01-NAT配置
本章节下载: 01-NAT配置 (757.54 KB)
1.17 开启对TCP SYN和SYN ACK报文中时间戳的删除功能
1.20.1 内网用户通过NAT地址访问外网配置举例(静态地址转换)
1.20.2 内网用户通过NAT地址访问外网配置举例(地址不重叠)
1.20.3 内网用户通过NAT地址访问外网配置举例(地址重叠)
1.20.5 外网用户通过域名访问内网服务器配置举例(地址不重叠)
1.20.6 外网用户通过域名访问内网服务器配置举例(地址重叠)
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。NAT最初的设计目的是实现私有网络访问公共网络的功能,后扩展为实现任意两个网络间进行访问时的地址转换应用。
NAT可以让少量的外网网络IP地址代表较多的内部网络IP地址,这种地址转换能力具备以下优点:
· 私有网络内部的通信利用私网地址,如果私有网络需要与外部网络通信或访问外部资源,则可通过将大量的私网地址转换成少量的公网地址来实现,这在一定程度上缓解了IPv4地址空间日益枯竭的压力。
· 地址转换可以利用端口信息,通过同时转换公网地址与传输层端口号,使得多个私网用户可共用一个公网地址与外部网络通信,节省了公网地址。
· 通过静态映射,不同的内部服务器可以映射到同一个公网地址。外部用户可通过公网地址和端口访问不同的内部服务器,同时还隐藏了内部服务器的真实IP地址,从而防止外部对内部服务器乃至内部网络的攻击。
· 方便网络管理,例如私网服务器迁移时,无需过多配置的改变,仅仅通过调整内部服务器的映射表就可将这一变化体现出来。
配置了NAT功能的连接内部网络和外部网络的边缘设备,通常被称为NAT设备。当内部网络访问外部网络的报文经过NAT设备时,NAT设备会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网侧返回时,NAT设备查找原有的记录,将报文的目的地址再替换回原来的私网地址,并转发给内网侧主机。这个过程,在私网侧或公网侧设备看来,与普通的网络访问并没有任何的区别。
· NAT接口:NAT设备上应用了NAT相关配置的接口。
· NAT规则:用于进行地址转换的NAT配置称为NAT规则。
· NAT地址:用于进行地址转换的IP地址,与外部网络路由可达,可静态指定或动态分配。
· NAT表项:NAT设备上用于记录网络地址转换映射关系的表项。
· Easy IP功能:NAT转换时直接使用设备上接口的IP地址作为NAT地址。设备上接口的地址可通过DHCP或PPPoE等协议动态获取,因此对于支持Easy IP的NAT配置,不直接指定NAT地址,而是指定对应的接口或当前接口。
(1) 传统NAT
报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出接口上进行源IP地址转换;对于外网访问内网的报文,在入接口上进行目的地址IP地址转换。
(2) 两次NAT
报文入接口和出接口均为NAT接口。报文经过NAT设备时,先后进行两次NAT转换。对于内网访问外网的报文和外网访问内网的报文,均在入接口进行目的IP地址转换,在出接口进行源IP地址转换。这种方式常用于支持地址重叠的VPN间互访。
(3) 双向NAT
报文经过NAT设备时,在NAT接口上同时进行一次源IP地址转换和一次目的IP地址转换。对于内网访问外网的报文,在出接口上同时进行源IP地址和目的IP地址的转换;对于外网访问内网的报文,同时在入接口上进行目的地址IP地址和源IP地址的转换。这种方式常用于支持内网用户主动访问与之地址重叠的外网资源。
(4) NAT hairpin
NAT hairpin功能用于满足位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT地址进行访问的需求。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。它支持两种组网模式:
· P2P:位于内网侧的用户之间通过动态分配的NAT地址互访。
· C/S:位于内网侧的用户使用静态配置的NAT地址访问内网服务器。
如图1-1所示,一台NAT设备连接内网和外网,连接外网的接口为NAT接口,当有报文经过NAT设备时,NAT的基本工作过程如下。
图1-1 NAT基本工作过程示意图
(1) 当内网用户主机(192.168.1.3)向外网服务器(1.1.1.2)发送的IP报文通过NAT设备时,NAT设备查看报文的IP头内容,发现该报文是发往外网的,则将其源IP地址字段的内网地址192.168.1.3转换成一个可路由的外网地址20.1.1.1,并将该报文发送给外网服务器,同时在NAT设备上建立表项记录这一映射。
(2) 外网服务器给内网用户发送的应答报文到达NAT设备后,NAT设备使用报文信息匹配建立的表项,然后查找匹配到的表项记录,用内网私有地址192.168.1.3替换初始的目的IP地址20.1.1.1。
上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外网服务器而言,它认为内网用户主机的IP地址就是20.1.1.1,并不知道有192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。
在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问;或者希望某些外部网络的主机可以访问内部网络,而某些主机不允许访问。即NAT设备只对符合要求的报文进行地址转换。
NAT设备可以利用ACL(Access Control List,访问控制列表)来对地址转换的使用范围进行控制,通过定义ACL规则,并将其与NAT配置相关联,实现只对匹配指定的ACL permit规则的报文才进行地址转换的目的。而且,NAT仅使用规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例这几个元素进行报文匹配,忽略其它元素。
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:
· NO-PAT模式
NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
· PAT模式
PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互联网控制消息协议)查询报文。
图1-2描述了PAT的基本原理。
图1-2 PAT基本原理示意图
如图1-2所示,三个带有内网地址的报文到达NAT设备,其中报文1和报文2来自同一个内网地址但有不同的源端口号,报文1和报文3来自不同的内网地址但具有相同的源端口号。通过PAT映射,三个报文的源IP地址都被转换为同一个外网地址,但每个报文都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
目前,PAT支持两种不同的地址转换模式:
· Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。
在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
如图1-3所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备将报文的目的地址与接口上的NAT内部服务器配置进行匹配,并将匹配上的访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成外网IP地址和端口号。
NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中,NAT444仅需在运营商侧引入二次NAT,对终端和应用服务器端的更改较小,并且NAT444通过端口块分配方式解决用户溯源等问题,因此成为了运营商的首选IPv6过渡方案。
NAT444解决方案的架构如图1-4所示。
图1-4 NAT444解决方案架构
· CPE:实现用户侧地址转换。
· BRAS:负责接入终端,并配合AAA完成用户认证、授权和计费。
· NAT444网关:实现运营商级地址转换。
· AAA服务器:负责用户认证、授权和计费等。
· 日志服务器:接受和记录用户访问信息,响应用户访问信息查询。
NAT444网关设备进行的地址转换(以下称为“NAT444地址转换”)是一种PAT方式的动态地址转换,但与普通PAT方式动态地址转换不同的是,NAT444地址转换是基于端口块(即一个端口范围)的方式来复用公网IP地址的,即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如:假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001~10256,则该私网IP向公网发起的所有连接,源IP地址都将被转换为同一个公网IP地址202.1.1.1,而源端口将被转换为端口块10001~10256之内的一个端口。
端口块的分配支持静态映射和动态映射两种方式。
端口块静态映射是指,NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时,根据私网IP地址匹配静态端口块表项,获取对应的公网IP地址和端口块,并从端口块中动态为其分配一个公网端口,对报文进行地址转换。
配置端口块静态映射时,需要创建一个端口块组,并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m(即端口范围除以端口块大小),则端口块静态映射的算法如下:按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列,最小的m个私网IP地址对应最小的公网IP地址及其端口块,端口块按照起始端口号从小到大的顺序分配;次小的m个私网IP地址对应次小的公网IP地址及其端口块,端口块的分配顺序相同;依次类推。
端口块动态映射融合了普通NAT动态地址转换和NAT444端口块静态映射的特点。当内网用户向公网发起连接时,首先根据动态地址转换中的ACL规则进行过滤,决定是否需要进行源地址转换。对于需要进行源地址转换的连接,当该连接为该用户的首次连接时,从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址,从该公网IP地址中动态分配一个端口块,创建动态端口块表项,然后从端口块表项中动态分配一个公网端口,进行地址转换。对该用户后续连接的转换,均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时,回收为其分配的端口块资源,删除相应的动态端口块表项。
端口块动态映射支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽(端口块中的所有端口都被使用)时,如果该私网IP地址向公网发起新的连接,则无法再从端口块中获取端口,无法进行地址转换。此时,如果预先在相应的NAT地址组中配置了增量端口块数,则可以为该私网IP地址分配额外的端口块,进行地址转换。
DS-Lite(Dual Stack Lite,轻量级双协议栈)技术综合了IPv4 over IPv6隧道技术和NAT技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络。
在DS-Lite网络中,B4设备为用户网络的网关或者运行DS-Lite客户端软件的用户主机,AFTR设备作为隧道端点设备和NAT网关负责执行隧道报文的封装、解封装以及对解封装后的IPv4地址进行转换。
图1-5 DS-Lite网络组网图
在该组网环境下,AFTR设备可基于B4的IPv6地址对B4分配端口块,DS-Lite主机或所有以B4为网关的私网主机共用该B4的端口块访问IPv4网络。该方式支持对DS-Lite主机基于端口块的溯源。
目前,仅支持对B4进行动态映射方式的端口块分配。
NAT设备处理一个连接的首报文时便确定了相应的地址转换关系,并同时创建会话表项,该会话表项中添加了NAT扩展信息(例如接口信息、转换方式)。会话表项中记录了首报文的地址转换信息。这类经过NAT处理的会话表项,也称为NAT会话表项。
当该连接的后续报文经过NAT设备时,将与NAT会话表项进行匹配,NAT设备从匹配到的会话表项中得到首报文的转换方式,并根据首报文的转换方式对后续报文进行处理。后续报文方向与首报文相同时,源和目的的转换方式与首报文相同;方向相反时,转换方式与首报文相反。即,如果首报文转换了源地址,则后续报文需要转换目的地址;如果首报文转换了目的地址,则后续报文需要转换源地址。
NAT会话表项的更新和老化由会话管理模块维护,关于会话管理的相关介绍请参见“安全配置指导”中的“会话管理”。
如果NAT设备上开启了Endpoint-Independent Mapping模式,则在PAT方式的动态地址转换过程中,会首先创建一个NAT会话表项,然后创建一个EIM表项用于记录地址和端口的转换关系(内网地址和端口<-->NAT地址和端口),该表项有以下两个作用:
· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。
· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。
该表项在与其相关联的所有NAT会话表项老化后老化。
在NO-PAT方式进行源地址的动态转换过程中,NAT设备首先创建一个NAT会话表项,然后建立一个NO-PAT表项用于记录该转换关系(内网地址<-->NAT地址)。除此之外,在NAT设备进行ALG处理时,也会触发创建NO-PAT表项。NAT ALG的相关介绍请参见“1.1.7 NAT支持ALG”。
NO-PAT表项有以下两个作用:
· 保证后续来自相同源地址的新建连接与首次连接使用相同的转换关系。
· 配置了reversible参数的情况下,允许满足指定条件的主机向NAT地址发起的新建连接根据NO-PAT表项进行反向地址转换。
该表项在与其相关联的所有NAT会话表项老化后老化。
NAT444端口块表项记录1个用户在NAT444网关转换前的私网IP地址、转换后对应的公网IP地址及其端口块。
端口块表项分为静态端口块表项和动态端口块表项:
· 静态端口块表项在配置了NAT444端口块静态映射的相关命令时由系统自动创建,在删除相关配置时删除。
· 动态端口块表项在收到某私网IP地址的首次连接时创建,在该私网IP地址的所有连接都已关闭,表项中的所有端口都被回收时删除。
支持多VPN实例的NAT允许VPN实例内的用户访问外部网络,同时允许分属于不同VPN实例的用户互访。例如,当某VPN实例内的用户经过NAT设备访问外部网络时,NAT将内部网络主机的IP地址和端口替换为NAT地址和端口,同时还记录了用户的VPN实例信息(如VPN实例名称)。外部网络的回应报文到达NAT设备时,NAT将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时可得知该回应报文应该转发给哪一个VPN实例内的用户。另外,NAT还可利用外部网络地址所携带的VPN实例信息,支持多个VPN实例之间的互访。
同时,NAT内部服务器也支持多VPN实例,这给外部网络提供了访问VPN实例内服务器的机会。例如,VPN1内提供Web服务的主机地址是10.110.1.1,可以使用202.110.10.20作为Web服务器的外部地址,Internet的用户使用202.110.10.20的地址就可以访问到VPN1提供的Web服务。
一般情况下,DNS(Domain Name System,域名系统)服务器和访问私网服务器的用户都在公网,通过在NAT设备的公网接口上配置内部服务器,可以将公网地址、端口等信息映射到私网内的服务器上,使得公网用户可以通过内部服务器的域名或公网地址来访问内部服务器。但是,如图1-6所示,如果DNS服务器在公网,私网用户希望通过域名来访问私网的Web服务器,则会由于DNS服务器向私网用户发送的响应报文中包含的是私网服务器的公网地址,而导致收到响应报文的私网用户无法利用域名访问私网服务器。通过在设备上配置DNS mapping可以解决该问题。
图1-6 NAT DNS mapping工作示意图
DNS mapping功能是指,通过配置“域名+公网IP地址+公网端口号+协议类型”的映射表,建立内部服务器域名与内部服务器公网信息的对应关系。在配置了NAT的接口上,设备检查接收到的DNS响应报文,根据报文中的域名查找用户配置的DNS mapping映射表,并根据表项内的“公网地址+公网端口+协议类型”信息查找内部服务器地址映射表中该信息对应的私网地址,替换DNS查询结果中的公网地址。这样,私网用户收到的DNS响应报文中就包含了要访问的内部服务器的私网地址,也就能够使用内部服务器域名访问同一私网内的内部服务器。
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
例如,FTP(File Transfer Protocol,文件传输协议)应用由FTP客户端与FTP服务器之间建立的数据连接和控制连接共同实现,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置完成载荷信息的转换,以保证后续数据连接的正确建立。
图1-7 NAT444和BRAS联动组网图
如图1-7所示的组网环境中,用户访问外部网络时,传统NAT444方式下首先会在BRAS上完成AAA认证和私网地址的分配,认证通过后,用户发起访问外网的报文会在NAT444网关上进行NAT444转换。但是,这种传统方式会存在一些问题:
· 当用户认证完成后,AAA服务器就会对用户开始计费(BRAS上配置了计费的情况下),而此时如果NAT444资源已被其它用户耗尽,会导致该用户无法获取到公网资源,也就无法访问外网。这就产生了运营商已经对用户进行计费,但用户实际并未访问外网的问题。
· 如果运营商需要对内网用户进行溯源,那么必须提供日志服务器,并在NAT444网关上开启NAT日志功能。当用户流量报文经过NAT444网关时,NAT444网关就会向日志服务器发送用户私网地址与分配的公网资源的映射关系,这样就会对NAT444网关设备有一定的性能影响。而且,如果用户一段时间内没有访问外网,可能会导致再次访问外网时NAT444网关为其分配的公网资源与原来分配的不一致,如此反复,会在日志服务器上产生大量过期的映射信息,影响溯源效率。
若配置了NAT444网关与BRAS联动(通过在认证ISP域中指定具体的用户地址类型),则用户通过AAA认证并分配得到私网地址之后,NAT444网关会立即为该用户分配公网地址以及端口块,并将用户的私网IP地址、分配的公网地址及该端口块的映射关系通知给BRAS(如果NAT444网关上可分配的公网资源已耗尽,BRAS会强制用户下线,也不会对用户进行计费)。BRAS记录该地址映射关系,并将这个映射关系上报给AAA服务器。之后,该用户访问外部网络时直接使用NAT444网关已经分配的公网地址和端口块。通过此联动功能,AAA服务器能够获得并统一维护所有用户的地址映射关系,提供更便捷的用户溯源服务。而且,相对比传统方式(在用户访问外部网络时产生的地址映射关系),在用户上线时产生的地址映射关系更加稳定,NAT444将一直为上线用户维护地址映射关系,直到用户下线时才释放公网资源,并解除该映射关系。
目前,NAT444仅支持对PPP用户的业务与BRAS联动。
· 目前,支持联动功能的用户地址类型包括私网IP地址(private-ipv4)、私网双栈地址(private-ds)和轻量级双栈地址(ds-lite)。
· 用户上线后,若NAT444配置发生变更,则在线用户使用的公网IP和端口块也会随之变化,而上报给RADIUS服务器的公网IP和端口块并不能保持同步变化,会导致在线用户溯源不准确。因此,建议在NAT444配置发生变更之后,立即手动强制所有使用该NAT配置的用户下线。 当用户再次上线之后,将会使用配置变更后的公网IP和端口。
若接口上同时存在普通NAT静态地址转换、普通NAT动态地址转换、NAT444端口块静态映射、NAT444端口块动态映射、DS-Lite B4地址转换和内部服务器的配置,则在地址转换过程中,它们的优先级从高到低依次为:
(1) 内部服务器。
(2) 普通NAT静态地址转换。
(3) NAT444端口块静态映射。
(4) NAT444端口块动态映射和普通NAT动态地址转换,系统在处理IPv4报文时对二者不做区分,统一按照ACL编号由大到小的顺序匹配。
(5) DS-Lite B4地址转换的处理优先级与NAT444端口块动态映射和NAT动态地址转换处于同一个级别,只不过DS-Lite B4地址转换处理的是IPv6报文。
表1-1 NAT配置任务简介
配置任务 |
说明 |
详细配置 |
配置静态地址转换 |
根据实际的组网需求,选择其中一种或多种转换方式 1. 静态地址转换适用于:转换关系完全确定 2. 动态地址转换 · PAT方式适用于大量内网用户通过少量NAT地址访问外网 · NO-PAT方式,通常仅用于配合内部服务器或静态地址转换实现双向NAT应用 3. 内部服务器:内网服务器向外网提供服务 4. NAT444地址转换 · NAT444端口块静态映射适用于:用户私网IP地址确定 · NAT444端口块动态映射适用于:用户私网IP地址不确定 5. DS-Lite B4地址转换适用于:通过IPv6网络连接隔离的IPv4网络 |
|
配置动态地址转换 |
||
配置内部服务器 |
||
配置NAT444地址转换 |
||
配置DS-Lite B4地址转换 |
||
调整NAT规则的匹配优先级 |
可选 |
|
开启NAT端口负载分担功能 |
可选 |
|
配置DNS mapping |
可选 |
|
配置NAT hairpin |
可选 |
|
配置NAT ALG功能 |
可选 |
|
配置NAT日志功能 |
可选 |
|
开启NAT转换失败发送ICMP差错报文功能 |
可选 |
|
NAT反向报文的重定向功能 |
可选 |
|
删除TCP SYN和SYN ACK报文中的时间戳 |
可选 |
|
开启NAT会话新建速率的统计功能 |
可选 |
NAT设备接收或者发送的NAT业务反向报文与NAT接口不一致时,如果快速转发负载分担功能处于开启状态,则反向报文会匹配快转表项进行NAT地址转换。如果快速转发负载分担功能处于关闭状态,则反向报文无法匹配快转表项进行NAT地址转换。关于快速转发负载分担功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“快速转发”。
在双上行链路组网环境中,一个出接口配置了地址转换,另一个出接口没有配置地址转换,这种情况下,建议用户不要将两个出接口添加到同一个安全域,否则可能导致流量中断。关于“安全域”的相关介绍,请参见“基础配置指导”中的“安全域”。
配置静态地址转换时,需要首先在系统视图下配置静态地址转换映射,然后在接口下使该转换映射生效。
静态地址转换映射支持两种方式:一对一静态转换映射、网段对网段静态转换映射。静态地址转换可以支持配置在接口的出方向(nat static outbound)或入方向(nat static inbound)上,入方向的静态地址转换通常用于与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合以实现双向NAT,不建议单独配置。
· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。需要注意的是,NAT仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素。
· 对于入方向静态地址转换,需要手动添加路由:目的地址为静态地址转换配置中指定的local-ip或local-network;下一跳为静态地址转换配置中指定的外网地址,或者报文出接口的实际下一跳地址。
出方向一对一静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的源IP地址转换为global-ip。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的目的IP地址转换为local-ip。
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。
表1-2 配置出方向一对一静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置出方向一对一静态地址转换映射 |
nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] |
缺省情况下,不存在地址转换映射 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口上的NAT静态地址转换功能 |
nat static enable |
缺省情况下,NAT静态地址转换功能处于关闭状态 |
出方向网段对网段静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络到一个外部公有网络的地址转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网网络地址进行匹配,并将匹配的源IP地址转换为指定外网网络地址之一。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网网络地址进行匹配,并将匹配的目的IP地址转换为指定的内网网络地址之一。
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。
表1-3 配置出方向网段对网段静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置出方向网段对网段静态地址转换映射 |
nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] |
缺省情况下,不存在地址转换映射 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口上的NAT静态地址转换功能 |
nat static enable |
缺省情况下,NAT静态地址转换功能处于关闭状态 |
基于对象组的出方向静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IPv4地址对象组进行匹配,并将匹配的源IP地址转换为外网IPv4地址对象组中的地址。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IPv4地址对象组进行匹配,并将匹配的目的IP地址转换为内网IPv4地址对象组中的地址。
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。
基于地址对象组的出方向静态地址转换引用的IPv4地址对象组中,只能存在一个主机对象(host)或者一个子网对象(subnet),否则引用不生效。
表1-4 配置出方向网段对网段静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置基于对象组的出方向静态地址转换映射 |
nat static outbound object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ] |
缺省情况下,不存在地址转换映射 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口上的NAT静态地址转换功能 |
nat static enable |
缺省情况下,NAT静态地址转换功能处于关闭状态 |
入方向一对一静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的目的IP地址转换为global-ip。
· 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的源IP地址转换为local-ip。
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。
表1-5 配置入方向一对一静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置入方向一对一静态地址转换映射 |
nat static inbound global-ip [ vpn-instance global-vpn-instance-name ] local-ip [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] |
缺省情况下,不存在地址转换映射 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口上的NAT静态地址转换功能 |
nat static enable |
缺省情况下,NAT静态地址转换功能处于关闭状态 |
入方向网段对网段静态地址转换用于实现一个内部私有网络与一个外部公有网络之间的地址转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网网络地址进行匹配,并将匹配的目的IP地址转换为指定的外网网络地址之一。
· 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网网络地址进行匹配,并将匹配的源IP地址转换为指定的内网网络地址之一。
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。
表1-6 配置入方向网段对网段静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置入方向网段对网段静态地址转换映射 |
nat static inbound net-to-net global-start-address global-end-address [ vpn-instance global-vpn-instance-name ] local local-network { mask-length | mask } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ rule rule-name ] [ priority priority ] [ disable ] |
缺省情况下,不存在地址转换映射 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口上的NAT静态地址转换功能 |
nat static enable |
缺省情况下,NAT静态地址转换功能处于关闭状态 |
基于对象组的入方向静态地址转换用于实现一个内部私有网络地址与一个外部公有网络地址之间的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其目的IP地址与指定的内网IPv4地址对象组进行匹配,并将匹配的目的IP地址转换为指定的外网IPv4地址对象组中的地址。
· 对于该接口接收到的外网访问内网的报文,将其源IP地址与指定的外网IPv4地址对象组进行匹配,并将匹配的源IP地址转换为指定的内网IPv4地址对象组中的地址。
如果接口上配置的静态地址转换映射中指定了acl参数,则仅对符合指定ACL permit规则的报文进行地址转换。
基于地址对象组的入方向静态地址转换引用的IPv4地址对象组中,只能存在一个主机对象(host)或者一个子网对象(subnet),否则引用不生效。
表1-7 配置入方向网段对网段静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置基于对象组的入方向静态地址转换映射 |
nat static inbound object-group global-object-group-name [ vpn-instance global-vpn-instance-name ] object-group local-object-group-name [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ disable ] |
缺省情况下,不存在地址转换映射 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启接口上的NAT静态地址转换功能 |
nat static enable |
缺省情况下,NAT静态地址转换功能处于关闭状态 |
通过在接口上配置ACL和地址组(或接口地址)的关联即可实现动态地址转换。
· 直接使用接口的IP地址作为转换后的地址,即实现Easy IP功能。
· 选择使用地址组中的地址作为转换后的地址,根据地址转换过程中是否转换端口信息可将动态地址转换分为NO-PAT和PAT两种方式。
在同时配置了多条动态地址转换的情况下:
· 指定了ACL参数的动态地址转换配置的优先级高于未指定ACL参数的动态地址转换配置;
· 对于指定了ACL参数的动态地址转换配置,其优先级由ACL编号的大小决定,编号越大,优先级越高。
对于多形态防火墙设备,如果NO-PAT方式的地址转换需要进行DNS ALG处理,则配置的地址组成员个数应不少于业务板数乘以内部服务器的个数,从而保证每个业务板上都有足够的地址资源用于转换。
· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。需要注意的是,NAT仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素。
· 确定是否直接使用接口的IP地址作为转换后的报文源地址。
· 配置根据实际网络情况,合理规划可用于地址转换的公网IP地址组。
· 确定地址转换过程中是否使用端口信息。
· 对于入方向动态地址转换,如果指定了add-route参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址;如果没有指定add-route参数,则用户需要在设备上手工添加路由。由于自动添加路由表项速度较慢,通常建议手工添加路由。
出方向动态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将与指定ACL permit规则匹配的报文源IP地址转换为地址组中的地址。
· 在指定了no-pat reversible参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址。
需要注意的是,在双上行链路组网环境中,一个出接口配置了地址转换,另一个出接口没有配置地址转换,这种情况下,建议用户不要将两个出接口添加到同一个安全域,否则可能导致流量中断。关于“安全域”的相关介绍,请参见“基础配置指导”中的“安全域”。
表1-8 配置出方向动态地址转换
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建NAT地址组,并进入NAT地址组视图 |
nat address-group group-id [ name group-name ] |
缺省情况下,不存在地址组 |
|
添加地址组成员 |
address start-address end-address |
缺省情况下,不存在地址组成员 可通过多次执行本命令添加多个地址组成员 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠 |
|
退回系统视图 |
quit |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置出方向动态地址转换 |
NO-PAT方式 |
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] |
二者至少选其一 缺省情况下,不存在出方向动态地址转换配置 一个接口下可配置多个出方向的动态地址转换 |
PAT方式 |
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] |
||
退回系统视图 |
quit |
- |
|
(可选)配置PAT方式地址转换的模式 |
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,PAT方式地址转换的模式为Address and Port-Dependent Mapping 该配置只对PAT方式的出方向动态地址转换有效 |
入方向动态地址转换功能通常与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合,用于实现双向NAT应用,不建议单独使用。
入接口动态地址转换的具体过程如下:
· 对于该接口接收到的外网访问内网的首报文,将与指定的ACL permit规则匹配的报文的源IP地址转换为地址组中的地址。
· 在指定了no-pat reversible参数,并且已经存在NO-PAT表项的情况下,对于经过该接口发送的内网访问外网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址。
需要注意的是,该方式下的地址转换不支持Easy IP功能。
表1-9 配置入方向动态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAT地址组,并进入NAT地址组视图 |
nat address-group group-id [ name group-name ] |
缺省情况下,不存在NAT地址组 |
添加地址组成员 |
address start-address end-address |
缺省情况下,不存在地址组成员 可通过多次执行本命令添加多个地址组成员 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址组成员重叠 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置入方向动态地址转换 |
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] |
缺省情况下,不存在入方向动态地址转换配置 一个接口下可配置多个入方向的动态地址转换 |
通过在NAT设备上配置内部服务器,建立一个或多个内网服务器内网地址和端口与外网地址和端口的映射关系,使外部网络用户能够通过配置的外网地址和端口来访问内网服务器。内部服务器可以位于一个普通的内网内,也可以位于一个VPN实例内。
内部服务器通常配置在外网侧接口上。
若普通内部服务器或者负载分担内部服务器配置中引用了acl参数,则表示与指定的ACL permit规则匹配的报文才可以使用内部服务器的映射表进行地址转换。需要注意的是,NAT仅关注ACL规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型和VPN实例,不关注ACL规则中定义的其它元素。
普通的内部服务器是将内网服务器的地址和端口映射为外网地址和端口,允许外部网络中的主机通过配置的外网地址和端口访问位于内网的服务器。
表1-10 配置普通内部服务器
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置普通内部服务器 |
外网地址单一,未使用外网端口或外网端口单一 |
nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ] [ rule rule-name ] [ disable ] [ description text ] |
四者至少选其一 缺省情况下,不存在内部服务器 一个接口下可以配置多个普通内部服务器 |
外网地址单一,外网端口连续 |
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] |
||
外网地址连续,未使用外网端口或外网端口单一 |
nat server protocol pro-type global global-address1 global-address2 [ global-port ] [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] |
||
外网地址连续,外网端口单一 |
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside local-address local-port1 local-port2 [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] |
负载分担内部服务器是指在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。
在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。
表1-11 配置负载分担内部服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置内部服务器组,并进入服务器组视图 |
nat server-group group-id |
缺省情况下,不存在内部服务器组 |
添加内部服务器组成员 |
inside ip inside-ip port port-number [ weight weight-value ] |
缺省情况下,内部服务器组内没有内部服务器组成员 一个内部服务器组内可以添加多个组成员 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置负载分担内部服务器 |
nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ rule rule-name ] [ disable ] [ description text ] |
缺省情况下,不存在内部服务器 一个接口下可以配置多个负载分担内部服务器 |
普通内部服务器方式必须指定公网地址,基于ACL内部服务器不用指定具体的公网地址,而是指定公网地址的集合,即通过ACL规则匹配过滤的一部分公网地址。对于符合ACL规则的报文,它的目的地址统一转换成相同的内部服务器地址和端口,它是普通内部服务器的扩展。
表1-12 配置基于ACL的内部服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
|
配置基于ACL的内部服务器 |
nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] |
缺省情况下,不存在内部服务器 一个接口下可以配置多个基于ACL的内部服务器 |
通过在NAT444网关设备上配置NAT444地址转换,可以实现基于端口块的公网IP地址复用,使一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。
NAT444是出方向地址转换,通常配置在外网侧接口上。
配置NAT444端口块静态映射需要创建一个端口块组,并在接口的出方向上应用该端口块组。端口块组中需要配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小,系统会根据端口块组中的配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,创建静态端口块表项,并根据表项进行NAT444地址转换。
表1-13 配置NAT444端口块静态映射
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAT端口块组,并进入NAT端口块组视图 |
nat port-block-group group-id |
缺省情况下,不存在NAT端口块组 |
添加私网地址成员 |
local-ip-address start-address end-address [ vpn-instance vpn-instance-name ] |
缺省情况下,不存在私网地址成员 一个端口块组内,可以配置多个私网地址成员,但各私网地址成员之间的IP地址不能重叠 |
添加公网地址成员 |
global-ip-pool start-address end-address |
缺省情况下,不存在公网地址成员 一个端口块组内,可以配置多个公网地址成员,但各公网地址成员之间的IP地址不能重叠 |
配置公网地址的端口范围 |
port-range start-port-number end-port-number |
缺省情况下,公网地址的端口范围为1~65535 |
配置端口块大小 |
block-size block-size |
缺省情况下,端口块大小为256 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置NAT444端口块静态映射 |
nat outbound port-block-group group-id [ rule rule-name ] |
缺省情况下,不存在NAT444端口块静态映射配置 一个接口下可配置多条基于不同端口块组的NAT444端口块静态映射 |
退回系统视图 |
quit |
- |
(可选)配置PAT方式出方向动态地址转换的模式 |
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping |
NAT444端口块动态映射的配置方式与普通的PAT方式出方向动态地址转换的配置基本相同,只要在接口的出方向上配置ACL和NAT地址组的关联即可。所不同的是,对于NAT444端口动态映射,必须在NAT地址组中配置端口块参数,以实现基于端口块的NAT444地址转换。
表1-14 配置NAT444端口块动态映射
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAT地址组,并进入NAT地址组视图 |
nat address-group group-id [ name group-name ] |
缺省情况下,不存在地址组 |
添加地址组成员 |
address start-address end-address |
缺省情况下,不存在地址组成员 可通过多次执行本命令添加多个地址组成员 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠 |
配置端口范围 |
port-range start-port-number end-port-number |
缺省情况下,端口范围为1~65535 该配置仅对PAT方式地址转换生效 |
配置端口块参数 |
port-block block-size block-size [ extended-block-number extended-block-number ] |
缺省情况下,不存在端口块参数 该配置仅对PAT方式地址转换生效 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置PAT方式出方向动态地址转换 |
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ vpn-instance vpn-instance-name ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] |
缺省情况下,不存在PAT方式出方向动态地址转换配置 port-preserved参数对NAT444端口块动态映射无效 |
退回系统视图 |
quit |
- |
(可选)配置PAT方式地址转换的模式 |
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping |
(可选)开启NAT444业务热备份功能 |
nat port-block synchronization enable |
缺省情况下,NAT444业务热备份功能处于关闭状态 |
在已配置NAT444端口块动态映射的情况下,当同一个源IP地址的报文从不同出接口进行NAT地址转换时,可能会分配到不同的端口块。如果需要使同一个源IP地址分配到相同的端口块,请开启端口块全局共享功能。
表1-15 配置NAT444端口块全局共享功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置NAT444端口块全局共享功能 |
nat port-block global-share enable |
缺省情况下,端口块全局共享功能处于关闭状态 |
通过在NAT网关设备上配置DS-Lite B4地址转换,可以实现基于端口块的公网IP地址复用,使一个DS-Lite B4 IPv6地址在一个时间段内独占一个公网IP地址的某个端口块。
DS-Lite B4地址转换配置在外网侧接口上,目前仅支持端口块动态映射方式。
DS-Lite B4端口块动态映射的配置方式与NAT444端口块动态映射的配置类似。所不同的是,对于NAT444端口块动态映射,接口上NAT地址池关联IPv4 ACL;而对于DS-Lite B4端口块动态映射,接口上NAT地址池关联IPv6 ACL。
表1-16 配置DS-Lite B4地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建NAT地址组,并进入NAT地址组视图 |
nat address-group group-id [ name group-name ] |
缺省情况下,不存在地址组 |
添加地址组成员 |
address start-address end-address |
缺省情况下,不存在地址组成员 可通过多次执行本命令添加多个地址组成员 当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠 |
配置端口范围 |
port-range start-port-number end-port-number |
缺省情况下,端口范围为1-65535 该配置仅对PAT方式地址转换生效 |
配置端口块参数 |
port-block block-size block-size [ extended-block-number extended-block-number ] |
缺省情况下,不存在端口块参数 该配置仅对PAT方式地址转换生效 |
退回系统视图 |
quit |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置DS-Lite B4端口块映射 |
nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id |
缺省情况下,不存在DS-Lite B4端口块映射 |
退回系统视图 |
quit |
- |
(可选)配置PAT方式地址转换的模式 |
nat mapping-behavior endpoint-independent [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,PAT方式出方向动态地址转换的模式为Address and Port-Dependent Mapping |
(可选)开启NAT444业务热备份功能 |
nat port-block synchronization enable |
缺省情况下,NAT444业务热备份功能处于关闭状态 |
NAT规则的位置决定了匹配的优先级,位置越靠前的NAT规则,其匹配优先级越高。本功能通过调整NAT规则的位置,可以改变同一类NAT规则的匹配顺序。
用户调整NAT规则的匹配顺序后,NAT规则的匹配优先级的值也会发生变化,具体规则为:将nat-rule-name1移动到nat-rule-name2后面/前面,nat-rule-name2的匹配优先级的值不变,nat-rule-name1的匹配优先级的值=nat-rule-name2的匹配优先级的值+1/nat-rule-name2的匹配优先级的值-1。
在调整NAT规则的匹配优先级前,需要为NAT规则指定规则名称,否则无法使用本功能。
表1-17 调整出方向动态NAT规则的匹配优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
调整出方向动态NAT规则的匹配优先级 |
nat outbound rule move nat-rule-name1 { after | before } nat-rule-name2 |
- |
表1-18 调整入方向动态NAT规则的匹配优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
调整入方向动态NAT规则的匹配优先级 |
nat inbound rule move nat-rule-name1 { after | before } nat-rule-name2 |
- |
表1-19 调整入方向一对一静态NAT规则的匹配优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
调整入方向一对一静态NAT规则的匹配优先级 |
nat static inbound rule move nat-rule-name1 { after | before } nat-rule-name2 |
- |
表1-20 调整出方向一对一静态NAT规则的匹配优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
调整出方向一对一静态NAT规则的匹配优先级 |
nat static outbound rule move nat-rule-name1 { after | before } nat-rule-name2 |
- |
表1-21 调整基于ACL内部服务器NAT规则的匹配优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
调整基于ACL内部服务器NAT规则的匹配优先级 |
nat server rule move nat-rule-name1 { after | before } nat-rule-name2 |
- |
在双机热备的负载分担场景下,开启NAT端口负载分担功能后,两台设备分别获得一半的端口块资源,使得相同私网IP地址在不同的成员设备上独占一定的端口资源,避免端口分配冲突。
在双机热备的主备备份场景下,不需要配置此命令。
表1-22 开启NAT端口负载分担功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启NAT端口负载分担功能 |
nat port-load-balance enable slot slot-number |
缺省情况下,NAT端口负载分担功能处于关闭状态 |
通过配置DNS mapping,可以在DNS服务器位于外网的情况下,实现内网用户可通过域名访问位于同一内网的内部服务器的功能。DNS mapping功能需要和内部服务器配合使用,由nat server配置定义内部服务器对外提供服务的外网IP地址和端口号,由DNS mapping建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。
NAT设备对来自外网的DNS响应报文进行DNS ALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNS ALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果。因此需要借助DNS mapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址。
表1-23 配置DNS mapping
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置一条域名到内部服务器的映射 |
nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port |
缺省情况下,不存在域名到内部服务器的映射 可配置多条域名到内部服务器的映射 |
通过在内网侧接口上开启NAT hairpin功能,可以实现内网用户使用NAT地址访问内网服务器或内网其它用户。NAT hairpin功能需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。
该功能在不同工作方式下的具体转换过程如下:
· C/S方式:NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器配置所在接口上的出方向动态地址转换或出方向静态地址转换来完成。
· P2P方式:内网各主机首先向外网服务器注册自己的内网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。该方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并开启EIM模式。
表1-24 配置NAT hairpin功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启NAT hairpin功能 |
nat hairpin enable |
缺省情况下,NAT hairpin功能处于关闭状态 |
在IRF组网环境中,物理接口上配置的NAT业务不支持ALG功能。
通过开启指定应用协议类型的ALG功能,实现对应用层报文数据载荷字段的分析和NAT处理。
表1-25 配置NAT ALG功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启指定或所有协议类型的NAT ALG功能 |
nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp } |
缺省情况下,DNS、FTP、ICMP差错报文、RTSP、PPTP协议类型的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态 |
NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。
有三种情况可以触发设备生成NAT会话日志:
· 新建NAT会话。
· 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。
· 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。
表1-26 配置NAT会话日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启NAT日志功能 |
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,NAT日志功能处于关闭状态 |
开启NAT新建会话的日志功能 |
nat log flow-begin |
三者至少选其一 缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志 |
开启NAT删除会话的日志功能 |
nat log flow-end |
|
开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔 |
nat log flow-active time-value |
NAT444用户日志是为了满足互联网用户溯源的需要,在NAT444地址转换中,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。
有两种情况可以触发设备输出NAT444用户日志:
· 端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。
· 端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。
在配置NAT444用户日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444用户日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。
表1-27 配置NAT444用户日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启NAT日志功能 |
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,NAT日志功能处于关闭状态 ACL参数对NAT444用户日志功能无效 |
开启端口块分配的NAT444用户日志功能 |
nat log port-block-assign |
二者至少选其一 缺省情况下,分配和回收端口块时,均不输出NAT444用户日志 |
开启端口块回收的NAT444用户日志功能 |
nat log port-block-withdraw |
在NAT地址转换中,如果可为用户分配的NAT资源用尽,后续连接由于没有可用资源无法进行地址转换,相应的报文将被丢弃。NAT告警信息日志功能用来在NAT资源用尽时输出告警日志。在NO-PAT动态映射中,NAT资源是指公网IP地址;在EIM模式的PAT动态映射中,NAT资源是指公网IP地址和端口;在NAT444地址转换中,NAT资源是指公网IP、端口块和端口块中的端口。
需要注意的是:
· 在NAT444端口块动态映射方式中,如果配置了增量端口块分配,则当首次分配的端口块中的端口用尽时,并不输出日志;只有当增量端口块中的端口也都用尽时,才会输出日志。
· 对于NAT444告警日志,在配置NAT告警信息日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444告警信息日志。详细配置请参见“网络管理和监控配置指导”中的“信息中心”。
表1-28 配置NAT告警信息日志功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启NAT日志功能 |
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ] |
缺省情况下,NAT日志功能处于关闭状态 ACL参数对NAT告警信息日志功能无效 |
开启NAT告警信息的日志功能 |
nat log alarm |
缺省情况下,NAT告警信息日志功能处于关闭状态 |
创建动态端口块表项时,若端口块的使用率大于阈值,系统会输出告警日志。
表1-29 配置动态NAT444端口块使用率的阈值
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置动态NAT444端口块使用率的阈值 |
nat log port-block usage threshold threshold-value |
缺省情况下,动态NAT444的端口块使用率的阈值为90% |
缺省情况下,设备在NAT转换失败时,不发送ICMP差错报文,既可以减少网络上的无用报文,节约带宽,还可以避免将防火墙IP地址暴露在公网侧。
使用traceroute功能时,需要用到ICMP差错报文,需要开启发送ICMP差错报文的功能。
表1-30 开启NAT转换失败发送ICMP差错报文功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启设备NAT转换失败发送ICMP差错报文功能 |
nat icmp-error reply |
缺省情况下,NAT转换失败时,设备不发送ICMP差错报文 |
在入方向动态地址转换功能与隧道功能配合使用的组网环境中,若多个隧道接口引用同一个NAT地址组,则设备会将来自不同隧道的报文的源IP地址转换为相同的NAT地址,并从设备的出接口转发出去。缺省情况下,设备出接口收到反向报文后,不会查询NAT会话表项,这将导致反向报文不能正确转发。为解决此问题,可在设备的出接口开启反向报文的重定向功能,使出接口收到反向报文后查询NAT会话表项,根据NAT会话表项记录的信息将反向报文的目的IP地址进行NAT地址转换,从而使反向报文通过接收正向报文的隧道发送出去。
表1-31 开启反向报文的重定向功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
开启反向报文的重定向功能 |
nat redirect reply-route enable |
缺省情况下,反向报文的重定向功能处于关闭状态 |
在PAT方式的动态地址转换(即接口上配置了nat inbound或nat outbound命令)组网环境中,若服务器上同时开启了tcp_timestams和tcp_tw_recycle功能,则Client与Server之间可能会出现无法建立TCP连接的现象。
为了解决以上问题,可在服务器上关闭tcp_tw_recycle功能或在设备上开启对TCP SYN和SYN ACK报文中时间戳的删除功能。
表1-32 开启对TCP SYN和SYN ACK报文中时间戳的删除功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启对TCP SYN和SYN ACK报文中时间戳的删除功能 |
nat timestamp delete [ vpn-instance vpn-instance-name ] |
缺省情况下,不对TCP SYN和SYN ACK报文中的时间戳进行删除 多次执行本命令,可为不同VPN中的报文开启此功能 |
开启此功能后,设备会对NAT会话的新建速率进行统计,统计信息可以通过display nat statistics命令查看。
表1-33 开启NAT会话新建速率的统计功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
开启NAT会话新建速率的统计功能 |
nat session create-rate enable |
缺省情况下,NAT会话新建速率的统计功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除NAT表项。
表1-34 NAT显示和维护
操作 |
命令 |
显示NAT ALG功能的开启状态 |
display nat alg |
显示所有的NAT配置信息 |
display nat all |
显示NAT地址组的配置信息 |
display nat address-group [ group-id ] |
显示NAT DNS mapping的配置信息 |
display nat dns-map |
显示NAT EIM表项信息 |
display nat eim [ slot slot-number ] |
显示NAT入接口动态地址转换关系的配置信息 |
display nat inbound |
显示NAT日志功能的配置信息 |
display nat log |
显示NAT NO-PAT表项信息 |
display nat no-pat [ slot slot-number ] |
显示NAT出接口动态地址转换关系的配置信息 |
display nat outbound |
显示NAT内部服务器的配置信息 |
display nat server |
显示NAT内部服务器组的配置信息 |
display nat server-group [ group-id ] |
显示NAT会话表项 |
display nat session [ [ responder ] { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn -instance-name ] ] [ slot slot-number ] [ verbose ] |
显示NAT静态地址转换的配置信息 |
display nat static |
显示NAT统计信息 |
display nat statistics [ summary ] [ slot slot-number ] |
显示NAT444端口块静态映射的配置信息 |
display nat outbound port-block-group |
显示NAT端口块组配置信息 |
display nat port-block-group [ group-id ] |
显示端口块表项 |
display nat port-block { dynamic [ ds-lite-b4 ] | static } [ slot slot-number ] |
显示动态NAT444地址组中端口块的使用率 |
display nat port-block-usage [ address-group group-id ] [ slot slot-number ] |
删除NAT会话表项 |
reset nat session [ slot slot-number ] |
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
图1-8 内网用户通过NAT地址访问外网配置组网图(静态地址转换)
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
<Device> system-view
[Device] nat static outbound 10.110.10.8 202.38.1.100
# 使配置的静态地址转换在接口GigabitEthernet1/0/2上生效。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat static enable
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat static
Totally 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Config status: Active
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/2
Config status: Active
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 10.110.10.8/54765
Destination IP/port: 202.38.1.2/23
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.2/23
Destination IP/port: 202.38.1.100/54765
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: TELNET
Start time: 2017-05-19 10:57:47 TTL: 1195s
Initiator->Responder: 8 packets 375 bytes
Responder->Initiator: 10 packets 851 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
图1-9 内网用户通过NAT访问外网配置组网图(地址不重叠)
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
<Device> system-view
[Device] nat address-group 0
[Device-address-group-0] address 202.38.1.2 202.38.1.3
[Device-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group ID: 0
Port range: 1-65535
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 0
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.10/52082
Destination IP/port: 200.1.1.10/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 200.1.1.10/80
Destination IP/port: 202.38.1.2/1036
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2017-05-19 16:16:59 TTL: 9995s
Initiator->Responder: 551 packets 32547 bytes
Responder->Initiator: 956 packets 1385514 bytes
Total sessions found: 1
· 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内网用户可以通过域名访问外网的Web服务器。
图1-10 内网用户通过NAT访问外网配置组网图(地址重叠)
这是一个典型的双向NAT应用,具体配置思路如下。
· 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。
· 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个NAT地址,可以通过出方向动态地址转换实现。
· 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/0/2。
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 开启DNS的NAT ALG功能。
<Device> system-view
[Device] nat alg dns
# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 创建地址组1。
[Device] nat address-group 1
# 添加地址组成员202.38.1.2。
[Device-address-group-1] address 202.38.1.2 202.38.1.2
[Device-address-group-1] quit
# 创建地址组2。
[Device] nat address-group 2
# 添加地址组成员202.38.1.3。
[Device-address-group-2] address 202.38.1.3 202.38.1.3
[Device-address-group-2] quit
# 在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat inbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 2
[Device-GigabitEthernet1/0/2] quit
# 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[Device] ip route-static 202.38.1.2 32 gigabitethernet 1/0/2 20.2.2.2
以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT address group information:
Totally 2 NAT address groups.
Address group ID: 1
Port range: 1-65535
Address information:
Start address End address
202.38.1.2 202.38.1.2
Address group ID: 2
Port range: 1-65535
Address information:
Start address End address
202.38.1.3 202.38.1.3
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 1
Add route: N NO-PAT: Y Reversible: Y
Config status: Active
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 2
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.10/51716
Destination IP/port: 202.38.1.2/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 202.38.1.2/80
Destination IP/port: 202.38.1.3/1059
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2017-05-21 15:36:29 TTL: 1197s
Initiator->Responder: 125 packets 6304 bytes
Responder->Initiator: 223 packets 325718 bytes
Total sessions found: 1
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能:
· 外部的主机可以访问内部的服务器。
· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
图1-11 外网用户通过外网地址访问内网服务器配置组网图
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 进入接口GigabitEthernet1/0/2。
<Device> system-view
[Device] interface gigabitethernet 1/0/2
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp
# 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http
# 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http
# 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT internal server information:
Totally 4 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/21
Local IP/port : 10.110.10.3/21
Config status : Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/25
Local IP/port : 10.110.10.4/25
Config status : Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/80
Local IP/port : 10.110.10.1/80
Config status : Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/8080
Local IP/port : 10.110.10.2/80
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 202.38.1.2/52802
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 10.110.10.3/21
Destination IP/port: 202.38.1.2/52802
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Start time: 2017-05-21 11:13:39 TTL: 3597s
Initiator->Responder: 7 packets 313 bytes
Responder->Initiator: 6 packets 330 bytes
Total sessions found: 1
· 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。
· 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。
· 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。
需要实现,外网主机可以通过域名访问内网的Web服务器。
图1-12 外网用户通过域名访问内网服务器配置组网图(地址不重叠)
· 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 开启DNS协议的ALG功能。
<Device> system-view
[Device] nat alg dns
# 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0
[Device-acl-ipv4-basic-2000] quit
# 创建地址组1。
[Device] nat address-group 1
# 添加地址组成员202.38.1.3。
[Device-address-group-1] address 202.38.1.3 202.38.1.3
[Device-address-group-1] quit
# 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group ID: 1
Port range: 1-65535
Address information:
Start address End address
202.38.1.3 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 1
Port-preserved: N NO-PAT: Y Reversible: Y
Config status: Active
NAT internal server information:
Totally 1 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 17(UDP)
Global IP/port: 202.38.1.2/53
Local IP/port : 10.110.10.3/53
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 200.1.1.2/1694
Destination IP/port: 202.38.1.3/8080
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 10.110.10.2/8080
Destination IP/port: 200.1.1.2/1694
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2017-06-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.1.0/24。
· 该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。
· 该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。
· 该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。
需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。
图1-13 外网用户通过域名访问内网服务器配置组网图(地址重叠)
这是一个典型的双向NAT应用,具体配置思路如下。
· 外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
· 外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。
· NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/0/2。
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 开启DNS协议的ALG功能。
<Device> system-view
[Device] nat alg dns
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 创建地址组1。
[Device] nat address-group 1
# 添加地址组成员202.38.1.2。
[Device-address-group-1] address 202.38.1.2 202.38.1.2
[Device-address-group-1] quit
# 创建地址组2。
[Device] nat address-group 2
# 添加地址组成员202.38.1.3。
[Device-address-group-2] address 202.38.1.3 202.38.1.3
[Device-address-group-2] quit
# 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。
[Device-GigabitEthernet1/0/2] nat inbound 2000 address-group 2
[Device-GigabitEthernet1/0/2] quit
# 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/0/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[Device] ip route-static 202.38.1.3 32 gigabitethernet 1/0/2 20.2.2.2
# 以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT address group information:
Totally 2 NAT address groups.
Address group ID: 1
Port range: 1-65535
Address information:
Start address End address
202.38.1.2 202.38.1.2
Address group ID: 2
Port range: 1-65535
Address information:
Start address End address
202.38.1.3 202.38.1.3
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 2
Add route: N NO-PAT: N Reversible: N
Config status: Active
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 1
Port-preserved: N NO-PAT: Y Reversible: Y
Config status: Active
NAT internal server information:
Totally 1 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 17(UDP)
Global IP/port: 202.38.1.4/53
Local IP/port : 200.1.1.3/53
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.2/1694
Destination IP/port: 202.38.1.2/8080
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 192.168.1.2/8080
Destination IP/port: 202.38.1.3/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2017-06-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
· 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。
· 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。
需要实现如下功能:
· 外网主机可以通过202.38.1.2访问内网中的FTP服务器。
· 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。
图1-14 内网用户通过NAT地址访问内网服务器配置组网图
该需求为典型的C/S模式的NAT hairpin应用,具体配置思路如下。
· 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。
· 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口开启NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器配置所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
<Device> system-view
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp
# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/0/2的IP地址进行源地址转换。
[Device-GigabitEthernet1/0/2] nat outbound 2000
[Device-GigabitEthernet1/0/2] quit
# 在接口GigabitEthernet1/0/1上开启NAT hairpin功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat hairpin enable
[Device-GigabitEthernet1/0/1] quit
# 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT internal server information:
Totally 1 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/21
Local IP/port : 192.168.1.4/21
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT hairpinning:
Totally 1 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/0/1
Config status: Active
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.2/1694
Destination IP/port: 202.38.1.2/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 192.168.1.4/21
Destination IP/port: 202.38.1.1/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Start time: 2017-06-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
某P2P应用环境中,内网中的客户端首先需要向外网服务器进行注册,外网服务器会记录客户端的IP地址和端口号。如果内网的一个客户端要访问内网的另一个客户端,首先需要向服务器获取对方的IP地址和端口号。
需要实现如下功能:
· 内网客户端可以向外网中的服务器注册,且注册为一个相同的外网地址。
· 内网客户端能够通过从服务器获得的IP地址和端口进行互访。
图1-15 内网用户通过NAT地址互访配置组网图
该需求为典型的P2P模式的NAT hairpin应用,具体配置思路如下。
· 内网中的客户端需要向外网中的服务器注册,因此需要进行源地址转换,可以通过在外网侧接口配置出方向动态地址转换实现。
· 服务器记录客户端的IP地址和端口号,且该地址和端口号是NAT转换后的。由于服务器记录的客户端IP地址和端口号需要供任意源地址访问,因此客户端地址的转换关系必须不关心对端地址,这可以通过配置EIM模式的动态地址转换实现。
· 内部主机通过外网地址进行互访,需要在内网侧接口开启NAT hairpin功能。
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
<Device> system-view
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在外网侧接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换,允许使用接口GigabitEthernet1/0/2的IP地址对内网访问外网的报文进行源地址转换,因为多个内部主机共用一个外网地址,因此需要配置为PAT方式,即转换过程中使用端口信息。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound 2000
[Device-GigabitEthernet1/0/2] quit
# 配置PAT方式下的地址转换模式为EIM,即只要是来自相同源地址和源端口号的且匹配ACL 2000的报文,不论其目的地址是否相同,通过PAT转换后,其源地址和源端口号都被转换为同一个外部地址和端口号。
[Device] nat mapping-behavior endpoint-independent acl 2000
# 在内网侧接口GigabitEthernet1/0/1上开启NAT hairpin功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat hairpin enable
[Device-GigabitEthernet1/0/1] quit
# 以上配置完成后,Host A、Host B和Host C 分别向外网服务器注册之后,它们之间可以相互访问。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT hairpinning:
Totally 1 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/0/1
Config status: Active
NAT mapping behavior:
Mapping mode : Endpoint-Independent
ACL : 2000
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Client A访问Client B时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.3/44929
Destination IP/port: 202.38.1.3/1
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 192.168.1.2/69
Destination IP/port: 202.38.1.3/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: UDP_READY
Application: TFTP
Start time: 2012-08-15 15:53:36 TTL: 46s
Initiator->Responder: 1 packets 56 bytes
Responder->Initiator: 1 packets 72 bytes
Total sessions found: 1
某公司两个部门由于需要业务隔而分属不同的VPN实例,且两个部门内部使用了相同的子网地址空间。现在要求这两个部门的主机Host A 和Host B之间能够通过NAT地址互相访问。
图1-16 地址重叠的两个VPN之间互访配置组网图
这是一个典型的两次NAT应用:两个VPN之间主机交互的报文的源IP地址和目的IP地址都需要转换,即需要在连接两个VPN的接口上先后进行两次NAT,这可以通过在NAT设备的两侧接口上分别配置静态地址转换实现。
为实现VPN之间互访,配置域间安全策略时,需要配置允许VPN实例报文通过,放行VPN实例间的流量。
# 配置接口IP地址、路由、安全域及域间安全策略,在域间安全策略中配置允许VPN实例报文通过,以保证网络可达,具体配置步骤略。
# 配置VPN 1内的IP地址192.168.1.2到VPN 2内的IP地址172.16.1.2之间的静态地址转换映射。
<Device> system-view
[Device] nat static outbound 192.168.1.2 vpn-instance vpn1 172.16.1.2 vpn-instance vpn2
# 配置VPN 2内的IP地址192.168.1.2到VPN 1内的IP地址172.16.2.2之间的静态地址转换映射。
[Device] nat static outbound 192.168.1.2 vpn-instance vpn2 172.16.2.2 vpn-instance vpn1
# 在接口GigabitEthernet1/0/2上配置静态地址转换。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat static enable
[Device-GigabitEthernet1/0/2] quit
# 在接口GigabitEthernet1/0/1上配置静态地址转换。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat static enable
[Device-GigabitEthernet1/0/1] quit
# 以上配置完成后,Host A和Host B可以互通,且Host A的对外地址为172.16.1.2,Host B的对外地址为172.16.2.2。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
Static NAT mappings:
Totally 2 outbound static NAT mappings.
IP-to-IP:
Local IP : 192.168.1.2
Global IP : 172.16.1.2
Local VPN : vpn1
Global VPN : vpn2
Config status: Active
IP-to-IP:
Local IP : 192.168.1.2
Global IP : 172.16.2.2
Local VPN : vpn2
Global VPN : vpn1
Config status: Active
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: GigabitEthernet1/0/1
Config status: Active
Interface: GigabitEthernet1/0/2
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到Host A访问Host B时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.2/42496
Destination IP/port: 172.16.2.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: vpn1/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
Responder:
Source IP/port: 192.168.1.2/42496
Destination IP/port: 172.16.1.2/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: vpn2/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-16 09:30:49 TTL: 27s
Initiator->Responder: 5 packets 420 bytes
Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
某公司内部拥有3台FTP服务器对外提供FTP服务。
需要实现如下功能:
· 使用IP地址为202.38.1.1作为公司对外提供服务的IP地址。
· 3台FTP服务器可以同时对外提供服务,并进行负载分担。
图1-17 内部服务器负载分担配置组网图
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 配置内部服务器组0及其成员10.110.10.1、10.110.10.2和10.110.10.3。
<Device> system-view
[Device] nat server-group 0
[Device-nat-server-group-0] inside ip 10.110.10.1 port 21
[Device-nat-server-group-0] inside ip 10.110.10.2 port 21
[Device-nat-server-group-0] inside ip 10.110.10.3 port 21
[Device-nat-server-group-0] quit
# 在接口Gigabitethernet1/0/2上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供FTP服务。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 ftp inside server-group 0
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,外网主机可以访问内网FTP服务器组。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT server group information:
Totally 1 NAT server groups.
Group Number Inside IP Port Weight
0 10.110.10.1 21 100
10.110.10.2 21 100
10.110.10.3 21 100
NAT internal server information:
Totally 1 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/21
Local IP/port : server group 0
10.110.10.1/21 (Connections: 1)
10.110.10.2/21 (Connections: 1)
10.110.10.3/21 (Connections: 1)
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到外网主机访问内网FTP server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 202.38.1.27/5760
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 10.110.10.3/21
Destination IP/port: 202.38.1.27/5760
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: DMZ
State: TCP_ESTABLISHED
Application: FTP
Start time: 2017-05-19 16:10:27 TTL: 3598s
Initiator->Responder: 15 packets 702 bytes
Responder->Initiator: 16 packets 891 bytes
Initiator:
Source IP/port: 202.38.1.26/30018
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 10.110.10.2/21
Destination IP/port: 202.38.1.26/30018
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: DMZ
State: TCP_ESTABLISHED
Application: FTP
Start time: 2017-05-19 16:09:58 TTL: 3576s
Initiator->Responder: 15 packets 702 bytes
Responder->Initiator: 16 packets 891 bytes
Initiator:
Source IP/port: 202.38.1.25/35652
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 10.110.10.1/21
Destination IP/port: 202.38.1.25/35652
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: DMZ
State: TCP_ESTABLISHED
Application: FTP
Start time: 2017-05-19 16:09:46 TTL: 3579s
Initiator->Responder: 15 packets 702 bytes
Responder->Initiator: 16 packets 891 bytes
Total sessions found: 3
某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1至202.38.1.3三个公网IP地址。另外公司在外网有一台DNS服务器,IP地址为202.38.1.4。
需要实现如下功能:
· 选用202.38.1.2作为公司对外提供服务的IP地址。
· 外网用户可以通过域名或IP地址访问内部服务器。
· 内网用户可以通过域名访问内部服务器。
图1-18 NAT DNS mapping配置组网图
· 内网服务器对外提供服务,需要配置NAT内部服务器将各服务器的内网IP地址和端口映射为一个外网地址和端口。
· 内网主机通过域名访问内网服务器时,首先需要通过出接口地址转换分配的外网地址访问外网的DNS服务器,并获取内网服务器的内网IP地址。由于DNS服务器向内网主机发送的响应报文中包含的是内网服务器的外网地址,因此NAT设备需要将DNS报文载荷内的外网地址转换为内网地址,这可以通过查找DNS mapping映射表配合DNS ALG功能实现。DNS mapping映射表用于实现根据“域名+外网IP地址+外网端口号+协议类型”查找到对应的“内网IP+内网端口号”。
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 开启DNS的NAT ALG功能。
<Device> system-view
[Device] nat alg dns
# 进入接口GigabitEthernet1/0/2。
[Device] interface gigabitethernet 1/0/2
# 配置NAT内部Web服务器,允许外网主机使用地址202.38.1.2访问内网Web服务器。
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 http
# 配置NAT内部FTP服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器。
[Device-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp
# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换。
[Device-GigabitEthernet1/0/2] nat outbound
[Device-GigabitEthernet1/0/2] quit
# 配置两条DNS mapping表项:Web服务器的域名www.server.com对应IP地址202.38.1.2;FTP服务器的域名ftp.server.com对应IP地址202.38.1.2。
[Device] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port http
[Device] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp
# 以上配置完成后,内网主机和外网主机均可以通过域名访问内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: ---
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT internal server information:
Totally 2 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/21
Local IP/port : 10.110.10.2/21
Config status : Active
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/80
Local IP/port : 10.110.10.1/80
Config status : Active
NAT DNS mapping information:
Totally 2 NAT DNS mappings.
Domain name: ftp.server.com
Global IP : 202.38.1.2
Global port: 21
Protocol : TCP(6)
Config status: Active
Domain name: www.server.com
Global IP : 202.38.1.2
Global port: 80
Protocol : TCP(6)
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到外网主机访问内网Web Server时生成NAT会话信息。
[Device] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 202.38.1.10/63593
Destination IP/port: 202.38.1.2/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Untrust
Responder:
Source IP/port: 10.110.10.1/80
Destination IP/port: 202.38.1.10/63593
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2017-05-21 15:09:11 TTL: 11s
Initiator->Responder: 5 packets 1145 bytes
Responder->Initiator: 3 packets 1664 bytes
Total sessions found: 1
内部网络用户10.110.10.1~10.110.10.10使用外网地址202.38.1.100访问Internet。内网用户地址基于NAT444端口块静态映射方式复用外网地址202.38.1.100,外网地址的端口范围为10001~15000,端口块大小为500。
图1-19 NAT444端口块静态映射配置组网图
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 创建NAT端口块组1。
<Device> system-view
[Device] nat port-block-group 1
# 添加私网地址成员10.110.10.1~10.110.10.10。
[Device-port-block-group-1] local-ip-address 10.110.10.1 10.110.10.10
# 添加公网地址成员为202.38.1.100。
[Device-port-block-group-1] global-ip-pool 202.38.1.100 202.38.1.100
# 配置端口块大小为500,公网地址的端口范围为10001~15000。
[Device-port-block-group-1] block-size 500
[Device-port-block-group-1] port-range 10001 15000
[Device-port-block-group-1] quit
# 在接口GigabitEthernet1/0/2上配置NAT444端口块静态映射,引用端口块组1。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound port-block-group 1
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
NAT port block group information:
Totally 1 NAT port block groups.
Port block group 1:
Port range: 10001-15000
Block size: 500
Local IP address information:
Start address End address VPN instance
10.110.10.1 10.110.10.10 ---
Global IP pool information:
Start address End address
202.38.1.100 202.38.1.100
NAT outbound port block group information:
Totally 1 outbound port block group items.
Interface: GigabitEthernet1/0/2
port-block-group: 1
Config status : Active
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到系统生成的静态端口块表项信息。
[Device] display nat port-block static
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 10.110.10.7 202.38.1.100 13001-13500 1
--- 10.110.10.5 202.38.1.100 12001-12500 1
--- 10.110.10.9 202.38.1.100 14001-14500 1
--- 10.110.10.3 202.38.1.100 11001-11500 1
--- 10.110.10.2 202.38.1.100 10501-11000 1
--- 10.110.10.4 202.38.1.100 11501-12000 1
--- 10.110.10.6 202.38.1.100 12501-13000 1
--- 10.110.10.1 202.38.1.100 10001-10500 1
--- 10.110.10.10 202.38.1.100 14501-15000 1
--- 10.110.10.8 202.38.1.100 13501-14000 1
Total mappings found: 10
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
需要实现,内部网络中的192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。基于NAT444端口块动态映射方式复用两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300。当为某用户分配的端口块资源耗尽时,再为其增量分配1个端口块。
图1-20 NAT444端口块动态映射配置组网图
# 配置接口IP地址、路由、安全域及域间安全策略保证网络可达,具体配置步骤略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300,增量端口块数为1。
<Device> system-view
[Device] nat address-group 0
[Device-address-group-0] address 202.38.1.2 202.38.1.3
[Device-address-group-0] port-range 1024 65535
[Device-address-group-0] port-block block-size 300 extended-block-number 1
[Device-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 0
[Device-GigabitEthernet1/0/2] quit
# 以上配置完成后,Host A能够访问外网服务器,Host B和Host C无法访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Device] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group ID: 0
Port range: 1024-65535
Port block size: 300
Extended block number: 1
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 0
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通过以下显示命令,可以看到NAT会话数、当前可分配的动态端口块总数和已分配的动态端口块个数。
[Device] display nat statistics
Total session entries: 1
Session creation rate: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 430
Active static port block entries: 0
Active dynamic port block entries: 1
# 通过以下显示命令,可以看到生成的动态端口块表项信息。
[Device] display nat port-block dynamic
Slot 1:
Local VPN Local IP Global IP Port block Connections
--- 192.168.1.10 202.38.1.2 65224-65523 1
Total mappings found: 1
支持DS-Lite协议的私网IPv4主机(即:DS-Lite host)和公网IPv4 network通过IPv6网络相连。通过在DS-Lite host和AFTR之间建立DS-Lite隧道,并在AFTR连接IPv4 network接口上配置NAT,为DS-Lite host动态分配端口块,实现IPv4私网穿越IPv6网络访问IPv4公网。
图1-21 DS-Lite隧道配置组网图
需要将创建的DS-Lite隧道接口加入到安全域,并放行域间流量。(本例即将Tunnel 2加入安全域IPv6Zone,同时放行IPv6Zone域到IPv4Zone域间的相关流量。)
在开始下面的配置之前,请确保DS-Lite host和AFTR之间IPv6报文路由可达。
(1) 配置AFTR端
# 创建安全域IPv6Zone和IPv4Zone,按照组网图将接口分别加入到对应的安全域中,配置域间安全策略保证网络可达,具体配置步骤略。
# 配置接口GigabitEthernet1/0/1的地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 20.1.1.1 24
[Device-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet1/0/2(隧道的实际物理接口)的地址。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 address 1::2 64
[Device-GigabitEthernet1/0/2] quit
# 创建模式为AFTR端DS-Lite隧道的接口Tunnel2。
[Device] interface tunnel 2 mode ds-lite-aftr
# 配置Tunnel2接口的IP地址。
[Device-Tunnel2] ip address 30.1.2.2 255.255.255.0
# 配置Tunnel2接口的源接口为GigabitEthernet1/0/2。
[Device-Tunnel2] source gigabitethernet 1/0/2
[Device-Tunnel2] quit
# 将Tunnel2接口加入到安全域IPv6Zone。
[Device] security-zone name IPv6Zone
[Device-security-zone-IPv6Zone] import interface Tunnel 2
[Device-security-zone-IPv6Zone] quit
# 在接口GigabitEthernet1/0/1上开启DS-Lite隧道功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ds-lite enable
[Device-GigabitEthernet1/0/1] quit
# 配置NAT地址组0,包含两个外网地址20.1.1.11和20.1.1.12,外网地址的端口范围为1024~65535,端口块大小为300。
[Device] nat address-group 0
[Device-address-group-0] address 20.1.1.11 20.1.1.12
[Device-address-group-0] port-range 1024 65535
[Device-address-group-0] port-block block-size 300
[Device-address-group-0] quit
# 配置IPv6 ACL 2100,仅允许对1::/64网段的IPv6源地址进行地址转换。
[Device] acl ipv6 basic 2100
[Device-acl-ipv6-basic-2100] rule permit source 1::/64
[Device-acl-ipv6-basic-2100] quit
# 在接口GigabitEthernet1/0/1上配置出方向动态地址转换,允许使用地址组0中的地址对匹配IPv6 ACL 2100的DS-Lite B4报文进行源地址转换,并在转换过程中使用端口信息。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] nat outbound ds-lite-b4 2100 address-group 0
[Device-GigabitEthernet1/0/1] quit
(2) 配置DS-Lite host
配置DS-Lite host的IPv4地址为10.0.0.1,IPv6地址为1::1/64,并配置DS-Lite tunnel路由。(具体配置过程略)
# 完成上述配置后,在AFTR上执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略)
# 从DS-Lite host上可以ping通IPv4 Application server。
C:\> ping 20.1.1.2
Pinging 20.1.1.2 with 32 bytes of data:
Reply from 20.1.1.2: bytes=32 time=51ms TTL=255
Reply from 20.1.1.2: bytes=32 time=44ms TTL=255
Reply from 20.1.1.2: bytes=32 time=1ms TTL=255
Reply from 20.1.1.2: bytes=32 time=1ms TTL=255
Ping statistics for 20.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
# 通过以下显示命令,可以看到出方向动态地址转换的配置信息。
[Device] display nat outbound
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/1
DS-Lite B4 ACL: 2100
Address group ID: 0
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
# 通过以下显示命令,可以看到NAT会话数、当前可分配的动态端口块总数和已分配的动态端口块个数。
[Device] display nat statistics
Total session entries: 1
Session creation rate: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 430
Active static port block entries: 0
Active dynamic port block entries: 1
# 通过以下显示命令,可以看到生成的DS-Lite B4动态端口块表项。
[Device] display nat port-block dynamic ds-lite-b4
Slot 1:
Local VPN DS-Lite B4 addr Global IP Port block Connections
--- 1::1 20.1.1.11 65224-65523 1
Total mappings found: 1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!