举例 1. 组网需求· 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。 · 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。 需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。 · 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。 2. 组网图图2-7 内网用户通过NAT地址访问内网服务器配置组网图
3. 配置思路该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。 · 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。 · 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口开启NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器配置所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 system-view [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet2/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp # 在接口GigabitEthernet2/0/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet2/0/2的IP地址进行源地址转换。 [Router-GigabitEthernet2/0/2] nat outbound 2000 # 在接口GigabitEthernet2/0/1上开启NAT hairpin功能。 [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] nat hairpin enable 5. 验证配置# 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: --- Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.2/21 Local IP/port : 192.168.1.4/21 Rule name : ServerRule_1 NAT counting : 0 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT hairpinning: Totally 1 interfaces enabled with NAT hairpinning. Interface: GigabitEthernet2/0/1 Config status: Active
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 192.168.1.4/21 Destination IP/port: 202.38.1.1/1025 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 State: TCP_ESTABLISHED Application: FTP Rule ID: -/-/- Rule name: Start time: 2012-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.14.8 内网用户通过NAT地址互访配置举例 1. 组网需求某P2P应用环境中,内网中的客户端首先需要向外网服务器进行注册,外网服务器会记录客户端的IP地址和端口号。如果内网的一个客户端要访问内网的另一个客户端,首先需要向服务器获取对方的IP地址和端口号。 需要实现如下功能: · 内网客户端可以向外网中的服务器注册,且注册为一个相同的外网地址。 · 内网客户端能够通过从服务器获得的IP地址和端口进行互访。 2. 组网图图2-8 内网用户通过NAT地址互访配置组网图
3. 配置思路该需求为典型的P2P模式的NAT hairpin应用,具体配置思路如下。 · 内网中的客户端需要向外网中的服务器注册,因此需要进行源地址转换,可以通过在外网侧接口配置出方向动态地址转换实现。 · 服务器记录客户端的IP地址和端口号,且该地址和端口号是NAT转换后的。由于服务器记录的客户端IP地址和端口号需要供任意源地址访问,因此客户端地址的转换关系必须不关心对端地址,这可以通过配置EIM模式的动态地址转换实现。 · 内部主机通过外网地址进行互访,需要在内网侧接口开启NAT hairpin功能。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 system-view [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 在外网侧接口GigabitEthernet2/0/2上配置Easy IP方式的出方向动态地址转换,允许使用接口GigabitEthernet2/0/2的IP地址对内网访问外网的报文进行源地址转换,因为多个内部主机共用一个外网地址,因此需要配置为PAT方式,即转换过程中使用端口信息。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat outbound 2000 # 配置PAT方式下的地址转换模式为EIM,即只要是来自相同源地址和源端口号的且匹配ACL 2000的报文,不论其目的地址是否相同,通过PAT转换后,其源地址和源端口号都被转换为同一个外部地址和端口号。 [Router] nat mapping-behavior endpoint-independent acl 2000 # 在内网侧接口GigabitEthernet2/0/1上开启NAT hairpin功能。 [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] nat hairpin enable 5. 验证配置# 以上配置完成后,Host A、Host B和Host C 分别向外网服务器注册之后,它们之间可以相互访问。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: --- Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT hairpinning: Totally 1 interfaces enabled with NAT hairpinning. Interface: GigabitEthernet2/0/1 Config status: Active
NAT mapping behavior: Mapping mode : Endpoint-Independent ACL : 2000 Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Client A访问Client B时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 192.168.1.3/44929 Destination IP/port: 202.38.1.3/1 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 192.168.1.2/69 Destination IP/port: 202.38.1.3/1024 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet2/0/1 State: UDP_READY Application: TFTP Rule ID: -/-/- Rule name: Start time: 2012-08-15 15:53:36 TTL: 46s Initiator->Responder: 1 packets 56 bytes Responder->Initiator: 1 packets 72 bytes
Total sessions found: 1 2.14.9 地址重叠的两个VPN之间互访配置举例 1. 组网需求某公司两个部门由于需要业务隔而分属不同的VPN实例,且两个部门内部使用了相同的子网地址空间。现在要求这两个部门的主机Host A 和Host B之间能够通过NAT地址互相访问。 2. 组网图图2-9 地址重叠的两个VPN之间互访配置组网图
3. 配置思路这是一个典型的两次NAT应用:两个VPN之间主机交互的报文的源IP地址和目的IP地址都需要转换,即需要在连接两个VPN的接口上先后进行两次NAT,这可以通过在NAT设备的两侧接口上分别配置静态地址转换实现。 4. 配置步骤# 按照组网图配置各接口的VPN实例和IP地址,具体配置过程略。 # 配置VPN 1内的IP地址192.168.1.2到VPN 2内的IP地址172.16.1.2之间的静态地址转换映射。 system-view [Router] nat static outbound 192.168.1.2 vpn-instance vpn1 172.16.1.2 vpn-instance vpn2 # 配置VPN 2内的IP地址192.168.1.2到VPN 1内的IP地址172.16.2.2之间的静态地址转换映射。 [Router] nat static outbound 192.168.1.2 vpn-instance vpn2 172.16.2.2 vpn-instance vpn1 # 在接口GigabitEthernet2/0/2上配置静态地址转换。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat static enable # 在接口GigabitEthernet2/0/1上配置静态地址转换。 [Router] interface gigabitethernet 2/0/1 [Router-GigabitEthernet2/0/1] nat static enable 5. 验证配置# 以上配置完成后,Host A和Host B可以互通,且Host A的对外地址为172.16.1.2,Host B的对外地址为172.16.2.2。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all Static NAT mappings: Totally 2 outbound static NAT mappings. IP-to-IP: Local IP : 192.168.1.2 Global IP : 172.16.1.2 Local VPN : vpn1 Global VPN : vpn2 Config status: Active
IP-to-IP: Local IP : 192.168.1.2 Global IP : 172.16.2.2 Local VPN : vpn2 Global VPN : vpn1 Config status: Active
Interfaces enabled with static NAT: Totally 2 interfaces enabled with static NAT. Interface: GigabitEthernet2/0/1 Config status: Active
Interface: GigabitEthernet2/0/2 Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到Host A访问Host B时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 192.168.1.2/42496 Destination IP/port: 172.16.2.2/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: vpn1/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/1 Responder: Source IP/port: 192.168.1.2/42496 Destination IP/port: 172.16.1.2/0 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: vpn2/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet2/0/2 State: ICMP_REPLY Application: INVALID Rule ID: -/-/- Rule name: Start time: 2012-08-16 09:30:49 TTL: 27s Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1 2.14.10 负载分担内部服务器配置举例 1. 组网需求某公司内部拥有3台FTP服务器对外提供FTP服务。 需要实现如下功能: · 使用IP地址为202.38.1.1作为公司对外提供服务的IP地址。 · 3台FTP服务器可以同时对外提供服务,并进行负载分担。 2. 组网图图2-10 负载分担内部服务器配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内部服务器组0及其成员10.110.10.1、10.110.10.2和10.110.10.3。 system-view [Router] nat server-group 0 [Router-nat-server-group-0] inside ip 10.110.10.1 port 21 [Router-nat-server-group-0] inside ip 10.110.10.2 port 21 [Router-nat-server-group-0] inside ip 10.110.10.3 port 21 [Router-nat-server-group-0] quit # 在接口Gigabitethernet1/0/2上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供FTP服务。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.1 ftp inside server-group 0 4. 验证配置# 以上配置完成后,外网主机可以访问内网FTP服务器组。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT server group information: Totally 1 NAT server groups. Group Number Inside IP Port Weight 0 10.110.10.1 21 100 10.110.10.2 21 100 10.110.10.3 21 100
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/21 Local IP/port : server group 0 10.110.10.1/21 (Connections: 1) 10.110.10.2/21 (Connections: 2) 10.110.10.3/21 (Connections: 2) Rule name : ServerRule_1 NAT counting : 0 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到外网主机访问内网FTP server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 202.38.1.25/53957 Destination IP/port: 202.38.1.1/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.25/53957 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 State: TCP_ESTABLISHED Application: FTP Rule ID: -/-/- Rule name: Start time: 2012-08-16 11:06:07 TTL: 26s Initiator->Responder: 1 packets 60 bytes Responder->Initiator: 2 packets 120 bytes
Total sessions found: 1 2.14.11 NAT DNS mapping配置举例 1. 组网需求某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1至202.38.1.3三个公网IP地址。另外公司在外网有一台DNS服务器,IP地址为202.38.1.4。 需要实现如下功能: · 选用202.38.1.2作为公司对外提供服务的IP地址。 · 外网用户可以通过域名或IP地址访问内部服务器。 · 内网用户可以通过域名访问内部服务器。 2. 组网图图2-11 NAT DNS mapping配置组网图
3. 配置思路· 内网服务器对外提供服务,需要配置NAT内部服务器将各服务器的内网IP地址和端口映射为一个外网地址和端口。 · 内网主机通过域名访问内网服务器时,首先需要通过出接口地址转换分配的外网地址访问外网的DNS服务器,并获取内网服务器的内网IP地址。由于DNS服务器向内网主机发送的响应报文中包含的是内网服务器的外网地址,因此NAT设备需要将DNS报文载荷内的外网地址转换为内网地址,这可以通过查找DNS mapping映射表配合DNS ALG功能实现。DNS mapping映射表用于实现根据“域名+外网IP地址+外网端口号+协议类型”查找到对应的“内网IP+内网端口号”。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS的NAT ALG功能。 system-view [Router] nat alg dns # 进入接口GigabitEthernet2/0/2。 [Router] interface gigabitethernet 2/0/2 # 配置NAT内部Web服务器,允许外网主机使用地址202.38.1.2访问内网Web服务器。 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 http # 配置NAT内部FTP服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器。 [Router-GigabitEthernet2/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp # 在接口GigabitEthernet2/0/2上配置Easy IP方式的出方向动态地址转换。 [Router-GigabitEthernet2/0/2] nat outbound # 配置两条DNS mapping表项:Web服务器的域名www.server.com对应IP地址202.38.1.2;FTP服务器的域名ftp.server.com对应IP地址202.38.1.2。 [Router] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port http [Router] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp [Router] quit 5. 验证配置# 以上配置完成后,内网主机和外网主机均可以通过域名访问内网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: --- Address group ID: --- Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT internal server information: Totally 2 internal servers. Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.2/21 Local IP/port : 10.110.10.2/21 Rule name : ServerRule_2 NAT counting : 0 Config status : Active
Interface: GigabitEthernet2/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.2/80 Local IP/port : 10.110.10.1/80 Rule name : ServerRule_1 NAT counting : 0 Config status : Active
NAT DNS mapping information: Totally 2 NAT DNS mappings. Domain name: ftp.server.com Global IP : 202.38.1.2 Global port: 21 Protocol : TCP(6) Config status: Active
Domain name: www.server.com Global IP : 202.38.1.2 Global port: 80 Protocol : TCP(6) Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到外网主机访问内网Web Server时生成NAT会话信息。 [Router] display nat session verbose Slot 0: Total sessions found: 0
Slot 2: Initiator: Source IP/port: 202.38.1.10/63593 Destination IP/port: 202.38.1.2/80 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/2 Responder: Source IP/port: 10.110.10.1/80 Destination IP/port: 202.38.1.10/63593 DS-Lite tunnel peer: - VPN instance/VLAN ID/Inline ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet2/0/1 State: TCP_ESTABLISHED Application: HTTP Rule ID: -/-/- Rule name: Start time: 2012-08-26 14:53:29 TTL: 11s Initiator->Responder: 5 packets 1145 bytes Responder->Initiator: 3 packets 1664 bytes
Total sessions found: 1 2.14.12 NAT444端口块静态映射配置举例 1. 组网需求内部网络用户10.110.10.1~10.110.10.10使用外网地址202.38.1.100访问Internet。内网用户地址基于NAT444端口块静态映射方式复用外网地址202.38.1.100,外网地址的端口范围为10001~15000,端口块大小为500。 2. 组网图图2-12 NAT444端口块静态映射配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 创建NAT端口块组1。 system-view [Router] nat port-block-group 1 # 添加私网地址成员10.110.10.1~10.110.10.10。 [Router-port-block-group-1] local-ip-address 10.110.10.1 10.110.10.10 # 添加公网地址成员为202.38.1.100。 [Router-port-block-group-1] global-ip-pool 202.38.1.100 202.38.1.100 # 配置端口块大小为500,公网地址的端口范围为10001~15000。 [Router-port-block-group-1] block-size 500 [Router-port-block-group-1] port-range 10001 15000 [Router-port-block-group-1] quit # 在接口GigabitEthernet2/0/2上配置NAT444端口块静态映射,引用端口块组1。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat outbound port-block-group 1 [Router-GigabitEthernet2/0/2] quit 4. 验证配置# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
NAT port block group information: Totally 1 NAT port block groups. Port block group 1: Port range: 10001-15000 Block size: 500 Local IP address information: Start address End address VPN instance 10.110.10.1 10.110.10.10 --- Global IP pool information: Start address End address 202.38.1.100 202.38.1.100
NAT outbound port block group information: Totally 1 outbound port block group items. Interface: GigabitEthernet2/0/2 port-block-group: 1 Config status : Active
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到系统生成的静态端口块表项信息。 [Router] display nat port-block static Slot 1: Local VPN Local IP Global IP Port block Connections --- 10.110.10.1 202.38.1.100 10001-10500 2 --- 10.110.10.2 202.38.1.100 10501-11000 0 --- 10.110.10.3 202.38.1.100 11001-11500 0 --- 10.110.10.4 202.38.1.100 11501-12000 0 --- 10.110.10.5 202.38.1.100 12001-12500 1 --- 10.110.10.6 202.38.1.100 12501-13000 0 --- 10.110.10.7 202.38.1.100 13001-13500 0 --- 10.110.10.8 202.38.1.100 13501-14000 0 --- 10.110.10.9 202.38.1.100 14001-14500 0 --- 10.110.10.10 202.38.1.100 14501-15000 0 Total mappings found: 10 2.14.13 NAT444端口块动态映射配置举例 1. 组网需求· 某公司内网使用的IP地址为192.168.0.0/16。 · 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。 需要实现,内部网络中的192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。基于NAT444端口块动态映射方式复用两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300。当为某用户分配的端口块资源耗尽时,再为其增量分配1个端口块。 2. 组网图图2-13 NAT444端口块动态映射配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300,增量端口块数为1。 system-view [Router] nat address-group 0 [Router-address-group-0] address 202.38.1.2 202.38.1.3 [Router-address-group-0] port-range 1024 65535 [Router-address-group-0] port-block block-size 300 extended-block-number 1 [Router-address-group-0] quit # 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet2/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 0 4. 验证配置# 以上配置完成后,Host A能够访问外网服务器,Host B和Host C无法访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat all NAT address group information: Totally 1 NAT address groups. Address group ID: 0 Port range: 1024-65535 Port block size: 300 Extended block number: 1 Address information: Start address End address 202.38.1.2 202.38.1.3
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/2 ACL: 2000 Address group ID: 0 Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Alarm : Disabled NO-PAT IP usage : Disabled
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Enabled ICMP-ERROR : Enabled ILS : Enabled MGCP : Enabled NBT : Enabled PPTP : Enabled RTSP : Enabled RSH : Enabled SCCP : Enabled SIP : Enabled SQLNET : Enabled TFTP : Enabled XDMCP : Enabled
Static NAT load balancing: Disabled # 通过以下显示命令,可以看到NAT会话数、当前可分配的动态端口块总数和已分配的动态端口块个数。 [Router] display nat statistics Total session entries: 1 Session creation rate: 0 Total EIM entries: 0 Total inbound NO-PAT entries: 0 Total outbound NO-PAT entries: 0 Total static port block entries: 0 Total dynamic port block entries: 430 Active static port block entries: 0 Active dynamic port block entries: 1 # 通过以下显示命令,可以看到生成的动态端口块表项信息。 [Router] display nat port-block dynamic Slot 0: Local VPN Local IP Global IP Port block Connections Total mappings found: 0
Slot 2: Local VPN Local IP Global IP Port block Connections --- 192.168.1.10 202.38.1.2 65224-65523 1 Total mappings found: 1 2.14.14 DS-Lite B4端口块动态映射配置举例 1. 组网需求支持DS-Lite协议的私网IPv4主机(即:DS-Lite host)和公网IPv4 network通过IPv6网络相连。通过在DS-Lite host和AFTR之间建立DS-Lite隧道,并在AFTR连接IPv4 network接口上配置NAT,为DS-Lite host动态分配端口块,实现IPv4私网穿越IPv6网络访问IPv4公网。 2. 组网图图2-14 DS-Lite隧道配置组网图
3. 配置步骤(1) 配置AFTR端 # 配置接口GigabitEthernet2/0/1的地址。 system-view [AFTR] interface gigabitethernet 2/0/1 [AFTR-GigabitEthernet2/0/1] ip address 20.1.1.1 24 [AFTR-GigabitEthernet2/0/1] quit # 配置接口GigabitEthernet2/0/2(隧道的实际物理接口)的地址。 [AFTR] interface gigabitethernet 2/0/2 [AFTR-GigabitEthernet2/0/2] ipv6 address 1::2 64 [AFTR-GigabitEthernet2/0/2] quit # 创建模式为AFTR端DS-Lite隧道的接口Tunnel2。 [AFTR] interface tunnel 2 mode ds-lite-aftr # 配置Tunnel2接口的IP地址。 [AFTR-Tunnel2] ip address 30.1.2.2 255.255.255.0 # 配置Tunnel2接口的源接口为GigabitEthernet2/0/2。 [AFTR-Tunnel2] source gigabitethernet 2/0/2 [AFTR-Tunnel2] quit # 在接口GigabitEthernet2/0/1上开启DS-Lite隧道功能。 [AFTR] interface gigabitethernet 2/0/1 [AFTR-GigabitEthernet2/0/1] ds-lite enable [AFTR-GigabitEthernet2/0/1] quit # 配置NAT地址组0,包含两个外网地址20.1.1.11和20.1.1.12,外网地址的端口范围为1024~65535,端口块大小为300。 [AFTR] nat address-group 0 [AFTR-address-group-0] address 20.1.1.11 20.1.1.12 [AFTR-address-group-0] port-range 1024 65535 [AFTR-address-group-0] port-block block-size 300 [AFTR-address-group-0] quit # 配置IPv6 ACL 2100,仅允许对1::/64网段的IPv6源地址进行地址转换。 [AFTR] acl ipv6 basic 2100 [AFTR-acl-ipv6-basic-2100] rule permit source 1::/64 [AFTR-acl-ipv6-basic-2100] quit # 在接口GigabitEthernet2/0/1上配置出方向动态地址转换,允许使用地址组0中的地址对匹配IPv6 ACL 2100的DS-Lite B4报文进行源地址转换,并在转换过程中使用端口信息。 [AFTR] interface gigabitethernet 2/0/1 [AFTR-GigabitEthernet2/0/1] nat outbound ds-lite-b4 2100 address-group 0 [AFTR-GigabitEthernet2/0/1] quit (2) 配置DS-Lite host 配置DS-Lite host的IPv4地址为10.0.0.1,IPv6地址为1::1/64,并配置DS-Lite tunnel路由。(具体配置过程略) 4. 验证配置# 完成上述配置后,在AFTR上执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略) # 从DS-Lite host上可以ping通IPv4 Application server。 C:\> ping 20.1.1.2 Pinging 20.1.1.2 with 32 bytes of data: Reply from 20.1.1.2: bytes=32 time=51ms TTL=255 Reply from 20.1.1.2: bytes=32 time=44ms TTL=255 Reply from 20.1.1.2: bytes=32 time=1ms TTL=255 Reply from 20.1.1.2: bytes=32 time=1ms TTL=255 Ping statistics for 20.1.1.2: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 51ms, Average = 24ms # 通过以下显示命令,可以看到出方向动态地址转换的配置信息。 [AFTR] display nat outbound NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet2/0/1 DS-Lite B4 ACL: 2100 Address group ID: 0 Port-preserved: N NO-PAT: N Reversible: N Config status: Active # 通过以下显示命令,可以看到NAT会话数、当前可分配的动态端口块总数和已分配的动态端口块个数。 [AFTR] display nat statistics Slot 1: Total session entries: 1 Session creation rate: 0 Total EIM entries: 0 Total inbound NO-PAT entries: 0 Total outbound NO-PAT entries: 0 Total static port block entries: 0 Total dynamic port block entries: 430 Active static port block entries: 0 Active dynamic port block entries: 1 # 通过以下显示命令,可以看到生成的DS-Lite B4动态端口块表项。 [AFTR] display nat port-block dynamic ds-lite-b4 Slot 1: Local VPN DS-Lite B4 addr Global IP Port block Connections --- 1::1 20.1.1.11 1024-1323 1 Total mappings found: 1 2.14.15 Portal用户认证与NAT444联动配置举例 1. 组网需求用户主机与接入设备Router直接相连,通过Portal认证接入外部网络。Router作为BRAS设备对主机提供接入服务,同时作为NAT444网关为主机提供地址转换服务。具体要求如下: · Router与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名要携带域名。 · Router与NAT444联动,在主机通过认证并分配私网地址的同时,由NAT444分配公网地址和端口块。 · 用户通过DHCP获取的一个10.210.0.0/24网段的IP地址进行认证,在通过Portal认证前,用户只能访问Portal Web服务器;仅在通过Portal认证后,用户才能访问外部网络。 图2-15 Portal用户认证与NAT444联动配置组网图
2. 配置步骤(1) 配置Portal认证服务器。(略) (2) 配置RADIUS方案 # 在RADIUS服务器上设置与Router交互报文时的共享密钥为expert;添加PPP用户名及密码。(略) # 创建RADIUS方案rad。 system-view [Router] radius scheme rad # 配置主计费服务器和主认证服务器的IP地址为192.168.101.180。 [Router-radius-rad] primary accounting 192.168.101.180 [Router-radius-rad] primary authentication 192.168.101.180 # 配置与计费、认证服务器交互报文时的共享密钥为明文expert。 [Router-radius-rad] key accounting simple expert [Router-radius-rad] key authentication simple expert # 配置向RADIUS服务器发送的用户名要携带域名。 [Router-radius-rad] user-name-format with-domain [Router-radius-rad] quit (3) 配置ISP域 # 创建ISP域cgn。 [Router] domain cgn # 为Portal用户配置AAA认证方法为RADIUS认证/授权/计费。 [Router-isp-cgn] authentication portal radius-scheme rad [Router-isp-cgn] authorization portal radius-scheme rad [Router-isp-cgn] accounting portal radius-scheme rad # 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT444地址分配。 [Router-isp-cgn] user-address-type private-ipv4 [Router-isp-cgn] quit (4) 配置Portal认证 # 配置Portal认证服务器:名称为newpt,IP地址为192.168.101.188,密钥为明文portal。 [Router] portal server newpt [Router-portal-server-newpt] ip 192.168.101.188 key simple portal [Router-portal-server-newpt] quit # 配置Portal Web服务器的URL为http://192.168.101.188:8080/portal。(Portal Web服务器的URL请与实际环境中的Portal Web服务器配置保持一致,此处仅为示例) [Router] portal web-server newpt [Router-portal-websvr-newpt] url http://192.168.101.188:8080/portal [Router-portal-websvr-newpt] quit # 在接口GigabitEthernet2/0/1上开启直接方式的Portal认证。 [Router] interface gigabitethernet 2/0/1 [Router–GigabitEthernet2/0/1] portal enable method direct # 在接口GigabitEthernet2/0/1上引用Portal Web服务器newpt。 [Router–GigabitEthernet2/0/1] portal apply web-server newpt # 在接口GigabitEthernet2/0/1上设置发送给Portal认证服务器的Portal报文中的BAS-IP属性值为10.210.0.1。 [Router–GigabitEthernet2/0/1] portal bas-ip 10.210.0.1 [Router–GigabitEthernet2/0/1] portal domain cgn [Router–GigabitEthernet2/0/1] quit (5) 配置NAT # 配置ACL 2000,仅允许对内部网络中10.210.0.0/24网段的用户报文进行地址转换。 [Router] acl basic 2000 [Router-acl-ipv4-basic-2000] rule 0 permit source 10.210.0.0 0.0.0.255 [Router-acl-ipv4-basic-2000] quit # 配置地址组1,包含一个外网地址111.8.0.200,外网地址的端口范围为1024~65535,端口块大小为10。 [Router] nat address-group 1 [Router-address-group-1] port-block block-size 10 [Router-address-group-1] port-range 1024 65535 [Router-address-group-1] address 111.8.0.200 111.8.0.200 [Router-address-group-1] quit # 在接口GigabitEthernet2/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Router] interface gigabitethernet 2/0/2 [Router-GigabitEthernet2/0/2] ip address 111.8.0.101 255.255.255.0 [Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 1 [Router-GigabitEthernet2/0/2] quit 3. 验证配置用户在通过认证前,只能访问认证页面http:// 192.168.101.188:8080/portal,且发起的Web访问均被重定向到该认证页面。当用户通过认证后,可通过display portal user interface查看Portal用户的详细信息,同时还可以通过以下显示命令看到为该用户生成的动态端口块表项。 [Router] display nat port-block dynamic Local VPN Local IP Global IP Port block Connections --- 10.210.0.4 111.8.0.200 1024-1323 0 Total entries found: 1
|
【本文地址】