- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-NAT66命令
本章节下载: 02-NAT66命令 (235.24 KB)
display nat66 all命令用来显示所有的NAT66配置信息。
【命令】
display nat66 all
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
context-operator
vsys-admin
vsys-operator
【举例】
# 显示所有的NAT66配置信息。
<Sysname> display nat66 all
NAT66 source information:
Totally 1 source rules.
Interface(outbound): GigabitEthernet1/0/1
Original prefix/prefix-length: 11::/64
Original VPN-instance: vpn1
Translated prefix/prefix-length: 22::/64 PAT
Translated VPN-instance: vpn1
NAT66 destination information:
Totally 1 destination rules.
Interface(inbound): GigabitEthernet1/0/2
Original prefix/prefix-length: FD01:203:405::/48 Protocol TCP 6000
Translated prefix/prefix-length: 1::/48 4000
表1-1 display nat66 all命令显示信息描述表
|
字段 |
描述 |
|
NAT66 source information |
NAT66源地址转换的配置信息 |
|
NAT66 destination information |
NAT66目的地址转换的配置信息 |
|
Totally n source rules |
当前存在n条NAT66源地址转换规则 |
|
Totally n destination rules |
当前存在n条NAT66目的地址转换规则 |
|
Interface(outbound) |
配置了NAT66源地址转换的接口 |
|
Interface(inbound) |
配置了NAT66目的地址转换的接口 |
|
Original prefix/prefix-length: xxx Protocol yyy zzz |
转换前的前缀信息: · xxx:表示转换前的前缀和前缀长度 · Protocol:表示传输层协议类型,yyy的取值包括IPv6-ICMP、UDP和TCP。如果未指定协议类型,则不显示Protocol字段 · zzz:表示内网服务器向外提供服务时对外公布的外网端口号。如果未指定端口号,则不显示端口信息 |
|
Original VPN instance |
转换前的前缀所属的MPLS L3VPN的VPN实例名称。如果转换前的前缀属于公网,则不显示该字段 |
|
Translated prefix/prefix-length: xxx yyy PAT |
转换后的前缀信息: · xxx:表示转换后的前缀和前缀长度 · yyy:表示内部服务器在内网中的端口号。如果未指定端口号,则不显示端口号信息 · PAT:表示使用PAT方式进行转换。如果不使用PAT方式进行转换,则不显示PAT字段 |
|
Translated VPN instance |
转换后的前缀所属的MPLS L3VPN的VPN实例名称。如果转换后的前缀属于公网,则不显示该字段 |
【相关命令】
· nat66 prefix destination
· nat66 prefix source
display nat66 session命令用来显示NAT66会话,即经过NAT66地址转换处理的会话。
【命令】
display nat66 session [ [ responder ] { source-ip source-ip-start [ source-ip-end ] | destination-ip destination-ip-start [ destination-ip-end ] | source-port source-port | destination-port destination-port | protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite } | application application-name | state { dccp-closereq | dccp-closing | dccp-open | dccp-partopen | dccp-request | dccp-respond | dccp-timewait | icmpv6-reply | icmpv6-request | rawip-open | rawip-ready | sctp-closed | sctp-cookie-echoed | sctp-cookie-wait | sctp-established | sctp-shutdown-ack-sent | sctp-shutdown-recd | sctp-shutdown-sent | tcp-close | tcp-close-wait | tcp-est | tcp-fin-wait | tcp-last-ack | tcp-syn-recv | tcp-syn-sent | tcp-syn-sent2 | tcp-time-wait | udp-open | udp-ready | udplite-open | udplite-ready } | interface { interface-name | interface-type interface-number } } * [ vpn-instance vpn-instance-name ] [ slot slot-number ] [ brief | verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
context-operator
vsys-admin
vsys-operator
【参数】
responder:表示以响应方的信息筛选显示NAT66会话表项。若不指定该参数时,则以发起方的信息筛选显示NAT66会话表项。
source-ip source-ip-start [ source-ip-end ]:显示一个源IPv6地址或一段源IPv6地址范围的NAT66会话表项。仅指定source-ip-start表示一个源IPv6地址;同时指定source-ip-start和source-ip-end表示一段源IPv6地址,source-ip-start表示一段源IPv6地址的起始地址,source-ip-end表示一段源IPv6地址的结束地址。指定的源IPv6地址应为创建NAT66会话的报文的源IPv6地址。
destination-ip destination-ip-start [ destination-ip-end ]:显示一个目的IPv6地址或一段目的IPv6地址范围的NAT66会话表项。仅指定destination-ip-start表示一个目的IPv6地址;同时指定destination-ip-start和destination-ip-end表示一段目的IPv6地址,destination-ip-start表示一段目的IPv6地址的起始地址,destination-ip-end表示一段目的IPv6地址的结束地址。指定的目的IPv6地址应为创建会话的报文的目的IPv6地址。
source-port source-port:显示指定源端口号的NAT66会话表项。其中,source-port表示源端口号,取值为0~65535。
destination-port destination-port:显示指定目的端口号的NAT66会话表项。其中,destination-port表示目的端口号,取值为0~65535。
protocol { dccp | icmpv6 | raw-ip | sctp | tcp | udp | udp-lite }:显示指定协议类型的NAT66会话表项。其中,IPv6传输层协议类型包括:DCCP、ICMPv6、RawIP、SCTP、TCP、UDP和UDP-Lite。
application application-name:显示指定应用的NAT66会话表项。application-name表示应用的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”和“other”。
interface interface-type interface-number:显示指定接口的NAT66会话表项。interface-type interface-number表示接口类型和接口编号。
state:显示指定状态的NAT66会话表项。
dccp-closereq:表示DCCP协议关闭会话请求。
dccp-closing:表示DCCP协议正在关闭会话。
dccp-open:表示DCCP协议开启会话。
dccp-partopen:表示DCCP协议部分会话开启。
dccp-request:表示DCCP协议会话请求状态。
dccp-respond:表示DCCP协议会话回应状态。
dccp-timewait:表示DCCP协议处于等待时段。
icmpv6-reply:表示ICMPv6协议会话应答状态。
icmpv6-request:表示ICMPv6协议会话请求状态。
rawip-open:表示RAWIP协议会话开启状态。
rawip-ready:表示RAWIP协议会话准备状态。
sctp-closed:表示SCTP协议会话关闭状态。
sctp-cookie-echoed:表示SCTP协议关联尚未完全建立状态。
sctp-cookie-wait:表示SCTP协议关联尚处于等待状态。
sctp-established:表示SCTP协议会话已完全建立。
sctp-shutdown-ack-sent:表示SCTP协议关闭应答会话发送状态。
sctp-shutdown-recd:表示SCTP协议关闭会话接收状态。
sctp-shutdown-sent:表示SCTP协议关闭会话发送状态。
tcp-close:表示TCP协议会话关闭状态。
tcp-close-wait:表示TCP协议会话处于关闭等待状态。
tcp-est:表示TCP协议会话建立状态。
tcp-fin-wait:表示TCP协议会话处于释放等待状态。
tcp-last-ack:表示TCP协议会话处于最后应答状态。
tcp-syn-recv:表示TCP协议会话服务端被动打开后,接收到了客户端的SYN并且发送了ACK时的状态。
tcp-syn-sent:表示TCP协议会话已发送SYN,等待ACK状态。
tcp-syn-sent2:表示TCP协议会话第二次请求连接状态。
tcp-time-wait:表示TCP协议会话主动关闭方在收到被动关闭方的FIN包后并返回ACK的状态。
udp-open:表示UDP协议会话报文处于开启状态。
udp-ready:表示UDP协议会话处于准备状态。
udplite-open:表示UDPLITE协议会话处于开启状态。
udplite-ready:表示UDPLITE协议会话处于准备状态。
vpn-instance vpn-instance-name:显示指定VPN实例的NAT66会话表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例应为报文中携带的VPN实例。如果不指定该参数,则显示公网的NAT66会话表项。
slot slot-number:显示指定成员设备上的NAT66会话,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的NAT66会话。
brief:显示NAT66会话的简要信息。
verbose:显示NAT66会话的详细信息。
【使用指导】
如果不指定任何参数,则显示所有的NAT66会话发起方的详细信息。
【举例】
# 显示指定slot上NAT66会话发起方的详细信息。
<Sysname> display nat66 session slot 1
Total number of sessions on all slots: 1
Slot 1:
Initiator:
Source IP/port: FD01:203:405::1/4048
Destination IP/port: 2001:DB8:1::100/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Total sessions found: 1
# 显示指定slot上NAT66会话的详细信息。
<Sysname> display nat session slot 1 verbose
Total number of sessions on all slots: 1
Slot 1:
Initiator:
Source IP/port: FD01:203:405::1/4048
Destination IP/port: 2001:DB8:1::100/21
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
Source security zone: Trust
Responder:
Source IP/port: 2001:DB8:1::100/21
Destination IP/port: 1:0:0:309::1/4048
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Source security zone: Trust
State: TCP_ESTABLISHED
Application: FTP
Rule ID: -/-/-
Rule name:
Start time: 2023-04-21 09:19:28 TTL: 3585s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 显示指定slot上NAT66会话的简要信息。
<Sysname> display nat66 session slot 1 brief
Total number of sessions on all slots: 1
Slot 1:
Protocol Source IP/port Destination IP/port Global IP/port
TCP FD01:203:405::1/45319 2001:DC8:1::100/21 2001:DF8:1:D50F::1/45319
Total sessions found: 1
表1-2 display nat66 session命令显示信息描述表
|
字段 |
描述 |
|
|
Total number of sessions on all slots |
所有slot上的NAT66会话总数 |
|
|
Initiator |
发起方的会话信息 |
|
|
Responder |
响应方的会话信息 |
|
|
Source IP/port |
源IPv6地址/端口号 |
|
|
Destination IP/port |
目的IPv6地址/端口号 |
|
|
VPN instance/VLAN ID/Inline ID |
(暂不支持)会话所属的MPLS L3VPN/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
|
Protocol |
传输层协议类型,取值包括:DCCP、ICMPv6、Raw IP、SCTP、TCP、UDP、UDP-Lite 括号中的数字表示协议号 |
|
|
Inbound interface |
报文的入接口 |
|
|
Source security zone |
源安全域,即入接口所属的安全域。若接口不属于任何安全域,则显示为“-” |
|
|
State |
会话状态 |
|
|
Application |
应用层协议类型,取值包括:FTP、DNS等,OTHER表示未知协议类型,其对应的端口为非知名端口 |
|
|
Rule ID |
安全策略规则的ID |
|
|
Rule name |
安全策略规则的名称 |
|
|
Start time |
会话创建时间 |
|
|
TTL |
会话剩余存活时间,单位为秒 |
|
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
|
Total sessions found |
某个slot上的NAT66会话总数 |
【相关命令】
· reset nat66 session
display nat66 statistics命令用来显示NAT66统计信息。
【命令】
display nat66 statistics [ summary ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
context-operator
vsys-admin
vsys-operator
【参数】
summary:显示NAT66统计信息的摘要信息。不指定该参数时,显示NAT66统计信息的详细信息。
slot slot-number:显示指定成员设备上的NAT66统计信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的NAT66统计信息。
【举例】
# 显示所有NAT66统计信息的详细信息。
<Sysname> display nat66 statistics
Slot 1:
Total session entries: 100
Total outbound NO-PAT entries: 100
表1-3 display nat66 statistics命令显示信息描述表
|
字段 |
描述 |
|
|
Total session entries |
NAT66会话表项个数 |
|
|
Total outbound NO-PAT entries |
出方向的NAT66 NO-PAT表项个数 |
|
# 显示所有NAT66统计信息的概要信息。
<Sysname> display nat66 statistics summary
Slot Sessions
1 100
表1-4 display nat66 statistics summary命令显示信息描述表
|
字段 |
描述 |
|
Sessions |
NAT66会话表项个数 |
nat66 prefix destination命令用来配置IPv6目的地址转换的前缀映射关系。
undo nat66 prefix destination命令用来删除IPv6目的地址转换前缀映射关系的配置。
【命令】
nat66 prefix destination [ protocol pro-type ] original-ipv6-prefix prefix-length [ global-port ] [ vpn-instance original-vpn-instance-name ] translated-ipv6-prefix prefix-length [ local-port ] [ vpn-instance translated-vpn-instance-name ]
undo nat66 prefix destination [ protocol pro-type ] original-ipv6-prefix prefix-length [ global-port ] [ vpn-instance original-vpn-instance-name ] translated-ipv6-prefix prefix-length [ local-port ] [ vpn-instance translated-vpn-instance-name ]
【缺省情况】
不存在IPv6目的地址转换的配置。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
protocol pro-type:指定协议类型。如果不指定该参数,则表示对所有协议类型的报文都生效。pro-type取值包括以下形式:
· 数字:取值范围为1~255(不支持50和51,分别对应ESP协议和AH协议)。
· 协议名称:取值包括ipv6-icmp、tcp和udp。
original-ipv6-prefix:表示转换前的目的IPv6地址的前缀,即内部服务器向外提供服务时对外公布的外网IPv6地址前缀。
global-port:表示内网服务器向外提供服务时对外公布的外网端口号,取值范围为1~65535。如果未指定本参数,则表示不关心报文的目的端口号。本参数仅在指定的协议类型是TCP、UDP时可配。
vpn-instance original-vpn-instance-name:表示转换前的目的IPv6地址的前缀所属的VPN实例。original-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果未指定本参数,则表示转换前的目的IPv6地址的前缀属于公网。
translated-ipv6-prefix:表示转换后的目的IPv6地址前缀,即内部服务器在内网中的IPv6地址前缀。
prefix-length:表示地址的前缀长度,取值范围为1~128。
local-port:表示内部服务器在内网中的端口号,取值范围为1~65535。如果未指定本参数,则本参数的取值和global-port的取值相同。如果未指定本参数和global-port参数,则表示不转换端口号。本参数仅在指定的协议类型是TCP、UDP时可配。
vpn-instance translated-vpn-instance-name:表示转换后的目的IPv6地址的前缀所属的VPN实例。translated-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果未指定本参数,则表示转换后的目的IPv6地址的前缀属于公网。
【使用指导】
本命令用于内网中的服务器对外部网络提供服务的场景中时,例如给外部网络提供Web服务,或是FTP服务。通过在NAT66设备外网侧接口上配置内部服务器地址和外网地址的映射关系,外部网络用户能够通过指定的外网地址来访问内网服务器。
本命令用在NAT66设备的外网侧接口上,配置时需注意以下几点:
· 需要保证转换前后的目的IPv6地址前缀长度一致。
· 在同一个接口下,公网或同一VPN内一个内网地址前缀和一个外网地址前缀必须是一对一的唯一映射关系。
· 不同接口下,公网或同一VPN内同一个外网地址前缀不能映射为不同的内网地址前缀。
· 内部服务器向外提供服务时对外公布的外网IPv6地址前缀不能与NAT66设备的外网地址前缀以及访问内部服务器的外网主机地址前缀相同。
· 不能通过重复执行本命令来修改目的IPv6地址前缀的转换关系。如需修改,请先通过undo nat66 prefix destination命令删除已经存在的转换关系,再执行nat66 prefix destination命令。
不支持对AH和ESP协议的报文进行NAT66目的地址转换。
【举例】
# 在接口GigabitEthernet1/0/1上配置IPv6目的地址转换的前缀映射关系,将IPv6地址前缀2001::/64转换为2101::/64。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat66 prefix destination 2001:: 64 2101:: 64
# 在接口GigabitEthernet1/0/1上配置IPv6目的地址转换的前缀映射关系,内部服务器向外提供FTP服务时对外公布的外网IPv6地址前缀为2001::/64,端口号为64;PAT转换后内部服务器在内网中的IPv6地址前缀为2101::/64,端口号为200。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat66 prefix destination 2001:: 64 protocol tcp 64 2101:: 64 200
【相关命令】
· display nat66 all
nat66 prefix source命令用来配置IPv6源地址转换的前缀映射关系。
undo nat66 prefix source命令用来删除IPv6源地址转换前缀映射关系的配置。
【命令】
nat66 prefix source original-ipv6-prefix prefix-length [ vpn-instance original-vpn-instance-name ] translated-ipv6-prefix prefix-length [ vpn-instance translated-vpn-instance-name ] [ pat ]
undo nat66 prefix source original-ipv6-prefix prefix-length [ vpn-instance original-vpn-instance-name ] translated-ipv6-prefix prefix-length [ vpn-instance translated-vpn-instance-name ] [ pat ]
【缺省情况】
不存在IPv6源地址转换前缀映射关系的配置。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
original-ipv6-prefix:表示转换前的源IPv6地址前缀。
vpn-instance original-vpn-instance-name:表示转换前的目的IPv6地址的前缀所属的VPN实例。original-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果未指定本参数,则表示转换前的目的IPv6地址的前缀属于公网。
translated-ipv6-prefix:表示转换后的源IPv6地址前缀。
prefix-length:表示IPv6地址前缀长度,取值范围为1~128。
vpn-instance translated-vpn-instance-name:表示转换后的目的IPv6地址的前缀所属的VPN实例。translated-vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。请指定已经存在的VPN实例,否则配置不生效。如果未指定本参数,则表示转换后的目的IPv6地址的前缀属于公网。
pat:表示使用PAT方式进行转换,即转换时同时进行端口转换。如果未指定本参数,则表示转换时不进行端口转换。
【使用指导】
NAT66源地址转换功能主要应用在如下场景中:
· 单个内部网络和外部网络。使NAT66设备连接单个内部网络和外部网络,内部网络中的主机使用仅支持在本地范围内路由的IPv6地址前缀。当内部网络中的主机访问外部网络时,报文中的源IPv6地址前缀将被NAT66设备转换为全球单播IPv6地址前缀。
· 冗余和负载分担。一个IPv6网络去往另外一个IPv6网络的边缘位置存在多个NAT66设备,通过NAT66设备去往另一个IPv6网络的路径形成了等价路由,流量可以在这些NAT66设备上进行负载分担。这种情况下,可以在这些NAT66设备上配置相同的源地址转换规则,使得任意一台NAT66设备都可以处理不同站点间的IPv6流量。
· 多宿主。在多宿主的网络环境中,NAT66设备连接一个内部网络,同时连接到不同的外部网络。可以在NAT66设备的各个外网侧接口上配置地址转换,将同一个内网地址转换成不同的外网地址,实现同一个内部地址到多个外部地址的映射。
本命令用在NAT66设备的外网侧接口上,配置时需注意以下几点:
· 如果不进行端口转换,需要保证转换前后的源IPv6地址前缀长度一致。
· 在同一个接口下,公网或同一VPN内一个内网地址前缀和一个外网地址前缀必须是一对一的唯一映射关系。
· 不同接口下,公网或同一VPN内不同的内网地址前缀不能映射到同一个外网地址前缀。
· 转换后的源IPv6地址前缀不能与NAT66设备的外网地址前缀以及目的外网地址前缀相同。
· 不能通过重复执行本命令来修改源IPv6地址的转换关系。如需修改,请先通过undo nat66 prefix source命令删除已经存在的转换关系,再执行nat66 prefix source命令。
不支持对AH和ESP协议的报文进行NAT66源地址转换。
【举例】
# 在接口GigabitEthernet1/0/1上配置IPv6源地址转换,将IPv6地址前缀FD9C:58ED:7D73:2::/64转换为2101::/64。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat66 prefix source fd9C:58ed:7d73:2:: 64 2101:: 64
# 在接口GigabitEthernet1/0/1上配置IPv6源地址转换,转换时同时进行地址和端口转换,将IPv6地址前缀FD9C:58ED:7D73:2::/64转换为2101::/64。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] nat66 prefix source fd9C:58ed:7d73:2:: 64 2101:: 64 pat
【相关命令】
· display nat66 all
reset nat66 session命令用来删除NAT66会话。
【命令】
reset nat66 session [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
slot slot-number:删除指定成员设备上的NAT会话,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示删除所有成员设备上的NAT会话。
【举例】
# 删除指定slot上的NAT66会话。
<Sysname> reset nat66 session slot 1
【相关命令】
· display nat66 session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
