- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-NAT44配置指导
本章节下载: 23-NAT44配置指导 (286.50 KB)
目录
NAT44在原有源NAT的特性上,支持用户溯源功能及动态端口预留方式,并实现了地址映射关系上报日志服务。
· 私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。
· RFC 1918为私有网络预留出了三个IP地址块,如下:
A类:10.0.0.0~10.255.255.255
B类:172.16.0.0~172.31.255.255
C类:192.168.0.0~192.168.255.255
(上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。)
· NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络。
图1-1描述了一个基本的NAT应用。
在源NAT的参数设计上支持端口块,需要支持根据对应的端口块资源正确的设置NAT的入参就可以,添加该功能后,NAT转换后,端口号从1025开始。主要实现逻辑如下:
· 初始化资源池
· 根据源IP查找对应NAT资源块
· 根据源IP申请一个NAT资源块,如果成功申请需要日志
· 释放对NAT资源块的引用,当引用数为0时释放该资源块回到池里,需要记录日志
· 其它未有异常的情况下必须没有NAT日志
NAT44日志在源NAT的基础上添加了NAT端口范围。是NAT设备在进行NAT转换时生成的一种系统信息。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的IP地址、转换后端口信息、NAT转换类型等。利用NAT日志功能可以实时跟踪、记录内网、外部用户互访网络的情况,增强网络的安全性。
确定是否直接使用接口的IP地址作为转换后的报文源地址。如果否的话,需要根据实际网络情况,合理规划可用于地址转换的公网IP地址池。
根据实际网络情况,配置NAT44转换的规则的匹配条件:源、目的IP地址对象、服务对象(具体配置见对象管理章节)。
源地址转换即内网地址向外访问时,发起访问的内网IP地址转换为指定的IP地址(可指定具体的服务以及相应的端口或端口范围),这可以使内网的多部主机可以通过一个或者多个有效的公网IP地址访问外部网络。具体配置如表1-1所示。
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
必选 |
|
创建地址对象 |
address NAME ip subnet IP-ADDRESS exit |
必选 |
|
创建地址池 |
ipnat pool NAME ip address A.B.C.D A.B.C.D exit |
必选 |
|
配置源NAT规则 |
ip nat source IFNAME {SRC_ADDR | any} {DST_ADDR | any} SERVICE {INTERFACE | POOL} [log][ID] |
可选 |
|
配置NAT44转换规则 |
配置新的NAT44规则: ip nat source IFNAME {SRC_ADDR | any} {DST_ADDR | any} SERVICE {interface|POOL} nat44_range<8-30000> [log] [ID] 已有源NAT开启NAT44规则: ip nat source <1-65535> nat44 disable |
二选一 |
|
NAT44规则移动 |
ip nat { static | source | destination } move id { before | after } ref-id |
可选 |
在完成上述配置后,在任意视图下执行display命令显示NAT44的配置情况。
表1-2 NAT显示和维护
|
操作 |
命令 |
说明 |
|
NAT 配置显示 |
display running-config nat |
- |
设备作为网关,内网用户通过设备访问外网资源。内网地址为192.168.0.0/24网段,公网地址为202.118.3.1。NAT44转换后的地址是202.118.3.1每个端口块分100个,组网如图1-2。
图1-2 配置源NAT组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
#创建一个地址对象。
host>
host>en
host# configure termina
host(config)# address inside-net
host (config-address)#ip subnet 192.168.0.0/24
host (config-address)#exit
# 配置一个地址池。
host(config)#ipnat pool pub-pool
host(ip-nat-pool)#ip address 202.118.3.1 202.118.3.1
host(ip-nat-pool)#exit
host (config)#
# 配置源NAT规则。
host(config)# ip nat source ge0 inside-net any any pub-pool nat44_range 100 log 2
host(config)#exit
(1) 通过执行display running-config nat命令来验证配置.
host# display running-config nat
ip nat pool pub-poo
ip address 202.118.3.1 202.118.3.3
!
ip nat source ge0inside-net any any pub-pool 1
!
(2) 网关设备和链路均正常工作时,验证局域网内主机是否可以与外部网络通信
(3) 查看NAT44分配的端口块
host# sh ip nat44 2
ip nat source ge0 inside-net any any pub-pool nat44_range 100 log 2
BIND:192.168.0.2 ==>>202.118.3.1 1024-1123 refer(1)
BIND: 192.168.0.3 ==>>202.118.3.1.1124-1223 refer(1)
BIND: 192.168.0.4 ==>>202.118.3.1 1224-1323 refer(1)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
