| 01 | 您所在的位置:网站首页 › ready or not中文社区 › 01 |
01
|
2
配置NAT
2.1 NAT配置限制和指导
NAT通用配置限制和指导如下: · 如果NAT规则中使用了ACL进行报文过滤,则NAT只对匹配指定的ACL permit规则的报文才进行地址转换,匹配时仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号和传输层协议类型,不关注ACL规则中定义的其它元素。 · 若同时存在普通NAT静态地址转换、普通NAT动态地址转换、内部服务器、NAT端口块静态映射和NAT端口块动态映射的配置,则在地址转换过程中,它们的优先级从高到低依次为: a. 内部服务器。 b. 普通NAT静态地址转换。 c. NAT端口块静态映射。 d. NAT端口块动态映射和普通NAT动态地址转换,系统在处理IPv4报文时对二者不做区分,统一按照优先级由高到低的顺序匹配,优先级相同时按照ACL名称比较结果的先后顺序或ACL编号由大到小的顺序匹配。 2.2 NAT配置任务简介 2.2.1 接口NAT配置任务简介(1) 配置接口上的地址转换方式 ¡ 配置静态地址转换 ¡ 配置动态地址转换 ¡ 配置接口上的普通内部服务器 ¡ 配置接口上的负载分担内部服务器 ¡ 配置接口上的基于ACL的内部服务器 ¡ 配置NAT端口块地址转换 (2) (可选)开启流量触发分配端口块功能 (3) (可选)配置NAT hairpin功能 (4) (可选)配置NAT DNS mapping功能 (5) (可选)配置NAT ALG (6) (可选)配置NAT支持HA (7) (可选)配置NAT日志功能 (8) (可选)配置删除TCP SYN和SYN ACK报文中时间戳功能 2.3 配置静态地址转换 2.3.1 配置限制和指导入方向的静态地址转换建议与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合使用,以实现双向NAT。 2.3.2 配置准备· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。 · 对于入方向静态地址转换,需要手动添加路由:目的地址为静态地址转换配置中指定的local-ip或local-network;下一跳为静态地址转换配置中指定的外网地址,或者报文出接口的实际下一跳地址。 2.3.3 配置出方向一对一静态地址转换 1. 功能简介出方向一对一静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的源IP地址转换为global-ip。 · 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的目的IP地址转换为local-ip。 2. 配置限制和指导对于同一local-ip转换为不同global-ip的出方向一对一静态地址转换规则,匹配规则如下: · 如果配置了匹配优先级,匹配优先级的数值越小优先级越高,即优先匹配优先级数值最小的出方向一对一静态地址转换规则。 · 如果未配置匹配优先级或配置的匹配优先级值相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下: ¡ 对于ACL名称,设备将根据名称比较结果的先后顺序进行匹配。 ¡ 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。 3. 配置步骤(1) 进入系统视图。 system-view (2) 配置出方向一对一静态地址转换映射。 nat static outbound local-ip global-ip [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] (3) (可选)调整出方向一对一静态NAT规则的匹配优先级。 nat static outbound rule move nat-rule-name 1 { after | before } nat-rule-name2 缺省情况下,出方向一对一静态NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 (4) 进入接口视图。 interface interface-type interface-number (5) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.4 配置出方向网段对网段静态地址转换 1. 功能简介出方向网段对网段静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络到一个外部公有网络的地址转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网网络地址进行匹配,并将匹配的源IP地址转换为指定外网网络地址之一。 · 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网网络地址进行匹配,并将匹配的目的IP地址转换为指定的内网网络地址之一。 2. 配置限制和指导对于同一内网地址范围转换为不同global-network的出方向网段对网段静态地址转换规则,匹配规则如下: · 如果配置了匹配优先级,匹配优先级的数值越小优先级越高,即优先匹配优先级数值最小的出方向网段对网段静态地址转换规则。 · 如果未配置匹配优先级或配置的匹配优先级值相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下: ¡ 对于ACL名称,设备将根据名称比较结果的先后顺序进行匹配。 ¡ 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。 3. 配置步骤(1) 进入系统视图。 system-view (2) 配置出方向网段对网段静态地址转换映射。 nat static outbound net-to-net local-start-address local-end-address global global-network { mask-length | mask } [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] (3) (可选)调整出方向网段对网段NAT规则的匹配优先级。 nat static outbound net-to-net rule move nat-rule-name1 { after | before } nat-rule-name2 缺省情况下,出方向网段对网段NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 (4) 进入接口视图。 interface interface-type interface-number (5) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.5 配置入方向一对一静态地址转换 1. 功能简介入方向一对一静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的目的IP地址转换为global-ip。 · 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的源IP地址转换为local-ip。 2. 配置限制和指导对于同一global-ip转换为不同local-ip的入方向一对一静态地址转换规则,匹配规则如下: · 如果配置了匹配优先级,匹配优先级的数值越小优先级越高,即优先匹配优先级数值最小的入方向一对一静态地址转换规则。 · 如果未配置匹配优先级或配置的匹配优先级值相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下: ¡ 对于ACL名称,设备将根据名称比较结果的先后顺序进行匹配。 ¡ 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。 3. 配置步骤(1) 进入系统视图。 system-view (2) 配置入方向一对一静态地址转换映射。 nat static inbound global-ip local-ip [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] (3) (可选)调整入方向一对一静态NAT规则的匹配优先级。 nat static inbound rule move nat-rule-name1 { after | before } nat-rule-name2 缺省情况下,入方向一对一静态NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 (4) 进入接口视图。 interface interface-type interface-number (5) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.3.6 配置入方向网段对网段静态地址转换 1. 功能简介入方向网段对网段静态地址转换用于实现一个内部私有网络与一个外部公有网络之间的地址转换,具体过程如下: · 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网网络地址进行匹配,并将匹配的目的IP地址转换为指定的外网网络地址之一。 · 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网网络地址进行匹配,并将匹配的源IP地址转换为指定的内网网络地址之一。 2. 配置限制和指导对于同一外网地址范围转换为不同local-network的入方向网段对网段静态地址转换规则,匹配规则如下: · 如果配置了匹配优先级,匹配优先级的数值越小优先级越高,即优先匹配优先级数值最小的入方向网段对网段静态地址转换规则。 · 如果未配置匹配优先级或配置的匹配优先级值相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下: ¡ 对于ACL名称,设备将根据名称比较结果的先后顺序进行匹配。 ¡ 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。 3. 配置步骤(1) 进入系统视图。 system-view (2) 配置入方向网段对网段静态地址转换映射。 nat static inbound net-to-net global-start-address global-end-address local local-network { mask-length | mask } [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] (3) (可选)调整入方向网段对网段NAT规则的匹配优先级。 nat static inbound net-to-net rule move nat-rule-name1 { after | before } nat-rule-name2 缺省情况下,入方向网段对网段NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 (4) 进入接口视图。 interface interface-type interface-number (5) 开启接口上的NAT静态地址转换功能。 nat static enable 缺省情况下,NAT静态地址转换功能处于关闭状态。 2.4 配置动态地址转换 2.4.1 配置限制和指导同时配置了多条动态地址转换规则时,匹配优先级顺序从高到低如下: · 指定了匹配优先级值的动态地址转换规则。规则的匹配优先级由匹配优先级的值决定,匹配优先级值越小,匹配优先级越高。对于指定了相同匹配优先级值或者没有指定匹配优先级值的动态地址转换规则,其匹配优先级取决于ACL。 · 指定了ACL参数的动态地址转换规则。规则的匹配优先级由ACL名称或ACL编号决定,ACL名称的优先级高于ACL编号的优先级,具体规则如下: ¡ 对于ACL名称,设备将根据名称比较结果的先后顺序进行匹配。 ¡ 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。 · 未指定ACL参数的动态地址转换规则。 2.4.2 配置准备· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。 · 确定是否直接使用接口的IP地址作为转换后的报文源地址。 · 配置根据实际网络情况,合理规划可用于地址转换的公网IP地址组。 · 确定地址转换过程中是否使用端口信息。 2.4.3 配置出方向动态地址转换 1. 功能简介出方向动态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换。 2. 配置步骤(1) 进入系统视图。 system-view (2) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id (3) 添加地址成员。 address start-address end-address 缺省情况下,不存在地址成员。 可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。 (4) 退回系统视图。 quit (5) 进入接口视图。 interface interface-type interface-number (6) 配置出方向动态地址转换。请至少选择其中一项进行配置。 ¡ NO-PAT方式。 nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id no-pat [ reversible ] [ rule rule-name ] [ priority priority ] ¡ PAT方式。 nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ port-preserved ] [ rule rule-name ] [ priority priority ] 一个接口下可配置多个出方向的动态地址转换。 参数 功能 address-group 不指定该参数时,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能 no-pat reversible 在指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址
(7) (可选)请依次执行以下命令配置PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping。 quit nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式地址转换的模式为Address and Port-Dependent Mapping。 该配置只对PAT方式的出方向动态地址转换有效。 (8) (可选)调整出方向动态NAT规则的匹配优先级。 nat outbound rule move nat-rule-name1 { after | before } nat-rule-name2 缺省情况下,出方向动态NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 2.4.4 配置入方向动态地址转换 1. 配置限制和指导入方向动态地址转换功能通常与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合,用于实现双向NAT应用,不建议单独使用。 由于自动添加路由表项速度较慢,通常建议手工添加路由。 2. 配置步骤(1) 进入系统视图。 system-view (2) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id (3) 添加地址成员。 address start-address end-address 缺省情况下,不存在地址成员。 可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。 (4) 退回系统视图。 quit (5) 进入接口视图。 interface interface-type interface-number (6) 配置入方向动态地址转换。 nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group group-id [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] 一个接口下可配置多个入方向的动态地址转换。 参数 功能 no-pat reversible 指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口发送的内网访问外网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址 add-route · 指定该参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址 · 没有指定该参数,则用户需要在设备上手工添加路由
(7) (可选)调整入方向动态NAT规则的匹配优先级。 nat inbound rule move nat-rule-name1 { after | before } nat-rule-name2 缺省情况下,入方向动态NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 2.5 配置内部服务器 2.5.1 功能简介内部服务器通常配置在外网侧接口上。通过在NAT设备上配置内部服务器,建立一个或多个内网服务器内网地址和端口与外网地址和端口的映射关系,使外部网络用户能够通过配置的外网地址和端口来访问内网服务器。 内部服务器可以通过如下配置方式实现。 · 普通内部服务器:将内网服务器的地址和端口映射为外网地址和端口,允许外部网络中的主机通过配置的外网地址和端口访问位于内网的服务器。 · 负载分担内部服务器:在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。 · 基于ACL的内部服务器:普通内部服务器方式必须指定公网地址,基于ACL内部服务器不用指定具体的公网地址,而是指定公网地址的集合,即通过ACL规则匹配过滤的一部分公网地址。对于符合ACL规则的报文,它的目的地址统一转换成相同的内部服务器地址和端口,它是普通内部服务器的扩展。 2.5.2 配置接口上的普通内部服务器(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 配置普通内部服务器。请至少选择其中一项进行配置。 ¡ 外网地址单一,未使用外网端口或外网端口单一。 nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] inside local-address [ local-port ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ] [ vrrp virtual-router-id ] [ rule rule-name ] ¡ 外网地址单一,外网端口连续。 nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] ¡ 外网地址连续,未使用外网端口或外网端口单一。 nat server protocol pro-type global global-address1 global-address2 [ global-port ] inside { local-address | local-address1 local-address2 } [ local-port ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] ¡ 外网地址连续,外网端口单一。 nat server protocol pro-type global global-address1 global-address2 global-port inside local-address local-port1 local-port2 [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] 一个接口下可以配置多个普通内部服务器。 2.5.3 配置接口上的负载分担内部服务器 1. 配置限制和指导在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。 2. 配置步骤(1) 进入系统视图。 system-view (2) 创建内部服务器组,并进入服务器组视图。 nat server-group group-id (3) 添加内部服务器组成员。 inside ip inside-ip port port-number [ weight weight-value ] 一个内部服务器组内可以添加多个组成员。 (4) 退回系统视图。 quit (5) 进入接口视图。 interface interface-type interface-number (6) 配置负载分担内部服务器。 nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } inside server-group group-id [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ vrrp virtual-router-id ] [ rule rule-name ] 一个接口下可以配置多个负载分担内部服务器。 2.5.4 配置接口上的基于ACL的内部服务器 1. 配置限制和指导同时配置了多条基于ACL内部服务器规则时,匹配优先级顺序从高到低如下: · 指定了匹配优先级值的动态地址转换规则。规则的匹配优先级由匹配优先级的值决定,匹配优先级值越小,匹配优先级越高。对于指定了相同匹配优先级值或者没有指定匹配优先级值的动态地址转换规则,其匹配优先级取决于ACL。 · 指定了ACL参数的动态地址转换规则。规则的匹配优先级由ACL名称或ACL编号决定,且ACL名称的优先级高于ACL编号的优先级,具体规则如下: ¡ 对于ACL名称,设备将根据名称比较结果的先后顺序进行匹配。 ¡ 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 配置基于ACL的内部服务器。 nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vrrp virtual-router-id ] [ rule rule-name ] [ priority priority ] 一个接口下可以配置多个基于ACL的内部服务器。 (4) 调整基于ACL内部服务器NAT规则的匹配优先级。 nat server rule move nat-rule-name1 { after | before } nat-rule-name2 缺省情况下,基于ACL内部服务器NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。 2.6 配置NAT端口块地址转换 2.6.1 功能简介NAT端口块地址转换是出方向地址转换,通常配置在外网侧接口上。 2.6.2 配置限制和指导对于NAT端口块动态映射,必须在NAT地址组中配置端口块参数,以实现基于端口块的地址转换。 2.6.3 配置NAT端口块静态映射(1) 进入系统视图。 system-view (2) 创建NAT端口块组,并进入NAT端口块组视图。 nat port-block-group group-id (3) 添加私网地址成员。 local-ip-address start-address end-address 一个端口块组内,可以配置多个私网地址成员,但各私网地址成员之间的IP地址不能重叠。 (4) 添加公网地址成员。 global-ip-pool start-address end-address 一个端口块组内,可以配置多个公网地址成员,但各公网地址成员之间的IP地址不能重叠。 (5) 配置公网地址的端口范围。 port-range start-port-number end-port-number 缺省情况下,公网地址的端口范围为1~65535。 (6) 配置端口块大小。 block-size block-size 缺省情况下,端口块大小为256。 (7) 退回系统视图。 quit (8) 进入接口视图。 interface interface-type interface-number (9) 配置NAT端口块静态映射。 nat outbound port-block-group group-id [ rule rule-name ] 缺省情况下,不存在NAT端口块静态映射配置。 一个接口下可配置多条基于不同端口块组的NAT端口块静态映射。 (10) (可选)请依次执行以下命令配置PAT方式出方向动态地址转换的模式为Endpoint-Independent Mapping。 quit nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping。 2.6.4 配置NAT端口块动态映射(1) 进入系统视图。 system-view (2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。 nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping。 (3) 创建NAT地址组,并进入NAT地址组视图。 nat address-group group-id (4) 添加地址成员。 address start-address end-address 可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。 (5) (可选)配置端口范围。 port-range start-port-number end-port-number 缺省情况下,端口范围为1~65535。 该配置仅对PAT方式地址转换生效。 (6) 配置端口块参数。 port-block block-size block-size [ extended-block-number extended-block-number ] 缺省情况下,未配置NAT地址组的端口块参数。 该配置仅对PAT方式地址转换生效。 (7) 退回系统视图。 quit (8) 进入接口视图。 interface interface-type interface-number (9) 配置PAT方式出方向动态地址转换。 nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ port-preserved ] [ rule rule-name ] [ priority priority ] port-preserved参数对NAT端口块动态映射无效。 (10) (可选)开启NAT动态端口块热备份功能。 a. 退回系统视图。 quit b. 开启NAT动态端口块热备份功能。 nat port-block synchronization enable 缺省情况下,NAT动态端口块热备份功能处于关闭状态。 2.7 开启流量触发分配端口块功能 1. 功能简介对于端口块方式的地址转换,若NAT与BRAS没有联动,则需要开启本功能来驱动NAT设备通过用户的业务流量来触发端口块分配。在NAT与BRAS联动场景中,用户上线会触发端口块的分配,无需开启本功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启流量触发分配端口块功能。 nat port-block flow-trigger enable 缺省情况下,流量触发分配端口块功能处于关闭状态。 2.8 配置NAT hairpin功能 1. 配置限制和指导NAT hairpin功能需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。 P2P方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并开启EIM模式。 2. 配置步骤(1) 进入系统视图。 system-view (2) 进入接口视图。 interface interface-type interface-number (3) 开启NAT hairpin功能。 nat hairpin enable 缺省情况下,NAT hairpin功能处于关闭状态。 2.9 配置NAT DNS mapping功能 1. 配置限制和指导DNS mapping功能需要和内部服务器配合使用,由nat server配置定义内部服务器对外提供服务的外网IP地址和端口号,由DNS mapping建立“内部服务器域名外网IP地址+外网端口号+协议类型”的映射关系。 2. 配置步骤(1) 进入系统视图。 system-view (2) 配置一条域名到内部服务器的映射。 nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port 可配置多条域名到内部服务器的映射。 2.10 配置NAT ALG(1) 进入系统视图。 system-view (2) 开启指定或所有协议类型的NAT ALG功能。 nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp } 缺省情况下,DNS、FTP、ICMP差错报文、RTSP、PPTP协议类型的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态。 2.11 配置NAT支持HA 2.11.1 功能简介在单台NAT设备的组网中,一旦发生单点故障,内网用户将无法与外网通信。采用HA可以很好的避免上述情况的发生。在HA组网中的两台设备均可承担NAT业务,并通过HA通道进行会话热备、会话关联表热备、NAT端口块表项热备以及NAT配置的同步。当其中一台设备故障后流量自动切换到另一台正常工作的设备。 关于HA的详细介绍,请参见“可靠性配置指导”中的“高可靠性”。 2.11.2 工作机制HA组网中的两台设备均可承担NAT业务,实际处理NAT业务的设备由VRRP备份组中的Master设备承担。下面以主备模式的HA为例,介绍该场景中当Master设备发生故障时如何保证NAT业务不中断。 如图2-1所示,Device A和Device B组成HA(Device A为HA的主管理设备,Device B为HA的从管理设备),Device A通过备份通道将会话表项、会话关联表项和端口块表项实时备份到Device B。同时,Device A和Device B的下行链路组成VRRP备份组1,上行链路组成VRRP备份组2,并将VRRP和HA关联。HA根据链路状态或设备的转发能力选择Device A作为Master设备,正常情况下,由Device A进行地址转换。 图2-1 主备模式的HA组网
如图2-2所示,当Device A的接口Interface A2发生故障时,Device B在VRRP备份组中的状态由Backup变为Master,由于Device B上已经有相关的NAT配置信息和业务表项,因此可以保证链路切换后的NAT业务不中断。 图2-2 主备模式下的流量切换
2.11.3 配置主备/双主模式下的NAT 1. 功能简介 在主备模式或双主模式的HA组网中,静态IP地址转换、源IP地址转换、目的IP地址转换的部分转换配置会将转换后的公网IP地址或内部服务器对外提供服务的公网IP地址下发到地址管理。然后,主、备设备均会向同一局域网内所有节点通告公网IP与自身物理接口MAC地址的对应关系。导致与HA直连的上行三层设备可能会将下行报文发送给HA中的Backup设备,从而影响业务的正常运行。 为了避免上述情况的发生,需要将地址转换方式与VRRP备份组绑定。执行绑定操作后,仅Master设备收到对转换后IP地址或内部服务器对外提供服务的公网IP地址的ARP请求后,会回应ARP响应报文,响应报文中携带的MAC地址为此VRRP备份组的虚拟MAC地址,使得与HA直连的上行三层设备只会将下行报文发送给HA中的Master设备,保证业务的正常运行。 关于HA的详细介绍,请参见“可靠性配置指导”中的“高可靠性”。 2. 配置限制和指导请在HA主管理设备上将NAT转换配置与VRRP备份组绑定。 双主模式的HA组网,建议两台设备不要共用同一个NAT地址组/NAT端口块组,否则可能会出现不同的Master设备将不同主机的流量转换为同一个地址和端口号的情况。 3. 配置步骤(1) 进入系统视图。 system-view (2) 将地址转换配置与VRRP备份组绑定。请根据网络需求选择步骤(3)~(7)中的一项或多项进行配置。 (3) 将NAT地址组与VRRP备份组绑定。 a. 进入NAT地址组视图。 nat address-group group-id [ name group-name ] b. 将NAT地址组与VRRP备份组绑定。 vrrp vrid virtual-router-id 缺省情况下,NAT地址组未绑定任何VRRP备份组。 重复执行本命令,最后一次执行的命令生效。 (4) 将NAT端口块组与VRRP备份组绑定。 a. 进入NAT端口块组视图。 nat port-block-group group-id b. 将NAT端口块组与VRRP备份组绑定。 vrrp vrid virtual-router-id 缺省情况下,NAT端口块组未绑定任何VRRP备份组。 重复执行本命令,最后一次执行的命令生效。 (5) 将出方向一对一静态地址转换映射与VRRP备份组绑定。 a. 进入接口视图。 interface interface-type interface-number b. 将出方向一对一静态地址转换映射与VRRP备份组绑定。 请参见“2.3.3 配置出方向一对一静态地址转换”。 (6) 将出方向网段到网段的静态地址转换映射VRRP备份组绑定。 a. 进入接口视图。 interface interface-type interface-number b. 将出方向网段到网段的静态地址转换映射VRRP备份组绑定。 请参见“2.3.4 配置出方向网段对网段静态地址转换”。 (7) 将NAT内部服务器与VRRP备份组绑定。 a. 进入接口视图。 interface interface-type interface-number b. 将NAT内部服务器与VRRP备份组绑定。 请参见“2.5.2 配置接口上的普通内部服务器”、“2.5.3 ”和“2.5.4 配置接口上的基于ACL的内部服务器”。 2.12 配置NAT日志功能 2.12.1 配置NAT会话日志功能 1. 功能简介NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。 有三种情况可以触发设备生成NAT会话日志: · 新建NAT会话。 · 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。 · 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 (3) 开启NAT相关日志功能。请至少选择其中一项进行配置。 ¡ 开启NAT新建会话的日志功能。 nat log flow-begin ¡ 开启NAT删除会话的日志功能。 nat log flow-end ¡ 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔。 nat log flow-active time-value 缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志。 2.12.2 配置NAT用户日志功能 1. 功能简介开启NAT用户日志功能后,设备对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。 有两种情况可以触发设备输出NAT用户日志: · 端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。 · 端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。 2. 配置准备在配置NAT用户日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT用户日志。详细配置请参见“网络管理和监控配置指导”中的“快速日志输出”。 3. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 ACL参数对NAT用户日志功能无效。 (3) 开启端口块用户日志功能。请至少选择其中一项进行配置。 ¡ 开启端口块分配的NAT用户日志功能。 nat log port-block-assign ¡ 开启端口块回收的NAT用户日志功能。 nat log port-block-withdraw 缺省情况下,分配和回收端口块时,均不输出NAT用户日志。 2.12.3 开启NAT端口块分配失败的日志功能 1. 功能简介当NAT端口块地址转换发生端口块分配失败的情况时,通过开启本功能,系统会输出端口块分配失败的日志。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 (3) 开启NAT端口块分配失败的日志功能。 nat log port-block-alloc-fail 缺省情况下,NAT端口块分配失败的日志功能处于关闭状态。 2.12.4 开启NAT端口分配失败的日志功能 1. 功能简介当动态方式的NAT地址转换发生端口分配失败的情况时,通过开启本功能,系统会输出端口分配失败的日志。通常,端口块中所有的端口资源都被占用时会导致端口分配失败。 2. 配置准备在开启本功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT端口分配失败的日志。详细配置请参见“网络管理和监控配置指导”中的“快速日志输出”。 3. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 (3) 开启NAT端口块分配失败的日志功能。 nat log port-alloc-fail 缺省情况下,NAT端口分配失败的日志功能处于关闭状态。 2.12.5 配置NAT阈值信息日志功能 1. 功能简介在NAT端口块地址转换中,当端口块或端口的使用率超过阈值时,通过开启本功能,输出日志信息。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启NAT日志功能。 nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] 缺省情况下,NAT日志功能处于关闭状态。 (3) 配置NAT阈值信息日志功能。请至少选择其中一项进行配置。 ¡ 开启NAT端口块中端口使用率的阈值信息日志功能,并设置NAT端口使用率的阈值。 nat log port-block port-usage threshold value 缺省情况下,NAT端口块中端口使用率的阈值信息日志功能处于关闭状态。 ¡ 配置NAT端口块使用率的阈值。 nat log port-block usage threshold value 缺省情况下,NAT端口块使用率的阈值为90%。 2.13 配置删除TCP SYN和SYN ACK报文中时间戳功能 1. 功能简介在PAT方式的动态地址转换(即接口上配置了nat inbound或nat outbound命令)组网环境中,若服务器上同时开启了tcp_timestams和tcp_tw_recycle功能,则Client与Server之间可能会出现无法建立TCP连接的现象。 为了解决上述问题,可在服务器上关闭tcp_tw_recycle功能或在设备上开启对TCP SYN和SYN ACK报文中时间戳的删除功能。 2. 配置步骤(1) 进入系统视图。 system-view (2) 开启删除TCP SYN和SYN ACK报文中的时间戳功能。 nat timestamp delete 缺省情况下,不对TCP SYN和SYN ACK报文中的时间戳进行删除。 2.14 NAT显示和维护 2.14.1 显示NAT配置可在任意视图下执行以下命令: · 显示所有的NAT配置信息。 display nat all · 显示NAT静态地址转换的配置信息。 display nat static · 显示NAT地址组的配置信息。 display nat address-group [ group-id ] · 显示NAT入接口动态地址转换关系的配置信息。 display nat inbound · 显示NAT出接口动态地址转换关系的配置信息。 display nat outbound · 显示NAT内部服务器的配置信息。 display nat server · 显示NAT内部服务器组的配置信息。 display nat server-group [ group-id ] · 显示NAT端口块静态映射的配置信息。 display nat outbound port-block-group · 显示NAT端口块组配置信息。 display nat port-block-group [ group-id ] · 显示NAT DNS mapping的配置信息。 display nat dns-map · 显示NAT日志功能的配置信息。 display nat log 2.14.2 监控NAT运行情况可在任意视图下执行以下命令: · 显示NAT EIM表项信息。 display nat eim [ slot slot-number ] [ protocol { tcp | udp } ] · 显示NAT NO-PAT表项信息。 display nat no-pat [ slot slot-number ] · 显示端口块表项。 display nat port-block { dynamic | static } [ slot slot-number ] · 显示NAT会话。 display nat session [ { source-ip source-ip | destination-ip destination-ip } *] ] [ slot slot-number ] [ verbose ] 2.14.3 显示NAT统计信息可在任意视图下执行以下命令: · 显示NAT统计信息。 display nat statistics [ summary ] [ slot slot-number ] · 显示NAT EIM表项的统计信息。 display nat eim statistics [ slot slot-number ] 2.14.4 删除NAT EIM表项信息请在用户视图下执行以下命令,删除NAT EIM表项信息。 reset nat eim [ protocol { tcp | udp } ] [ slot slot-number ] 2.14.5 删除NAT会话请在用户视图下执行以下命令,删除NAT会话。 reset nat session [ protocol { tcp | udp } ] [ slot slot-number ] 2.15 NAT典型配置举例 2.15.1 内网用户通过NAT地址访问外网(静态地址转换)配置举例 1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图图2-3 内网用户通过NAT地址访问外网(静态地址转换)配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view [Device] nat static outbound 10.110.10.8 202.38.1.100 # 使配置的静态地址转换在接口GigabitEthernet1/0/2上生效。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat static enable 4. 验证配置# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat static Static NAT mappings: Totally 1 outbound static NAT mappings. IP-to-IP: Local IP : 10.110.10.8 Global IP : 202.38.1.100 Config status: Active
Interfaces enabled with static NAT: Totally 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/0/2 Config status: Active # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet1/0/1 Responder: Source IP/port: 202.38.1.111/42496 Destination IP/port: 202.38.1.100/0 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet1/0/2 State: ICMP_REPLY Application: INVALID Start time: 2019-08-16 09:30:49 TTL: 27s Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1 2.15.2 内网用户通过NAT地址访问外网(地址不重叠)配置举例 1. 组网需求· 某公司内网使用的IP地址为192.168.0.0/16。 · 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。 · 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。 2. 组网图图2-4 内网用户通过NAT访问外网(地址不重叠)配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。 system-view [Device] nat address-group 0 [Device-address-group-0] address 202.38.1.2 202.38.1.3 [Device-address-group-0] quit # 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0 4. 验证配置# 以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT address group information: Totally 1 NAT address groups. Address group 0: Port range: 1-65535 Address information: Start address End address 202.38.1.2 202.38.1.3
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 192.168.1.10/52992 Destination IP/port: 200.1.1.10/2048 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet1/0/1 Responder: Source IP/port: 200.1.1.10/4 Destination IP/port: 202.38.1.3/0 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Inbound interface: GigabitEthernet1/0/2 State: ICMP_REPLY Application: INVALID Start time: 2019-08-15 14:53:29 TTL: 12s Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1 2.15.3 内网用户通过NAT地址访问外网(地址重叠)配置举例 1. 组网需求· 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。 · 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。 · 需要实现,内网用户可以通过域名访问外网的Web服务器。 2. 组网图图2-5 内网用户通过NAT访问外网(地址重叠)配置组网图
3. 配置思路这是一个典型的双向NAT应用,具体配置思路如下。 · 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。 · 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个NAT地址,可以通过出方向动态地址转换实现。 · 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/0/2。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS的NAT ALG功能。 system-view [Device] nat alg dns # 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 创建地址组1。 [Device] nat address-group 1 # 添加地址组成员202.38.1.2。 [Device-address-group-1] address 202.38.1.2 202.38.1.2 [Device-address-group-1] quit # 创建地址组2。 [Device] nat address-group 2 # 添加地址组成员202.38.1.3。 [Device-address-group-2] address 202.38.1.3 202.38.1.3 [Device-address-group-2] quit # 在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat inbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 2 # 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。 [Device] ip route-static 202.38.1.2 32 gigabitethernet 1/0/2 20.2.2.2 5. 验证配置# 以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT address group information: Totally 2 NAT address groups. Address group 1: Port range: 1-65535 Address information: Start address End address 202.38.1.2 202.38.1.2
Address group 2: Port range: 1-65535 Address information: Start address End address 202.38.1.3 202.38.1.3
NAT inbound information: Totally 1 NAT inbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: 1 Add route: N NO-PAT: Y Reversible: Y Service card: Slot 2 Config status: Active
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N Service card: Slot 2 Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 192.168.1.10/1694 Destination IP/port: 202.38.1.2/8080 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 Responder: Source IP/port: 192.168.1.10/8080 Destination IP/port: 202.38.1.3/1025 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/2 State: TCP_ESTABLISHED Application: HTTP Role: - Failover group ID: - Start time: 2019-12-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.15.4 外网用户通过外网地址访问内网服务器配置举例 1. 组网需求某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能: · 外部的主机可以访问内部的服务器。 · 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。 2. 组网图图2-6 外网用户通过外网地址访问内网服务器配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 进入接口GigabitEthernet1/0/2。 system-view [Device] interface gigabitethernet 1/0/2 # 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp # 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http # 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http # 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp 4. 验证配置# 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT internal server information: Totally 4 internal servers. Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/21 Local IP/port : 10.110.10.3/21 Config status : Active
Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/25 Local IP/port : 10.110.10.4/25 Config status : Active
Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/80 Local IP/port : 10.110.10.1/80 Config status : Active
Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/8080 Local IP/port : 10.110.10.2/80 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 202.38.1.10/1694 Destination IP/port: 202.38.1.1/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/2 Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.10/1694 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 State: TCP_ESTABLISHED Application: FTP Start time: 2019-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.15.5 外网用户通过域名访问内网服务器(地址不重叠)配置举例 1. 组网需求· 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。 · 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。 · 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。 需要实现,外网主机可以通过域名访问内网的Web服务器。 2. 组网图图2-7 外网用户通过域名访问内网服务器(地址不重叠)配置组网图
3. 配置思路· 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。 · DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS协议的ALG功能。 system-view [Device] nat alg dns # 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0 [Device-acl-ipv4-basic-2000] quit # 创建地址组1。 [Device] nat address-group 1 # 添加地址组成员202.38.1.3。 [Device-address-group-1] address 202.38.1.3 202.38.1.3 [Device-address-group-1] quit # 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible 5. 验证配置# 以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT address group information: Totally 1 NAT address groups. Address group 1: Port range: 1-65535 Address information: Start address End address 202.38.1.3 202.38.1.3
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y Service card: Slot 2 Config status: Active
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet1/0/2 Protocol: 17(UDP) Global IP/port: 202.38.1.2/53 Local IP/port : 10.110.10.3/53 Service card : Slot 2 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 200.1.1.2/1694 Destination IP/port: 202.38.1.3/8080 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/2 Responder: Source IP/port: 10.110.10.2/8080 Destination IP/port: 202.1.1.2/1694 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 State: TCP_ESTABLISHED Application: HTTP Role: - Failover group ID: - Start time: 2019-12-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.15.6 外网用户通过域名访问内网服务器(地址重叠)配置举例 1. 组网需求· 某公司内网使用的IP地址为192.168.1.0/24。 · 该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。 · 该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。 · 该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。 需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。 2. 组网图图2-8 外网用户通过域名访问内网服务器(地址重叠)配置组网图
3. 配置思路这是一个典型的双向NAT应用,具体配置思路如下。 · 外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。 · DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。 · 外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。 · NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/0/2。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS协议的ALG功能。 system-view [Device] nat alg dns # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 创建地址组1。 [Device] nat address-group 1 # 添加地址组成员202.38.1.2。 [Device-address-group-1] address 202.38.1.2 202.38.1.2 [Device-address-group-1] quit # 创建地址组2。 [Device] nat address-group 2 # 添加地址组成员202.38.1.3。 [Device-address-group-2] address 202.38.1.3 202.38.1.3 [Device-address-group-2] quit # 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns # 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。 [Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible # 在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。 [Device-GigabitEthernet1/0/2] nat inbound 2000 address-group 2 # 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。 [Device] ip route-static 202.38.1.3 32 gigabitethernet 1/0/2 20.2.2.2 5. 验证配置# 以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT address group information: Totally 2 NAT address groups. Address group 1: Port range: 1-65535 Address information: Start address End address 202.38.1.2 202.38.1.2
Address group 2: Port range: 1-65535 Address information: Start address End address 202.38.1.3 202.38.1.3
NAT inbound information: Totally 1 NAT inbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: 2 Add route: N NO-PAT: N Reversible: N Service card: Slot 2 Config status: Active
NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: Y Service card: Slot 2 Config status: Active
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet1/0/2 Protocol: 17(UDP) Global IP/port: 202.38.1.4/53 Local IP/port : 200.1.1.3/53 Service card : Slot 2 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/8080 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/2 Responder: Source IP/port: 192.168.1.2/8080 Destination IP/port: 202.38.1.3/1025 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 State: TCP_ESTABLISHED Application: HTTP Role: - Failover group ID: - Start time: 2019-12-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.15.7 内网用户通过NAT地址访问内网服务器配置举例 1. 组网需求· 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。 · 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。 需要实现如下功能: · 外网主机可以通过202.38.1.2访问内网中的FTP服务器。 · 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。 2. 组网图图2-9 内网用户通过NAT地址访问内网服务器配置组网图
3. 配置思路该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。 · 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。 · 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口开启NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 system-view [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp # 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/0/2的IP地址进行源地址转换。 [Device-GigabitEthernet1/0/2] nat outbound 2000 # 在接口GigabitEthernet1/0/1上开启NAT hairpin功能。 [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] nat hairpin enable 5. 验证配置# 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。 [Device]display nat all NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: --- Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.2/21 Local IP/port : 192.168.1.4/21 Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT hairpinning: Totally 1 interfaces enabled with NAT hairpinning. Interface: GigabitEthernet1/0/1 Config status: Active
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 192.168.1.2/1694 Destination IP/port: 202.38.1.2/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 Responder: Source IP/port: 192.168.1.4/21 Destination IP/port: 202.38.1.1/1025 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 State: TCP_ESTABLISHED Application: FTP Start time: 2019-08-15 14:53:29 TTL: 3597s Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1 2.15.8 内网用户通过NAT地址互访配置举例 1. 组网需求某P2P应用环境中,内网中的客户端首先需要向外网服务器进行注册,外网服务器会记录客户端的IP地址和端口号。如果内网的一个客户端要访问内网的另一个客户端,首先需要向服务器获取对方的IP地址和端口号。 需要实现如下功能: · 内网客户端可以向外网中的服务器注册,且注册为一个相同的外网地址。 · 内网客户端能够通过从服务器获得的IP地址和端口进行互访。 2. 组网图图2-10 内网用户通过NAT地址互访配置组网图
3. 配置思路该需求为典型的P2P模式的NAT hairpin应用,具体配置思路如下。 · 内网中的客户端需要向外网中的服务器注册,因此需要进行源地址转换,可以通过在外网侧接口配置出方向动态地址转换实现。 · 服务器记录客户端的IP地址和端口号,且该地址和端口号是NAT转换后的。由于服务器记录的客户端IP地址和端口号需要供任意源地址访问,因此客户端地址的转换关系必须不关心对端地址,这可以通过配置EIM模式的动态地址转换实现。 · 内部主机通过外网地址进行互访,需要在内网侧接口开启NAT hairpin功能。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。 system-view [Device] acl basic 2000 [Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255 [Device-acl-ipv4-basic-2000] quit # 在外网侧接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换,允许使用接口GigabitEthernet1/0/2的IP地址对内网访问外网的报文进行源地址转换,因为多个内部主机共用一个外网地址,因此需要配置为PAT方式,即转换过程中使用端口信息。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat outbound 2000 # 配置PAT方式下的地址转换模式为EIM,即只要是来自相同源地址和源端口号的且匹配ACL 2000的报文,不论其目的地址是否相同,通过PAT转换后,其源地址和源端口号都被转换为同一个外部地址和端口号。 [Device] nat mapping-behavior endpoint-independent acl 2000 # 在内网侧接口GigabitEthernet1/0/1上开启NAT hairpin功能。 [Device] interface gigabitethernet 1/0/1 [Device-GigabitEthernet1/0/1] nat hairpin enable 5. 验证配置# 以上配置完成后,Host A、Host B和Host C 分别向外网服务器注册之后,它们之间可以相互访问。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: 2000 Address group: --- Port-preserved: N NO-PAT: N Reversible: N Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT hairpinning: Totally 1 interfaces enabled with NAT hairpinning. Interface: GigabitEthernet1/0/1 Config status: Active
NAT mapping behavior: Mapping mode : Endpoint-Independent ACL : 2000 Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到Client A访问Client B时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 192.168.1.3/44929 Destination IP/port: 202.38.1.3/1 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet1/0/1 Responder: Source IP/port: 192.168.1.2/69 Destination IP/port: 202.38.1.3/1024 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: UDP(17) Inbound interface: GigabitEthernet1/0/1 State: UDP_READY Application: TFTP Start time: 2019-08-15 15:53:36 TTL: 46s Initiator->Responder: 1 packets 56 bytes Responder->Initiator: 1 packets 72 bytes
Total sessions found: 1 2.15.9 负载分担内部服务器配置举例 1. 组网需求某公司内部拥有3台FTP服务器对外提供FTP服务。 需要实现如下功能: · 使用IP地址为202.38.1.1作为公司对外提供服务的IP地址。 · 3台FTP服务器可以同时对外提供服务,并进行负载分担。 2. 组网图图2-11 负载分担内部服务器配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内部服务器组0及其成员10.110.10.1、10.110.10.2和10.110.10.3。 system-view [Device] nat server-group 0 [Device-nat-server-group-0] inside ip 10.110.10.1 port 21 [Device-nat-server-group-0] inside ip 10.110.10.2 port 21 [Device-nat-server-group-0] inside ip 10.110.10.3 port 21 [Device-nat-server-group-0] quit # 在接口GigabitEthernet1/0/2上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供FTP服务。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 ftp inside server-group 0 4. 验证配置# 以上配置完成后,外网主机可以访问内网FTP服务器组。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT server group information: Totally 1 NAT server groups. Group Number Inside IP Port Weight 0 10.110.10.1 21 100 10.110.10.2 21 100 10.110.10.3 21 100
NAT internal server information: Totally 1 internal servers. Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.1/21 Local IP/port : server group 0 10.110.10.1/21 (Connections: 1) 10.110.10.2/21 (Connections: 2) 10.110.10.3/21 (Connections: 2) Config status : Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled # 通过以下显示命令,可以看到外网主机访问内网某FTP server时生成NAT会话信息。 [Device] display nat session verbose Initiator: Source IP/port: 202.38.1.25/53957 Destination IP/port: 202.38.1.1/21 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/2 Responder: Source IP/port: 10.110.10.3/21 Destination IP/port: 202.38.1.25/53957 DS-Lite tunnel peer: - VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6) Inbound interface: GigabitEthernet1/0/1 State: TCP_ESTABLISHED Application: FTP Start time: 2019-08-16 11:06:07 TTL: 26s Initiator->Responder: 1 packets 60 bytes Responder->Initiator: 2 packets 120 bytes
Total sessions found: 1 2.15.10 NAT DNS mapping配置举例 1. 组网需求某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1至202.38.1.3三个公网IP地址。另外公司在外网有一台DNS服务器,IP地址为202.38.1.4。 需要实现如下功能: · 选用202.38.1.2作为公司对外提供服务的IP地址。 · 外网用户可以通过域名或IP地址访问内部服务器。 · 内网用户可以通过域名访问内部服务器。 2. 组网图图2-12 NAT DNS mapping配置组网图
3. 配置思路· 内网服务器对外提供服务,需要配置NAT内部服务器将各服务器的内网IP地址和端口映射为一个外网地址和端口。 · 内网主机通过域名访问内网服务器时,首先需要通过出接口地址转换分配的外网地址访问外网的DNS服务器,并获取内网服务器的内网IP地址。由于DNS服务器向内网主机发送的响应报文中包含的是内网服务器的外网地址,因此NAT设备需要将DNS报文载荷内的外网地址转换为内网地址,这可以通过查找DNS mapping映射表配合DNS ALG功能实现。DNS mapping映射表用于实现根据“域名+外网IP地址+外网端口号+协议类型”查找到对应的“内网IP+内网端口号”。 4. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 开启DNS的NAT ALG功能。 system-view [Device] nat alg dns # 进入接口GigabitEthernet1/0/2。 [Device] interface gigabitethernet 1/0/2 # 配置NAT内部Web服务器,允许外网主机使用地址202.38.1.2访问内网Web服务器。 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 http # 配置NAT内部FTP服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器。 [Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp # 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换。 [Device-GigabitEthernet1/0/2] nat outbound # 配置两条DNS mapping表项:Web服务器的域名www.server.com对应IP地址202.38.1.2;FTP服务器的域名ftp.server.com对应IP地址202.38.1.2。 [Device] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port http [Device] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp [Device] quit 5. 验证配置# 以上配置完成后,内网主机和外网主机均可以通过域名访问内网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT outbound information: Totally 1 NAT outbound rules. Interface: GigabitEthernet1/0/2 ACL: --- Address group: --- Port-preserved: N NO-PAT: N Reversible: N Service card: Slot 2 Config status: Active
NAT internal server information: Totally 2 internal servers. Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.2/21 Local IP/port : 10.110.10.2/21 Service card : Slot 2 Config status : Active
Interface: GigabitEthernet1/0/2 Protocol: 6(TCP) Global IP/port: 202.38.1.2/80 Local IP/port : 10.110.10.1/80 Service card : Slot 2 Config status : Active
NAT DNS mapping information: Totally 2 NAT DNS mappings. Domain name: ftp.server.com Global IP : 202.38.1.2 Global port: 21 Protocol : TCP(6) Config status: Active
Domain name: www.server.com Global IP : 202.38.1.2 Global port: 80 Protocol : TCP(6) Config status: Active
NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled 2.15.11 NAT端口块静态映射配置举例 1. 组网需求内部网络用户10.110.10.1~10.110.10.10使用外网地址202.38.1.100访问Internet。内网用户地址基于NAT端口块静态映射方式复用外网地址202.38.1.100,外网地址的端口范围为10001~15000,端口块大小为500。 2. 组网图图2-13 NAT端口块静态映射配置组网图
3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。 # 创建NAT端口块组1。 system-view [Device] nat port-block-group 1 # 添加私网地址成员10.110.10.1~10.110.10.10。 [Device-port-block-group-1] local-ip-address 10.110.10.1 10.110.10.10 # 添加公网地址成员为202.38.1.100。 [Device-port-block-group-1] global-ip-pool 202.38.1.100 202.38.1.100 # 配置端口块大小为500,公网地址的端口范围为10001~15000。 [Device-port-block-group-1] block-size 500 [Device-port-block-group-1] port-range 10001 15000 [Device-port-block-group-1] quit # 在接口GigabitEthernet1/0/2上配置NAT端口块静态映射,引用端口块组1。 [Device] interface gigabitethernet 1/0/2 [Device-GigabitEthernet1/0/2] nat outbound port-block-group 1 [Device-GigabitEthernet1/0/2] quit # 开启流量触发分配端口块功能。 [Device] nat port-block flow-trigger enable 4. 验证配置# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Device] display nat all NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active : Disabled Port-block-assign : Disabled Port-block-withdraw : Disabled Port-alloc-fail : Enabled Port-block-alloc-fail : Disabled Port-usage : Disabled Port-block-usage : Enabled(40%)
NAT mapping behavior: Mapping mode : Address and Port-Dependent ACL : --- Config status: Active
NAT ALG: DNS : Enabled FTP : Enabled H323 : Disabled ICMP-ERROR : Enabled ILS : Disabled MGCP : Disabled NBT : Disabled PPTP : Enabled RTSP : Enabled RSH : Disabled SCCP : Disabled SIP : Disabled SQLNET : Disabled TFTP : Disabled XDMCP : Disabled
NAT port block group information: Totally 1 NAT port block groups. Port block group 1: Port range: 10001-15000 Block size: 500 Local IP address information: Start address End address VPN instance 10.110.10.1 10.110.10.10 --- Global IP pool information: Start address End address 202.38.1.100 202.38.1.100
NAT outbound port block group information: Totally 1 outbound port block group items. Interface: GigabitEthernet1/0/2 port-block-group: 1 Config status : Active # 通过以下显示命令,可以看到系统生成的静态端口块表项信息。 [Device] display nat port-block static Slot 1: Local VPN Local IP Global IP Port block Connections --- 10.110.10.1 202.38.1.100 10001-10500 2 --- 10.110.10.2 202.38.1.100 10501-11000 0 --- 10.110.10.3 202.38.1.100 11001-11500 0 --- 10.110.10.4 202.38.1.100 11501-12000 0 --- 10.110.10.5 202.38.1.100 12001-12500 1 --- 10.110.10.6 202.38.1.100 12501-13000 0 --- 10.110.10.7 202.38.1.100 13001-13500 0 --- 10.110.10.8 202.38.1.100 13501-14000 0 --- 10.110.10.9 202.38.1.100 14001-14500 0 --- 10.110.10.10 202.38.1.100 14501-15000 0 2.15.12 NAT日志输出至信息中心配置举例 1. 组网需求· 私网上的Host通过Device访问公网。 · Device开启NAT转换功能,对私网用户和公网设备之间往来的报文做NAT转换,开启NAT日志功能,并配置NAT日志输出至信息中心。 · 通过查看信息中心的记录,实现对私网用户的监控。 2. 组网图图2-14 NAT日志输出至信息中心配置组网图
3. 配置步骤
按组网图所示配置各接口的IP地址,并确保Host与Device之间路由可达。
# 配置Flow日志输出到信息中心。 system-view [Device] userlog flow syslog # 开启NAT日志功能。 [Device] nat log enable # 开启NAT新建会话的日志功能。 [Device] nat log flow-begin # 开启NAT删除会话的日志功能。 [Device] nat log flow-end # 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔为10分钟。 [Device] nat log flow-active 10 [Device] quit 4. 验证配置# 通过查看日志缓冲区监视私网用户的访问记录。 dir Directory of cf:/ 38 -rw- 141 Aug 07 2019 17:54:43 ifindex.dat 39 drw- - Aug 18 2019 17:51:38 license 40 drw- - May 20 2019 14:36:20 logfile 249852 KB total (232072 KB free)
File system type of cf: FAT32
cd logfile dir more logfile.log ……略…… %Aug 10 20:06:30:182 2019 Device NAT/6/NAT_FLOW: Protocol(1001)=ICMP;SrcIPAd dr(1003)=10.110.10.8;SrcPort(1004)=259;NatSrcIPAddr(1005)=202.38.1.100;NatSrcPor t(1006)=0;DstIPAddr(1007)=202.38.1.2;DstPort(1008)=2048;NatDstIPAddr(1009)=202.3 8.1.2;NatDstPort(1010)=259;InitPktCount(1044)=0;InitByteCount(1046)=0;RplyPktCou nt(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;Rcv DSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=08102019200 630; EndTime_e(1014)=08102019200700;Event(1048)=(8)Session created; ……略…… 该举例里的NAT日志信息表示的具体含义如表2-1所示。 表2-1 NAT日志显示信息描述表 字段 描述 Protocol(1001)=ICMP IP承载的协议为ICMP协议 SrcIPAddr(1003)=10.110.10.8 NAT转换前报文的源地址 SrcPort(1004)=259 NAT转换前报文的TCP/UDP源端口号 NatSrcIPAddr(1005)=202.38.1.100 NAT转换后报文的源地址 NatSrcPort(1006)=0 NAT转换后报文的TCP/UDP源端口号 DstIPAddr(1007)=202.38.1.2 NAT转换前报文的目的地址 DstPort(1008)=2048 NAT转换前报文的TCP/UDP目的端口号 NatDstIPAddr(1009)=202.38.1.2 NAT转换后报文的目的地址 NatDstPort(1010)=259 NAT转换后的TCP/UDP目的端口号 BeginTime_e(1013)=08102019200630 流起始时间,以秒为单位,为2019/08/10 20:06:30 EndTime_e(1014)=08102019200700 流结束时间,以秒为单位,为2019/08/10 20:07:00 2.15.13 NAT日志输出至日志服务器配置举例 1. 组网需求 通过在设备Device上配置NAT日志输出至日志服务器功能,实现对用户上网行为的监控。 2. 组网图图2-15 NAT日志输出至日志服务器配置组网图
3. 配置步骤
按组网图所示配置各接口的IP地址,并确保Device与User、Log Server之间路由可达。
# 开启NAT日志功能。 system-view [Device] nat log enable # 开启NAT新建、删除会话和活跃流的日志功能。 [Device] nat log flow-begin [Device] nat log flow-end [Device] nat log flow-active 10 # 配置Flow日志报文版本号为3.0。 [Device] userlog flow export version 3 # 配置Flow日志信息发送给Flow日志主机,日志主机的IP地址为1.2.3.6,端口号为2000。 [Device] userlog flow export host 1.2.3.6 port 2000 # 配置发送Flow日志的源IP地址为2.2.2.2。 [Device] userlog flow export source-ip 2.2.2.2 [Device] quit 4. 验证配置# 查看Flow日志的配置和统计信息。 display userlog export Flow: Export flow log as UDP Packet. Version: 3.0 Source ipv4 address: 2.2.2.2 Source ipv6 address: Log load balance function: Disabled Log Server numbers: 1
Log Server 1: Host/Port: 1.2.3.6/2000 Total logs/UDP packets exported: 112/87
|
【本文地址】