地址内网端口映射

i目录1NAT·1-11.
1NAT简介·1-11.
1.
1NAT概述1-11.
1.
2地址转换控制·1-21.
1.
3NAT实现1-21.
2NAT配置任务简介1-51.
3配置地址转换·1-51.
3.
1地址转换介绍·1-51.
3.
2配置静态地址转换·1-61.
3.
3配置动态地址转换·1-61.
4配置内部服务器·1-81.
4.
1内部服务器介绍·1-81.
4.
2配置普通内部服务器·1-81.
5配置地址转换有效时间·1-91.
6配置NATALG功能1-101.
7配置NAT日志1-111.
7.
1NAT日志介绍1-111.
7.
2开启NAT日志功能·1-111.
7.
3配置NAT日志的输出·1-111.
8使能链路down时NAT表项老化功能·1-131.
9NAT显示和维护1-131.
10NAT地址转换典型配置举例1-141.
11NAT常见配置错误举例1-181.
11.
1故障之一:地址转换不正常.
1-181.
11.
2故障之二:内部服务器工作不正常.
1-181-11NAT1.
1NAT简介1.
1.
1NAT概述NAT(NetworkAddressTranslation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程.
在实际应用中,NAT主要用于实现私有网络访问公共网络的功能.
这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭.
私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址.
RFC1918为私有网络预留出了三个IP地址块,如下:A类:10.
0.
0.
0~10.
255.
255.
255B类:172.
16.
0.
0~172.
31.
255.
255C类:192.
168.
0.
0~192.
168.
255.
255(上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用.
)NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络.
图1-1描述了一个基本的NAT应用.
图1-1地址转换的基本过程(2)内网用户主机(192.
168.
1.
3)向外网服务器(1.
1.
1.
2)发送的IP报文通过NAT设备.
192.
168.
1.
3Src:192.
168.
1.
3Dst:1.
1.
1.
2Src:20.
1.
1.
1Dst:1.
1.
1.
2192.
168.
1.
120.
1.
1.
1Src:1.
1.
1.
2Dst:20.
1.
1.
1Src:1.
1.
1.
2Dst:192.
168.
1.
31.
1.
1.
2ServerHostNATIntranetInternetBeforeNAT192.
168.
1.
3AfterNAT20.
1.
1.
1DirectionOutbound1-2(3)NAT设备查看报头内容,发现该报文是发往外网的,将其源IP地址字段的私网地址192.
168.
1.
3转换成一个可在Internet上选路的公网地址20.
1.
1.
1,并将该报文发送给外网服务器,同时在NAT设备的网络地址转换表中记录这一映射.
(4)外网服务器给内网用户发送的应答报文(其初始目的IP地址为20.
1.
1.
1)到达NAT设备后,NAT设备再次查看报头内容,然后查找当前网络地址转换表的记录,用内网私有地址192.
168.
1.
3替换初始的目的IP地址.
上述的NAT过程对终端(如图中的Host和Server)来说是透明的.
对外网服务器而言,它认为内网用户主机的IP地址就是20.
1.
1.
1,并不知道有192.
168.
1.
3这个地址.
因此,NAT"隐藏"了企业的私有网络.
地址转换的优点在于,在为内部网络主机提供了"隐私"保护的前提下,实现了内部网络的主机通过该功能访问外部网络的资源.
但它也有一些缺点:由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密.
在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密.
例如,不能使用加密的FTP连接,否则FTP协议的port命令不能被正确转换.
网络调试变得更加困难.
比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟哪一台主机是恶意的,因为主机的IP地址被屏蔽了.
1.
1.
2地址转换控制在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问,即当NAT设备查看IP数据报文的报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行地址转换.
另外,也希望只有指定的公网地址才可用于地址转换.
设备可以利用ACL(AccessControlList,访问控制列表)和地址池来对地址转换进行控制.
访问控制列表可以有效地控制地址转换的使用范围,只有满足访问控制列表规则的数据报文才可以进行地址转换.
地址池是用于地址转换的一些连续的公网IP地址的集合,它可以有效地控制公网地址的使用.
用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池.
在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址做为数据报文转换后的源IP地址.
1.
1.
3NAT实现1.
基本地址转换从图1-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,来替代内部网络数据报文的源地址.
在图1-1中是选择NAT设备出接口的IP地址(公网IP地址).
这样所有内部网络的主机访问外部网络时,只能拥有一个外部网络的IP地址,因此,这种情况同时只允许最多有一台内部网络主机访问外部网络.
当内部网络的多台主机并发的要求访问外部网络时,NAT也可实现对并发性请求的响应,允许NAT设备拥有多个公有IP地址.
当第一个内网主机访问外网时,NAT选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内网主机访问外网时,NAT选择另一个公有地址IP2,以此类推,从而满足了多台内网主机访问外网的请求.
1-3NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内网主机并不会同时访问外网.
公有IP地址数目的确定,应根据网络高峰期可能访问外网的内网主机数目的统计值来确定.
2.
NAPTNAPT(NetworkAddressPortTranslation,网络地址端口转换)是基本地址转换的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为"多对一地址转换".
NAPT同时映射IP地址和端口号:来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是"私网IP地址+端口号"与"公网IP地址+端口号"之间的转换.
图1-2描述了NAPT的基本原理.
图1-2NAPT基本原理示意图如图1-2所示,三个带有内部地址的数据报文到达NAT设备,其中报文1和报文2来自同一个内部地址但有不同的源端口号,报文1和报文3来自不同的内部地址但具有相同的源端口号.
通过NAPT映射,三个数据报的源IP地址都被转换到同一个外部地址,但每个数据报都被赋予了不同的源端口号,因而仍保留了报文之间的区别.
当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机.
采用NAPT可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问.
目前,NAPT支持两种不同的地址转换模式:Endpoint-IndependentMapping(不关心对端地址和端口转换模式)该模式下,NAT设备通过建立三元组(源地址、源端口号、协议类型)表项来进行地址分配和报文过滤.
即,只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAPT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好得支持位于不同NAT设备之后的主机间进行互访.
192.
168.
1.
120.
1.
1.
11.
1.
1.
2ServerNATIntranetInternet192.
168.
1.
2HostA192.
168.
1.
3HostBPacket1Src:192.
168.
1.
2:1111Packet2Src:192.
168.
1.
2:2222Packet3Src:192.
168.
1.
3:1111Packet1Src:20.
1.
1.
1:1001Packet2Src:20.
1.
1.
1:1002Packet3Src:20.
1.
1.
1:1003BeforeNAT192.
168.
1.
2:1111AfterNAT20.
1.
1.
1:1001DirectionOutbound192.
168.
1.
2:222220.
1.
1.
1:1002Outbound192.
168.
1.
3:111120.
1.
1.
1:1003Outbound1-4AddressandPort-DependentMapping(关心对端地址和端口转换模式)该模式下,NAT设备通过建立五元组(源地址、源端口号、协议类型、目的地址、目的端口号)表项为依据进行地址分配和报文过滤.
即,对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAPT映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但是不便于位于不同NAT设备之后的主机间进行互访.
3.
内部服务器NAT隐藏了内部网络的结构,具有"屏蔽"内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器.
NAT设备提供的内部服务器功能,就是通过静态配置"公网IP地址+端口号"与"私网IP地址+端口号"间的映射关系,实现公网IP地址到私网IP地址的"反向"转换.
例如,可以将20.
1.
1.
1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问.
如图1-3所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备根据报文的目的地址查找地址转换表项,将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号.
当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号.
图1-3内部服务器基本原理示意图4.
EasyIPEasyIP功能是指进行地址转换时,直接使用接口的外网IP地址作为转换后的源地址,能够最大程度的节省IP地址资源.
它也可以利用访问控制列表控制哪些内部地址可以进行地址转换.
5.
NAT支持的特殊协议NAT不仅实现了一般的地址转换功能,同时提供了完善的地址转换ALG(ApplicationLayerGateway,应用级网关)机制,使其可以支持一些特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性.
这些特殊协议的报文载荷里携带了地址或端口信息,该信息也可能需要进行地址转换.
可支持的特殊协议包括:FTP(FileTransferProtocol,文件传输协议)、PPTP(Point-to-PointTunnelingProtocol,点到点隧道协议)、ICMP(InternetControlMessageProtocol,互联网控制消息协议)、DNS(DomainNameSystem,域名系统)、ILS(InternetLocatorService,Internet192.
168.
1.
3192.
168.
1.
120.
1.
1.
11.
1.
1.
2NATIntranetInternetHostServerDst:20.
1.
1.
1:8080Dst:192.
168.
1.
3:8080Src:192.
168.
1.
3:8080Src:20.
1.
1.
1:8080BeforeNAT20.
1.
1.
1:8080AfterNAT192.
168.
1.
3:8080DirectionInbound1-5定位服务)、RTSP(RealTimeStreamingProtocol,实时流协议)、NetMeeting3.
01、NBT(NetBIOSoverTCP/IP,基于TCP/IP的网络基本输入输出系统)等.
1.
2NAT配置任务简介表1-1NAT配置任务简介配置任务说明详细配置配置地址转换配置静态地址转换二者必选其一1.
3.
2配置动态地址转换1.
3.
3配置内部服务器必选1.
4配置地址转换有效时间可选1.
5配置NATALG功能可选1.
6配置NAT日志可选1.
7使能链路down时NAT表项老化功能可选1.
8接口下的NAT相关配置(地址转换或内部服务器配置)改变时,为保证连接的稳定性,建议用户在完成所有NAT相关的配置之后,保存配置并重启设备(或通过命令resetnatsession手工清除与NAT相关的表项),以避免可能会产生的问题.
这些问题主要包括:NAT相关的配置删除后,已建立的连接仍然可以进行地址转换处理;在连接过程中进行NAT配置,会因为配置顺序的不一致,导致相同的配置产生不同的处理结果.
1.
3配置地址转换1.
3.
1地址转换介绍通过NAT设备上静态建立或动态生成的地址映射关系,实现内部网络与外部网络IP地址的转换.
通常,我们按照地址映射关系的产生方式将地址转换分为动态地址转换和静态地址转换两类:静态地址转换外部网络和内部网络之间的地址映射关系在配置中确定.
适用于内部网络与外部网络之间的少量固定访问需求.
动态地址转换外部网络和内部网络之间的地址映射关系由报文动态决定.
通过配置访问控制列表和地址池(或接口地址)的关联,由"具有某些特征的IP报文"挑选使用"地址池中地址(或接口地址)",从而建立动态地址映射关系.
适用于内部网络有大量用户需要访问外部网络的需求.
这种情况下,关联中指定的地址池资源由内网报文按需从中选择使用,访问外网的会话结束之后该资源便释放给其它用户.
1-61.
3.
2配置静态地址转换配置静态地址转换时,需要首先在系统视图下配置静态地址转换映射,然后在接口下使该转换生效.
静态地址转换可以实现一个内部私有网络地址到一个外部公有网络地址的转换.
目前,设备只支持一对一静态转换映射.
表1-2配置一对一静态地址转换操作命令说明进入系统视图system-view-配置一对一静态地址转换映射natstatic[acl-number]local-ipglobal-ip必选进入接口视图interfaceinterface-typeinterface-number-使配置的NAT静态转换在接口上生效natoutboundstatic必选1.
3.
3配置动态地址转换通过在接口上配置访问控制列表和地址池(或接口地址)的关联即可实现动态地址转换.
若直接使用接口的IP地址作为转换后的地址,则配置EasyIP功能来实现动态地址转换.
若选择使用地址池中的地址作为转换后的地址,则根据地址转换过程中是否使用端口信息可将动态地址转换分为NO-PAT和NAPT两种方式:NO-PAT为不使用TCP/UDP端口信息实现的多对多地址转换;NAPT为使用TCP/UDP端口信息实现的多对一地址转换.
若配置出接口地址关联,那么从出接口发送的首个数据包会首先由访问控制列表(或报文源地址)进行判定是否允许进行地址转换,然后根据关联找到与之对应的地址池(或接口地址)进行源地址转换,并建立地址转换表项,后续数据包直接根据地址转换表项进行转换.
1.
配置准备配置控制地址转换范围的访问控制列表.
确定是否直接使用接口的IP地址作为转换后的报文源地址.
配置根据实际网络情况,合理规划可用于地址转换的公网IP地址池.
确定地址转换过程中是否使用端口信息.
访问控制列表的配置请参见"ACL和QoS配置指导"中的"ACL".
2.
配置地址池动态地址转换的过程中,NAT设备将会从配置的地址池中挑选一个IP地址做为转换后的报文源地址.
目前,设备只支持配置包含一段连续地址的地址池.
表1-3定义地址池操作命令说明进入系统视图system-view-1-7操作命令说明定义一个地址池nataddress-groupgroup-numberstart-addressend-address必选不同地址池中定义的IP地址段之间不允许重叠.
3.
配置EasyIP通过配置EasyIP功能,实现直接使用接口的IP地址作为转换后的报文源地址.
表1-4配置EasyIP操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置访问控制列表和接口地址关联,实现EasyIP功能natoutbound[acl-number]必选4.
配置NO-PAT通过配置访问控制列表和地址池(或接口地址)的关联,将与访问控制列表匹配的报文的源地址映射为地址池中的地址(或接口地址),且不使用端口信息.
表1-5配置NO-PAT操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-在出接口配置访问控制列表和地址池关联,且不使用端口信息,实现NO-PATnatoutbound[acl-number][address-groupgroup-number[no-pat]]必选5.
配置NAPT通过配置访问控制列表和地址池(或接口地址)的关联,将与访问控制列表匹配的报文的源地址映射为地址池中的地址(或接口地址),且使用端口信息.
表1-6配置NAPT操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-1-8操作命令说明在出接口配置访问控制列表和地址池关联,并且同时使用IP地址和端口信息,实现NAPTnatoutbound[acl-number][address-groupgroup-number]必选1.
4配置内部服务器1.
4.
1内部服务器介绍通过配置内部服务器,可以将相应的外部地址和端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器.
内部服务器与外部网络的映射表是通过在接口上配置natserver命令生成的.
配置内部服务器时需要配置的信息包括:外部网络的信息(外部网络地址global-address、外部网络端口global-port)、内部网络的信息(内部网络地址local-address、内部网络端口local-port)以及服务协议类型.
1.
4.
2配置普通内部服务器配置普通的内部服务器是将内网服务器的地址和端口(local-address、local-port)映射为外网地址和端口(global-address、global-port),允许外部网络中的主机访问位于内网的服务器.
表1-7配置普通内部服务器(配置方式一)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置普通内部服务器natserverprotocolpro-typeglobalglobal-address[global-port]insidelocal-address[local-port]二者必选其一natserverprotocolpro-typeglobalglobal-addressglobal-port1global-port2insidelocal-address1local-address2local-port表1-8配置普通内部服务器(配置方式二)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置普通内部服务器natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}[global-port]insidelocal-address[local-port]二者必选其一natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}global-port1global-port2insidelocal-address1local-address2local-port1-9表1-9配置普通内部服务器(配置方式三)操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置普通内部服务器natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}[global-port]insidelocal-address[local-port]二者必选其一natserverprotocolpro-typeglobal{global-addresscurrent-interface|interfaceinterface-typeinterface-number}global-port1global-port2insidelocal-address1local-address2local-port目前设备支持引用接口地址作为内部服务器的外网地址,即可配置EasyIP方式的内部服务器.
可以指定的接口只能是Loopback接口,且该Loopback接口必须是已存在的.
配置EasyIP方式的内部服务器时,如果指定的接口未配置地址,则对应的内部服务器的配置不生效.
1.
5配置地址转换有效时间该配置用于设置各协议地址转换表项的有效时间.
表1-10配置地址转换有效时间操作命令说明进入系统视图system-view-1-10操作命令说明配置地址转换表项的有效时间nataging-time{dns|ftp-ctrl|ftp-data|icmp|no-pat|pptp|tcp|tcp-fin|tcp-syn|udp}seconds可选缺省情况下,各协议的地址转换有效时间如下:DNS协议地址转换表项的有效时间为10秒;FTP协议控制链路(ftp-ctrl)地址转换表项的有效时间为300秒;FTP协议数据链路(ftp-data)地址转换表项的有效时间为300秒;ICMP地址转换表项的有效时间为10秒;NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间为240秒;PPTP协议地址转换表项的有效时间为300秒;TCP地址转换表项的有效时间为300秒;TCP协议fin、rst连接地址转换表项的有效时间为10秒;TCP协议syn连接地址转换表项的有效时间为10秒;UDP地址转换表项的有效时间为240秒1.
6配置NATALG功能该配置用于设置地址转换的应用级网关功能,可支持多种协议.
表1-11配置NATALG功能操作命令说明进入系统视图system-view-使能地址转换应用网关功能natalg{all|dns|ftp|ils|nbt|pptp}可选缺省情况下,地址转换应用网关功能处于使能状态1-111.
7配置NAT日志1.
7.
1NAT日志介绍NAT日志是NAT设备在进行NAT转换时生成的一种系统信息.
该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP地址、转换后的源端口以及用户执行的操作等.
它只用于记录内网用户访问外部网络的情况,不记录外部用户对内网服务器的访问.
内网用户通过NAT设备访问外部网络时,多个用户共用一个外网地址,从而无法定位访问网络的用户.
利用日志功能可以实时跟踪、记录内网用户访问外部网络的情况,增强网络的安全性.
1.
7.
2开启NAT日志功能表1-12开启NAT日志功能操作命令说明进入系统视图system-view-使能NAT日志功能natlogenable[aclacl-number]必选缺省情况下,NAT日志功能处于关闭状态设置在创建NAT连接时生成NAT日志natlogflow-begin二者至少选其一缺省情况下,创建NAT连接时不生成NAT日志使能NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔natlogflow-activeminutes缺省情况下,NAT活跃流的日志功能处于关闭状态1.
7.
3配置NAT日志的输出NAT日志信息有两种输出方式:输出至信息中心NAT日志将被转化成系统日志输出到本设备的信息中心,再通过设置信息中心的输出方向,最终决定NAT日志的输出方向.
一次最多可以输出10条NAT日志到信息中心.
输出至日志服务器系统将NAT日志封装成UDP报文发送给网络中的日志服务器,如图1-4所示.
输出的NAT日志报文可以有多种版本,不同的版本使用的UDP报文格式不同,目前使用的NAT日志报文格式为版本1.
UDP报文中可以包含多条NAT日志记录的原始信息,它由一个报文头和若干条NAT日志记录组成.
NAT日志的两种输出方式互斥,同一时刻只能选择一种输出方式.
如果同时配置了两种输出方式,则系统会自动选择输出到信息中心,而不会发送到日志服务器.
1-12图1-4NAT日志信息输出至日志服务器示意图2.
配置NAT日志输出至信息中心表1-13配置NAT日志输出至信息中心操作命令说明进入系统视图system-view-设置NAT日志输出至信息中心userlognatsyslog必选缺省情况下,NAT日志输出至NAT日志服务器NAT日志输出到信息中心会占用设备的存储空间,所以,建议在日志量较小的情况下,使用该输出方向.
NAT日志输出至信息中心时,NAT日志信息的优先级为informational,即作为设备的一般提示信息.
有关信息优先级及信息中心的详细介绍请参见"网络管理与监控配置指导"中的"信息中心".
3.
配置NAT日志输出至日志服务器以UDP报文方式将NAT日志发送给NAT日志服务器时,可以配置三项参数:NAT日志服务器的IP地址和UDP端口号.
如果不配置输出到信息中心方向,也不指定日志服务器的地址,NAT日志就会无法正常输出.
NAT日志报文的源IP地址.
在日志服务器端,通过识别NAT日志的源IP地址,可以迅速定位日志信息的来源,建议使用Loopback接口地址作为日志报文的源IP地址.
NAT日志报文版本号.
输出的日志报文可以有多种版本,不同的版本使用的报文格式不同,目前设备支持版本1.
表1-14配置NAT日志服务器操作命令说明进入系统视图system-view-InternetUserDeviceGeneratingNATlogNATlogsNATlogsNATlogserver1-13操作命令说明设置NAT日志服务器的IP地址和UDP端口号userlognatexporthost{ipv4-address|ipv6ipv6-address}udp-port必选设置承载NAT日志的UDP报文的源IP地址userlognatexportsource-ipip-address可选缺省情况下,承载NAT日志的UDP报文的源IP地址为发送该报文的接口的IP地址设置NAT日志报文的版本号userlognatexportversionversion-number可选缺省情况下,NAT日志报文的版本号为1NAT日志服务器的IP地址必须是合法的IPv4或IPv6单播地址.
为避免与系统自定义的端口号冲突,建议用户使用1024以上的UDP端口作为日志服务器的UDP端口号.
1.
8使能链路down时NAT表项老化功能在链路备份组网环境中,NAT设备的主接口和备份接口上均配置了地址转换,当主备链路发生切换时,若NAT设备已使能了NAT表项的老化功能,则可以立即将当前所有NAT表项的状态置为已老化,这样后续报文会使用切换后新接口上的NAT配置重新建立NAT表项,使得已有的NAT流量快速切换到新的链路上.
表1-15使能链路down时NAT表项老化功能操作命令说明进入系统视图system-view-使能接口链路down时NAT表项老化功能natlink-downreset-sessionenable必选缺省情况下,接口链路down时NAT表项老化功能处于关闭状态1.
9NAT显示和维护在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下,执行reset命令可以清除地址转换的统计信息.
1-14表1-16NAT显示和维护操作命令显示NAT地址池的信息displaynataddress-group[group-number][|{begin|exclude|include}regular-expression]显示地址转换的有效时间displaynataging-time[|{begin|exclude|include}regular-expression]显示所有的NAT配置信息displaynatall[|{begin|exclude|include}regular-expression]显示地址转换关联的配置信息displaynatbound[|{begin|exclude|include}regular-expression]显示内部服务器的信息displaynatserver[|{begin|exclude|include}regular-expression]显示内部服务器组的信息displaynatserver-group[group-number][|{begin|exclude|include}regular-expression]显示静态配置的信息displaynatstatic[|{begin|exclude|include}regular-expression]显示当前NAT转换表项信息displaynatsession[source{globalglobal-address|insideinside-address}][destinationdst-address][|{begin|exclude|include}regular-expression]显示NAT的统计信息displaynatstatistics[|{begin|exclude|include}regular-expression]显示NAT日志的配置信息displaynatlog[|{begin|exclude|include}regular-expression]查看输出到日志服务器的日志的配置和统计信息displayuserlogexport[|{begin|exclude|include}regular-expression]清除NAT日志缓存中的记录resetuserlognatlogbuffer清除NAT日志的统计信息resetuserlognatexport清除内存中地址转换的映射表,释放动态分配的用于存放映射表的内存resetnatsession清除NAT日志缓存区中的记录会造成NAT日志信息的丢失,正常情况下,建议不要进行清除操作.
1.
10NAT地址转换典型配置举例1.
组网需求如图1-5所示,Device作为PPPoEServer,AP作为PPPoEClient接入网络,AP作为DHCPServer为无线客户端分配地址,无线客户端接入后可访问网络资源,要求:PPPoEServer用PAP方式认证PPPoEClient.
PPPoEClient工作在永久在线模式.
配置NAT地址转换,允许客户端主动发起访问网络资源.
1-152.
组网图图1-5NAT地址转换典型配置组网图3.
配置步骤配置Device#创建一个本地网络接入类用户user1.
system-view[Device]local-useruser1#配置接入密码为明文密码hello,可以使用PPP服务.
[Device-luser-network-user1]passwordsimplehello[Device-luser-network-user1]service-typeppp[Device-luser-network-user1]quit#创建一个虚拟模板接口1.
[Device]interfacevirtual-template1#配置本地认证对端的认证方式为PAP认证方式.
[Device-Virtual-Template1]pppauthentication-modepapdomainsystem#配置本端地址,并为对端分配固定地址.
[Device-Virtual-Template1]ipaddress1.
1.
1.
1255.
255.
255.
0[Device-Virtual-Template1]remoteaddress1.
1.
1.
2[Device-Virtual-Template1]quit#启用PPPoEServer协议,并将该接口与虚拟模板接口1绑定.
[Device]interfacegigabitethernet1/0/2[Device-GigabitEthernet1/0/2]pppoe-serverbindvirtual-template1[Device-GigabitEthernet1/0/2]quit#在系统缺省的ISP域system下,配置PPP用户使用本地认证方案.
[Device]domainsystem[Device-isp-system]authenticationppplocal[Device-isp-system]quit配置AP(1)配置AP的接口#删除Vlan-interface1缺省IP地址.
system-view[AP]interfacevlan-interface1IPNetworkAPClient1Client2DevicePPPoEServerPPPoEClientGE1/0/2GE1/0/1Vlan-int1GE1/0/21-16[AP-Vlan-interface1]undoipaddress[AP-Vlan-interface1]quit#创建VLAN100及其对应的VLAN接口,并为该接口配置IP地址.
客户端将使用该VLAN接入无线网络.
[AP]vlan100[AP-vlan100]quit[AP]interfacevlan-interface100[AP-Vlan-interface100]ipaddress192.
1.
0.
124[AP-Vlan-interface100]quit(2)创建WLANBSS接口并配置接口的PVID为VLAN100[AP]interfacewlan-bss1[AP-WLAN-BSS1]portaccessvlan100[AP-WLAN-BSS1]quit(3)配置无线服务模板#创建服务模板10,并进入无线服务模板视图.
[AP]wlanservice-template10clear#配置SSID为service.
[AP-wlan-st-10]ssidservice#开启无线服务模板.
[AP-wlan-st-10]service-templateenable[AP-wlan-st-10]quit#进入WLAN-Radio1/0/2接口视图.
[AP]interfacewlan-radio1/0/2#将无线服务模板10绑定到WLAN-Radio1/0/2接口.
[AP-WLAN-Radio1/0/2]service-template10interfacewlan-bss1[AP-WLAN-Radio1/0/2]quit(4)配置DHCPServer#配置DHCP地址池100,用于为无线Client分配IP地址.
[AP]dhcpserverip-pool100[AP-dhcp-pool-100]network192.
1.
0.
0mask255.
255.
255.
0[AP-dhcp-pool-100]gateway-list192.
1.
0.
1[AP-dhcp-pool-100]quit#开启DHCP功能.
[AP]dhcpenable(5)配置PPPoEClient#配置拨号访问组的拨号控制列表,允许IP协议报文通过.
[AP]dialer-rule1ippermit#配置Dialer1接口.
[AP]interfacedialer1#设置对端用户名.
[AP-Dialer1]dialeruseruser1#配置将Dialer1接口与拨号访问组1关联.
[AP-Dialer1]dialer-group1#配置Dialer接口使用的Dialerbundle.
1-17[AP-Dialer1]dialerbundle1#配置Dialer1接口通过协商获取IP地址.
[AP-Dialer1]ipaddressppp-negotiate#配置本地设备被对端以PAP方式认证时发送的用户名为user1,密码为hello.
[AP-Dialer1]ppppaplocal-useruser1passwordsimplehello[AP-Dialer1]quit#配置一个PPPoE会话,该会话对应Dialerbundle1(Dialerbundle1对应Dialer1接口).
[AP]interfacevlan-interface1[AP-Vlan-interface1]pppoe-clientdial-bundle-number1[AP-Vlan-interface1]quit#配置PPPoEClient工作在永久在线模式.
[AP]interfacedialer1[AP-Dialer1]dialertimeridle0#配置静态路由.
[AP]iproute-static0.
0.
0.
00dialer1(6)配置NAT#配置ACL2000,仅允许无线客户端主动访问Internet.
[AP]aclnumber2000[AP-acl-basic-2000]rule0permitsource192.
1.
0.
00.
0.
0.
255[AP-acl-basic-2000]quit#在接口Dialer1上配置出方向动态地址转换,允许使用Dialer1的IPv4地址1.
1.
1.
2对匹配ACL2000的报文进行源地址转换,并在转换过程中使用端口信息.
[AP]interfacedialer1[AP-Dialer1]natoutbound2000[AP-Dialer1]quit4.
验证结果#在AP上可以通过displaypppoe-clientsessionsummary命令查看PPPoE会话.
[AP]displaypppoe-clientsessionsummaryPPPoEClientSession:IDBundleDialerIntfRemMACLocMACState111VLAN15cdd70a1d75000a28099fb00PPPUP#通过无线客户端pingPPPoEServer的IP地址1.
1.
1.
1,在AP上显示当前的NAT转换表项信息.
[AP]displaynatsessionTherearecurrently1NATsession:ProGlobalAddr:PortLocalAddr:PortDestAddr:PortICMP1.
1.
1.
2:12289192.
1.
0.
2:261.
1.
1.
1:26status:1TTL:00:00:10Left:00:00:021-181.
11NAT常见配置错误举例1.
11.
1故障之一:地址转换不正常.
故障排除:通过打开NAT的调试信息开关,根据设备上的调试信息,初步定位错误,然后使用其它命令作进一步的判断.
调试时,注意观察地址转换后的源地址,要保证这个地址是希望转换的地址,否则可能会是地址池配置错误.
同时要保证目的网络到地址池中地址段的路由可达.
1.
11.
2故障之二:内部服务器工作不正常.
故障排除:如果外部主机不能正常访问内部服务器,请检查是否是内部服务器主机的配置有错或路由器上对内部服务器的配置有错,如对内部服务器的IP地址指定错误等等.