地址http

i目录1NAT命令1-11.
1NAT配置命令·1-11.
1.
1address·1-11.
1.
2block-size·1-21.
1.
3displaynatall·1-21.
1.
4displaynataddress-group·1-141.
1.
5displaynatdns-map1-161.
1.
6displaynateim·1-171.
1.
7displaynatinbound1-191.
1.
8displaynatlog·1-211.
1.
9displaynatno-pat1-221.
1.
10displaynatoutbound1-241.
1.
11displaynatoutboundport-block-group·1-251.
1.
12displaynatport-block1-261.
1.
13displaynatport-block-group·1-281.
1.
14displaynatserver1-301.
1.
15displaynatserver-group·1-321.
1.
16displaynatsession1-341.
1.
17displaynatstatic·1-361.
1.
18displaynatstatistics1-401.
1.
19global-ip-pool·1-411.
1.
20insideip1-421.
1.
21local-ip-address1-431.
1.
22nataddress-group1-441.
1.
23natalg·1-441.
1.
24natdns-map·1-461.
1.
25nathairpinenable·1-471.
1.
26natinbound·1-481.
1.
27natlogalarm·1-501.
1.
28natlogenable·1-501.
1.
29natlogflow-active·1-511.
1.
30natlogflow-begin1-521.
1.
31natlogflow-end1-53ii1.
1.
32natlogport-block-assign1-541.
1.
33natlogport-block-withdraw1-541.
1.
34natmapping-behavior·1-551.
1.
35natoutbound·1-571.
1.
36natoutboundport-block-group1-591.
1.
37natport-block-group1-601.
1.
38natserver·1-611.
1.
39natserver-group1-651.
1.
40natstaticenable1-661.
1.
41natstaticinbound1-661.
1.
42natstaticinboundnet-to-net·1-681.
1.
43natstaticoutbound1-701.
1.
44natstaticoutboundnet-to-net·1-711.
1.
45port-block·1-731.
1.
46port-range·1-741.
1.
47resetnatsession1-751-11NAT命令1.
1NAT配置命令1.
1.
1addressaddress命令用来添加一个地址组成员.
undoaddress命令用来删除一个地址组成员.
【命令】addressstart-addressend-addressundoaddressstart-addressend-address【缺省情况】不存在地址组成员.
【视图】NAT地址组视图【缺省用户角色】network-adminmdc-admin【参数】start-addressend-address:地址组成员的起始IP地址和结束IP地址.
end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址.
【使用指导】一个NAT地址组是多个地址组成员的集合.
当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址组成员中的某个地址.
需要注意的是:一个地址组成员所包含的地址数目不能超过256.
各地址组成员的IP地址段不能互相重叠.
【举例】#在NAT地址组2中添加两个地址组成员.
system-view[Sysname]nataddress-group2[Sysname-nat-address-group-2]address10.
1.
1.
110.
1.
1.
15[Sysname-nat-address-group-2]address10.
1.
1.
2010.
1.
1.
30【相关命令】nataddress-group1-21.
1.
2block-sizeblock-size命令用来设置端口块大小.
undoblock-size命令用来将端口块大小恢复为默认值.
【命令】block-sizeblock-sizeundoblock-size【缺省情况】一个端口块中包含256个端口.
【视图】NAT端口块组视图【缺省用户角色】network-adminmdc-admin【参数】block-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~65535.
【使用指导】在一个端口块组中,需要根据私网IP地址个数,以及公网IP地址个数及其端口范围,确定一个合理的端口块大小值.
端口块大小值不能超过公网地址的端口范围值.
【举例】#配置端口块组1的端口块大小为1024.
system-view[Sysname]natport-block-group1[Sysname-port-block-group-1]block-size1024【相关命令】natport-block-group1.
1.
3displaynatalldisplaynatall命令用来显示所有的NAT配置信息.
【命令】displaynatall【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-admin1-3mdc-operator【举例】#显示所有的NAT配置信息.
(独立运行模式)displaynatallNATaddressgroupinformation:Totally5NATaddressgroups.
Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
10202.
110.
10.
15Addressgroup2:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
20202.
110.
10.
25202.
110.
10.
30202.
110.
10.
35Addressgroup3:Portrange:1024-65535Addressinformation:StartaddressEndaddress202.
110.
10.
40202.
110.
10.
50Addressgroup4:Portrange:10001-65535Portblocksize:500Extendedblocknumber:1Addressinformation:StartaddressEndaddress202.
110.
10.
60202.
110.
10.
65Addressgroup6:Portrange:1-65535Addressinformation:StartaddressEndaddress------NATservergroupinformation:Totally3NATservergroups.
GroupNumberInsideIPPortWeight1192.
168.
0.
2623100192.
168.
0.
272350023192.
168.
0.
26691001-4NATinboundinformation:Totally1NATinboundrules.
Interface:GigabitEthernet2/0/1ACL:2038Addressgroup:2Addroute:YNO-PAT:YReversible:NVPNinstance:vpn_natConfigstatus:ActiveNAToutboundinformation:Totally2NAToutboundrules.
Interface:GigabitEthernet2/0/2ACL:2036Addressgroup:1Port-preserved:YNO-PAT:NReversible:NConfigstatus:ActiveInterface:GigabitEthernet2/0/2ACL:2037Addressgroup:1Port-preserved:NNO-PAT:YReversible:YVPNinstance:vpn_natConfigstatus:ActiveNATinternalserverinformation:Totally4internalservers.
Interface:GigabitEthernet2/0/3Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23LocalIP/port:192.
168.
10.
15/23ACL:2000Configstatus:ActiveInterface:GigabitEthernet2/0/4Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23-30LocalIP/port:192.
168.
10.
15-192.
168.
10.
22/23GlobalVPN:vpn1LocalVPN:vpn3Configstatus:ActiveInterface:GigabitEthernet2/0/4Protocol:255(Reserved)GlobalIP/port:50.
1.
1.
100/---LocalIP/port:192.
168.
10.
150/---GlobalVPN:vpn2LocalVPN:vpn4ACL:3000Configstatus:ActiveInterface:GigabitEthernet2/0/51-5Protocol:17(UDP)GlobalIP/port:50.
1.
1.
2/23LocalIP/port:servergroup1192.
168.
0.
26/23(Connections:10)192.
168.
0.
27/23(Connections:20)GlobalVPN:vpn1LocalVPN:vpn3Configstatus:ActiveStaticNATmappings:Totally2inboundstaticNATmappings.
Net-to-net:GlobalIP:2.
2.
2.
1–2.
2.
2.
255LocalIP:1.
1.
1.
0Netmask:255.
255.
255.
0GlobalVPN:vpn2LocalVPN:vpn1ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:GlobalIP:5.
5.
5.
5LocalIP:4.
4.
4.
4GlobalVPN:vpn3LocalVPN:vpn4ACL:2001Reversible:YConfigstatus:ActiveTotally2outboundstaticNATmappings.
Net-to-net:LocalIP:1.
1.
1.
1-1.
1.
1.
255GlobalIP:2.
2.
2.
0Netmask:255.
255.
255.
0LocalVPN:vpn1GlobalVPN:vpn2ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:LocalIP:4.
4.
4.
4GlobalIP:5.
5.
5.
5LocalVPN:vpn1GlobalVPN:vpn2ACL::2001Reversible:Y1-6Configstatus:ActiveInterfacesenabledwithstaticNAT:Totally2interfacesenabledwithstaticNAT.
Interface:GigabitEthernet2/0/4Configstatus:ActiveInterface:GigabitEthernet2/0/6Configstatus:ActiveNATDNSmappings:Totally2NATDNSmappings.
Domainname:www.
server.
comGlobalIP:6.
6.
6.
6Globalport:23Protocol:TCP(6)Configstatus:ActiveDomainname:www.
service.
comGlobalIP:---Globalport:12Protocol:TCP(6)Configstatus:ActiveNATlogging:Logenable:Enabled(ACL2000)Flow-begin:DisabledFlow-end:DisabledFlow-active:Enabled(10minutes)Port-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNAThairpinning:Totally2interfacesenabledwithNAThairpinning.
Interface:GigabitEthernet2/0/4Configstatus:ActiveInterface:GigabitEthernet2/0/6Configstatus:ActiveNATmappingbehavior:Mappingmode:Endpoint-IndependentACL:2050Configstatus:ActiveNATALG:DNS:Enabled1-7FTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRTSP:EnabledRSH:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:DisabledNATportblockgroupinformation:Totally3NATportblockgroups.
Portblockgroup1:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstance172.
16.
1.
1172.
16.
1.
254---192.
168.
1.
1192.
168.
1.
254vpna192.
168.
3.
1192.
168.
3.
254vpnaGlobalIPpoolinformation:StartaddressEndaddress201.
1.
1.
1201.
1.
1.
10201.
1.
1.
21201.
1.
1.
25Portblockgroup2:Portrange:10001-30000Blocksize:500LocalIPaddressinformation:StartaddressEndaddressVPNinstance10.
1.
1.
110.
1.
10.
255vpnbGlobalIPpoolinformation:StartaddressEndaddress202.
10.
10.
101202.
10.
10.
120Portblockgroup3:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstanceGlobalIPpoolinformation:StartaddressEndaddress1-8------NAToutboundportblockgroupinformation:Totally2outboundportblockgroupitems.
Interface:GigabitEthernet2/0/2Portblockgroup:2Configstatus:ActiveInterface:GigabitEthernet2/0/2Portblockgroup:10Configstatus:Active#显示所有的NAT配置信息.
(IRF模式)displaynatallNATaddressgroupinformation:Totally5NATaddressgroups.
Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
10202.
110.
10.
15Addressgroup2:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
20202.
110.
10.
25202.
110.
10.
30202.
110.
10.
35Addressgroup3:Portrange:1024-65535Addressinformation:StartaddressEndaddress202.
110.
10.
40202.
110.
10.
50Addressgroup4:Portrange:10001-65535Portblocksize:500Extendedblocknumber:1Addressinformation:StartaddressEndaddress202.
110.
10.
60202.
110.
10.
65Addressgroup6:Portrange:1-65535Addressinformation:StartaddressEndaddress------1-9NATservergroupinformation:Totally3NATservergroups.
GroupNumberInsideIPPortWeight1192.
168.
0.
2623100192.
168.
0.
272350023192.
168.
0.
2669100NATinboundinformation:Totally1NATinboundrules.
Interface:GigabitEthernet1/3/0/1ACL:2038Addressgroup:2Addroute:YNO-PAT:YReversible:NVPNinstance:vpn_natConfigstatus:ActiveNAToutboundinformation:Totally2NAToutboundrules.
Interface:GigabitEthernet1/3/0/2ACL:2036Addressgroup:1Port-preserved:YNO-PAT:NReversible:NConfigstatus:ActiveInterface:GigabitEthernet1/3/0/2ACL:2037Addressgroup:1Port-preserved:NNO-PAT:YReversible:YVPNinstance:vpn_natConfigstatus:ActiveNATinternalserverinformation:Totally4internalservers.
Interface:GigabitEthernet1/3/0/3Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23LocalIP/port:192.
168.
10.
15/23ACL:2000Configstatus:ActiveInterface:GigabitEthernet1/3/0/4Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23-30LocalIP/port:192.
168.
10.
15-192.
168.
10.
22/23GlobalVPN:vpn1LocalVPN:vpn3Configstatus:ActiveInterface:GigabitEthernet1/3/0/41-10Protocol:255(Reserved)GlobalIP/port:50.
1.
1.
100/---LocalIP/port:192.
168.
10.
150/---GlobalVPN:vpn2LocalVPN:vpn4ACL:3000Configstatus:ActiveInterface:GigabitEthernet1/3/0/5Protocol:17(UDP)GlobalIP/port:50.
1.
1.
2/23LocalIP/port:servergroup1192.
168.
0.
26/23(Connections:10)192.
168.
0.
27/23(Connections:20)GlobalVPN:vpn1LocalVPN:vpn3Configstatus:ActiveStaticNATmappings:Totally2inboundstaticNATmappings.
Net-to-net:GlobalIP:2.
2.
2.
1–2.
2.
2.
255LocalIP:1.
1.
1.
0Netmask:255.
255.
255.
0GlobalVPN:vpn2LocalVPN:vpn1ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:GlobalIP:5.
5.
5.
5LocalIP:4.
4.
4.
4GlobalVPN:vpn3LocalVPN:vpn4ACL:2001Reversible:YConfigstatus:ActiveTotally2outboundstaticNATmappings.
Net-to-net:LocalIP:1.
1.
1.
1-1.
1.
1.
255GlobalIP:2.
2.
2.
0Netmask:255.
255.
255.
0LocalVPN:vpn1GlobalVPN:vpn2ACL:2000Reversible:Y1-11Configstatus:ActiveIP-to-IP:LocalIP:4.
4.
4.
4GlobalIP:5.
5.
5.
5LocalVPN:vpn1GlobalVPN:vpn2ACL::2001Reversible:YConfigstatus:ActiveInterfacesenabledwithstaticNAT:Totally2interfacesenabledwithstaticNAT.
Interface:GigabitEthernet1/3/0/4Configstatus:ActiveInterface:GigabitEthernet1/3/0/6Configstatus:ActiveNATDNSmappings:Totally2NATDNSmappings.
Domainname:www.
server.
comGlobalIP:6.
6.
6.
6Globalport:23Protocol:TCP(6)Configstatus:ActiveDomainname:www.
service.
comGlobalIP:---Globalport:12Protocol:TCP(6)Configstatus:ActiveNATlogging:Logenable:Enabled(ACL2000)Flow-begin:DisabledFlow-end:DisabledFlow-active:Enabled(10minutes)Port-block-assign:DisabledPort-block-withdraw:DisabledAlarm:DisabledNAThairpinning:Totally2interfacesenabledwithNAThairpinning.
Interface:GigabitEthernet1/3/0/1Configstatus:ActiveInterface:GigabitEthernet1/3/0/21-12Configstatus:ActiveNATmappingbehavior:Mappingmode:Endpoint-IndependentACL:2050Configstatus:ActiveNATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:EnabledILS:EnabledMGCP:EnabledNBT:EnabledPPTP:EnabledRTSP:EnabledRSH:EnabledSCCP:EnabledSIP:EnabledSQLNET:EnabledTFTP:EnabledXDMCP:DisabledNATportblockgroupinformation:Totally3NATportblockgroups.
Portblockgroup1:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstance172.
16.
1.
1172.
16.
1.
254---192.
168.
1.
1192.
168.
1.
254vpna192.
168.
3.
1192.
168.
3.
254vpnaGlobalIPpoolinformation:StartaddressEndaddress201.
1.
1.
1201.
1.
1.
10201.
1.
1.
21201.
1.
1.
25Portblockgroup2:Portrange:10001-30000Blocksize:500LocalIPaddressinformation:StartaddressEndaddressVPNinstance10.
1.
1.
110.
1.
10.
255vpnbGlobalIPpoolinformation:StartaddressEndaddress202.
10.
10.
101202.
10.
10.
1201-13Portblockgroup3:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstanceGlobalIPpoolinformation:StartaddressEndaddress------NAToutboundportblockgroupinformation:Totally2outboundportblockgroupitems.
Interface:GigabitEthernet1/3/0/2Portblockgroup:2Configstatus:ActiveInterface:GigabitEthernet1/3/0/2Portblockgroup:10Configstatus:Active上述显示信息是目前所有NAT配置信息的集合.
由于部分NAT配置(nataddress-group、natserver-group、natinbound、natoutbound、natserver、natstatic、natstaticnet-to-net、natstaticenable、natdns-map、natlog、natport-block-group和natoutboundport-block-group)有自己独立的显示命令,且此处显示信息的格式与各命令对应的显示信息的格式相同的,所以此处不对这些配置的显示字段的含义进行写详细解释,如有需要,请参考各独立的显示命令.
下面的表格将给出相关显示命令的参见信息并仅解释nathairpinenable、natmapping-behavior和natalg配置的显示字段的含义.
表1-1displaynatall命令显示信息描述表字段描述NATaddressgroupinformationNAT地址组的配置信息,详细字段解释请参见"表1-2"NATservergroupinformationNAT内部服务器组的配置信息,详细字段解释请参见"表1-13"NATinboundinformation:入方向动态地址转换的配置信息,详细字段解释请参见"表1-5"NAToutboundinformation出方向动态地址转换的配置信息,详细字段解释请参见"表1-8"NATinternalserverinformationNAT内部服务器的配置信息,详细字段解释请参见"表1-12"StaticNATmappings静态地址转换的配置信息,详细字段解释请参见"表1-15"NATDNSmappingsNATDNSmapping的配置信息,详细字段解释请参见"表1-3"NATloggingNAT日志功能的配置信息,详细字段解释请参见"表1-6"NAThairpinningNAThairpin功能TotallyninterfacesenabledNAThairpinning当前有n个接口使能NAThairpin功能1-14字段描述Interface使能NAThairpin功能的接口Configstatus显示NAThairpin配置的状态Active:生效Inactive:不生效NATmappingbehaviorPAT方式下的地址转换模式Endpoint-Independent:表示不关心对端地址和端口AddressandPort-Dependent:表示关心对端地址和端口ACL引用的ACL编号.
如果没有配置,则显示"---"Configstatus显示NATmappingbehavior配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示NATmappingbehavior配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:ACL:引用的ACL不存在NATALG各协议的NATALG功能开启信息NATportblockgroupinformationNAT端口块组的配置信息,详细字段解释请参见"表1-11"NAToutboundportblockgroupinformationNAT444端口块静态映射的配置信息,详细字段解释请参见"表1-9"1.
1.
4displaynataddress-groupdisplaynataddress-group命令用来显示NAT地址组配置信息.
【命令】displaynataddress-group[group-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】group-number:地址组编号,取值范围为0~65535.
1-15【举例】#显示所有地址组的配置信息.
displaynataddress-groupNATaddressgroupinformation:Totally5NATaddressgroups.
Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
10202.
110.
10.
15Addressgroup2:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
20202.
110.
10.
25202.
110.
10.
30202.
110.
10.
35Addressgroup3:Portrange:1024-65535Addressinformation:StartaddressEndaddress202.
110.
10.
40202.
110.
10.
50Addressgroup4:Portrange:10001-65535Portblocksize:500Extendedblocknumber:1Addressinformation:StartaddressEndaddress202.
110.
10.
60202.
110.
10.
65Addressgroup6:Portrange:1-65535Addressinformation:StartaddressEndaddress------#显示指定地址组的配置信息.
displaynataddress-group1Addressgroup1:Portrange:1-65535Addressinformation:StartaddressEndaddress202.
110.
10.
10202.
110.
10.
151-16表1-2displaynataddress-group命令显示信息描述表字段描述NATaddressgroupinformationNAT地址组信息TotallynNATaddressgroups当前有n个地址组Addressgroup地址组编号Portrange地址的端口范围Blocksize端口块大小.
如果没有配置,则不显示Extendedblocknumber增量端口块数.
如果没有配置,则不显示Addressinformation地址组成员信息Startaddress地址组成员的起始地址.
如果没有配置,则显示"---"Endaddress地址组成员的结束地址.
如果没有配置,则显示"---"【相关命令】nataddress-group1.
1.
5displaynatdns-mapdisplaynatdns-map命令用来显示NATDNSmapping配置信息.
【命令】displaynatdns-map【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示所有NATDNSmapping的配置信息.
displaynatdns-mapNATDNSmappinginformation:Totally2NATDNSmappings.
Domainname:www.
server.
comGlobalIP:6.
6.
6.
6Globalport:23Protocol:TCP(6)Configstatus:Active1-17Domainname:www.
service.
comGlobalIP:---Globalport:12Protocol:TCP(6)Configstatus:Active表1-3displaynatdns-map命令显示信息描述表字段描述NATDNSmappinginformationNATDNSmapping配置信息TotallynNATDNSmappings当前有n条DNSmapping配置DomainnameDNS域名GlobalIP外网地址.
如果配置使用的是EasyIP方式,则此处显示指定的接口的地址.
"---"表示接口下没有配置外网地址Globalport外网端口号Protocol协议名称以及协议编号Configstatus显示DNSmapping配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示DNSmapping配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:interfaceIPaddress:引用的接口没有配置IP地址【相关命令】natdns-map1.
1.
6displaynateimdisplaynateim命令用来显示NATEIM表项信息.
【命令】独立运行模式:displaynateim[slotslot-number]IRF模式:displaynateim[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-admin1-18mdc-operator【参数】slotslot-number:显示指定单板上的EIM表项信息,slot-number表示单板所在的槽位号.
若不指定该参数,则表示显示所有单板上的EIM表项信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的EIM表项信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示显示所有成员设备的所有单板上的EIM表项信息.
(IRF模式)【使用指导】EIM表项是报文在进行Endpoint-IndependentMapping方式的PAT转换时创建的,它记录了内网和外网的转换关系(内网地址和端口NAT地址和端口),该表项有以下两个作用:保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系.

允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换.
【举例】#显示1号单板上的NATEIM表项信息.
(独立运行模式)displaynateimslot1Slot1:LocalIP/port:192.
168.
100.
100/1024GlobalIP/port:200.
100.
1.
100/2048LocalVPN:vpn1GlobalVPN:vpn2Protocol:TCP(6)LocalIP/port:192.
168.
100.
200/2048GlobalIP/port:200.
100.
1.
200/4096Protocol:UDP(17)Totalentriesfound:2#显示1号成员设备的1号单板上的NATEIM表项信息.
(IRF模式)displaynateimchassis1slot0Slot0inchassis1:LocalIP/port:192.
168.
100.
100/1024GlobalIP/port:200.
100.
1.
100/2048LocalVPN:vpn1GlobalVPN:vpn2Protocol:TCP(6)LocalIP/port:192.
168.
100.
200/2048GlobalIP/port:200.
100.
1.
200/4096Protocol:UDP(17)Totalentriesfound:21-19表1-4displaynateim命令显示信息描述表字段描述LocalIP/port内网IP地址/端口号GlobalIP/port外网IP地址/端口号LocalVPN内网地址所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段GlobalVPN外网地址所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段Protocol协议名称以及协议编号Totalentriesfound当前查找到的EIM表项的个数【相关命令】natmapping-behaviornatoutbound1.
1.
7displaynatinbounddisplaynatinbound命令用来显示NAT入方向动态地址转换的配置信息.
【命令】displaynatinbound【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示NAT入接口动态地址转换的配置信息.
(独立运行模式)displaynatinboundNATinboundinformation:Totally2NATinboundrules.
Interface:GigabitEthernet2/0/2ACL:2038Addressgroup:2Addroute:YNO-PAT:YReversible:NVPNinstance:vpn1Configstatus:ActiveInterface:GigabitEthernet2/0/3ACL:2037Addressgroup:1Addroute:Y1-20NO-PAT:YReversible:NVPNinstance:vpn2Configstatus:Active#显示NAT入接口动态地址转换的配置信息.
(IRF模式设备)displaynatinboundNATinboundinformation:Totally2NATinboundrules.
Interface:GigabitEthernet1/3/0/2ACL:2038Addressgroup:2Addroute:YNO-PAT:YReversible:NVPNinstance:vpn1Configstatus:ActiveInterface:GigabitEthernet1/3/0/3ACL:2037Addressgroup:1Addroute:YNO-PAT:YReversible:NVPNinstance:vpn2Configstatus:Active表1-5displaynatinbound命令显示信息描述表字段描述NATinboundinformationNAT入方向动态地址转换的配置信息TotallynNATinboundrules当前存在n条入入方向动态地址转换配置Interface入方向动态地址转换配置所在的接口ACL引用的ACL编号Addressgroup入方向动态地址转换使用的地址组Addroute是否添加路由.
若其值为"Y",则表示有报文命中此项入接口动态地址转换配置时,设备会自动添加一条路由;否则,不添加NO-PAT是否使用NO-PAT方式进行地址转换.
若其值为"Y",则表示使用NO-PAT方式;若其值为"N",则表示使用PAT方式Reversible是否允许反向地址转换.
若其值为"Y",则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换;否则,不允许VPNinstance地址组所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段Configstatus显示NAT配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示NAT入方向动态地址转换的配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:localVPN,addressgroup,andACL:配置中地址组所属的VPN实例、地址组、ACL不存在或不生效1-21【相关命令】natinbound1.
1.
8displaynatlogdisplaynatlog命令用来显示NAT日志功能的配置信息.
【命令】displaynatlog【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示NAT日志功能的配置信息.
displaynatlogNATlogging:Logenable:Enabled(ACL2000)Flow-begin:DisabledFlow-end:DisabledFlow-active:Enabled(10minutes)Port-block-assign:DisabledPort-block-withdraw:DisabledAlarm:Disabled表1-6displaynatlog命令显示信息描述表字段描述NATloggingNAT日志功能的配置信息LogenableNAT日志开关的开启情况.
如果NAT日志开关处于开启状态,且指定了ACL,则同时显示指定的ACL编号Flow-beginNAT会话新建日志开关的开启情况Flow-endNAT会话删除日志开关的开启情况Flow-activeNAT活跃流日志开关的开启情况以及阈值信息.
如果NAT活跃流日志开关处于开启状态,则同时显示配置的生成活跃流日志的时间间隔(单位为分)Port-block-assign端口块分配的NAT444用户日志开关的开启情况Port-block-withdraw端口块回收的NAT444用户日志开关的开启情况AlarmNAT444告警信息日志开关的开启情况1-22【相关命令】natlogenablenatlogflow-activenatlogflow-begin1.
1.
9displaynatno-patdisplaynatno-pat命令用来显示NATNO-PAT表项信息.
【命令】独立运行模式:displaynatno-pat[slotslot-number]IRF模式:displaynatno-pat[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】slotslot-number:显示指定单板上的NO-PAT表项信息,slot-number表示单板所在的槽位号.
若不指定该参数,则表示显示所有单板上的NO-PAT表项信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的NO-PAT表项信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示显示所有成员设备的所有单板上的NO-PAT表项信息.
(IRF模式)【使用指导】NO-PAT表项记录了动态分配的一对一地址映射关系,该表项有两个作用:保证后续同方向的新连接使用与第一个连接相同的地址转换关系.
反方向的新连接可以使用NO-PAT表进行地址转换.
natinbound和natoutbound配置的NO-PAT方式在转换报文地址之后都需要创建NO-PAT表.
这两种配置创建的NO-PAT表类型不同,不能互相使用,因此分成两类进行显示.
【举例】#显示1号单板上的NATNO-PAT表项.
(独立运行模式)displaynatno-patslot1Slot1:GlobalIP:200.
100.
1.
100LocalIP:192.
168.
100.
100GlobalVPN:vpn21-23LocalVPN:vpn1Reversible:NType:InboundLocalIP:192.
168.
100.
200GlobalIP:200.
100.
1.
200Reversible:YType:OutboundTotalentriesfound:2#显示1号成员设备的1号单板上的NATNO-PAT表项.
(IRF模式)displaynatno-patchassis1slot1Slot1inchassis1:GlobalIP:200.
100.
1.
100LocalIP:192.
168.
100.
100GlobalVPN:vpn2LocalVPN:vpn1Reversible:NType:InboundLocalIP:192.
168.
100.
200GlobalIP:200.
100.
1.
200Reversible:YType:OutboundTotalentriesfound:2表1-7displaynatno-pat命令显示信息描述表字段描述LocalIP内网IP地址GlobalIP外网IP地址LocalVPN内网地址所属的MPLSL3VPN的实例名称.
如果不属于任何VPN,则该行不显示GlobalVPN外网地址所属的MPLSL3VPN的实例名称.
如果不属于任何VPN,则该行不显示Reversible是否允许反向地址转换.
若其值为"Y",则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换TypeNO-PAT表项类型Inbound:入方向动态地址转换过程中创建的NO-PAT表项Outbound:出方向动态地址转换过程中创建的NO-PAT表项Totalentriesfound当前查找到的NO-PAT表项的个数1-24【相关命令】natinboundnatoutbound1.
1.
10displaynatoutbounddisplaynatoutbound命令用来显示出方向动态地址转换的配置信息.
【命令】displaynatoutbound【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示出方向动态地址转换的配置信息.
(独立运行模式)displaynatoutboundNAToutboundinformation:Totally2NAToutboundrules.
Interface:GigabitEthernet2/0/1ACL:2036Addressgroup:1Port-preserved:YNO-PAT:NReversible:NConfigstatus:ActiveInterface:GigabitEthernet2/0/2ACL:2037Addressgroup:2Port-preserved:NNO-PAT:YReversible:YVPNinstance:vpn_natConfigstatus:Active#显示出方向动态地址转换的配置信息.
(IRF模式)displaynatoutboundNAToutboundinformation:Totally2NAToutboundrules.
Interface:GigabitEthernet1/3/0/1ACL:2036Addressgroup:1Port-preserved:YNO-PAT:NReversible:NConfigstatus:ActiveInterface:GigabitEthernet1/3/0/2ACL:2037Addressgroup:1Port-preserved:NNO-PAT:YReversible:Y1-25VPNinstance:vpn_natConfigstatus:Active表1-8displaynatoutbound命令显示信息描述表字段描述NAToutboundinformation出方向动态地址转换的配置信息TotallynNAToutboundrules当前存在n条出方向动态地址转换Interface出方向动态地址转换配置所在的接口ACL引用的ACL编号.
如果没有配置,则显示"---"Addressgroup出方向动态地址转换使用的地址组.
如果没有配置,则显示"---"Port-preservedPAT方式下,是否尽量不转换端口NO-PAT是否使用NO-PAT方式进行转换.
若其值为"N",则表示使用PAT方式Reversible是否允许反向地址转换.
若其值为"Y",则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换VPNinstance地址组所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段Configstatus显示配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:globalVPN,interfaceIPaddress,addressgroup,andACL:配置中地址组所属的VPN实例、接口地址、地址组、ACL不存在或不生效NATaddressconflicts:NAT地址冲突【相关命令】natoutbound1.
1.
11displaynatoutboundport-block-groupdisplaynatoutboundport-block-group命令用来显示NAT444端口块静态映射的配置信息.
【命令】displaynatoutboundport-block-group【视图】任意视图【缺省用户角色】network-adminnetwork-operator1-26mdc-adminmdc-operator【举例】#显示NAT444端口块静态映射的配置信息.
displaynatoutboundport-block-groupNAToutboundportblockgroupinformation:Totally2outboundportblockgroupitems.
Interface:GigabitEthernet2/0/2Portblockgroup:2Configstatus:ActiveInterface:GigabitEthernet2/0/2Portblockgroup:10Configstatus:Active表1-9displaynatoutboundport-block-group命令显示信息描述表字段描述NAToutboundportblockgroupinformationNAT444端口块静态映射的配置信息Totallynoutboundportblockgroupitems当前存在n条NAT444端口块静态映射配置InterfaceNAT444端口块静态映射配置所在的接口Portblockgroup端口块组编号Configstatus显示配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:portblockgroup:配置中端口块组不存在或不生效【相关命令】znatoutboundport-block-group1.
1.
12displaynatport-blockdisplaynatport-block命令用来显示端口块表项.
【命令】独立运行模式:displaynatport-block{dynamic|static}[slotslot-number]IRF模式:displaynatport-block{dynamic|static}[chassischassis-numberslotslot-number]1-27【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】dynamic:显示动态端口块表项.
static:显示静态端口块表项.
slotslot-number:显示指定单板上的端口块表项信息,slot-number表示单板所在的槽位号.
若不指定该参数,则表示显示所有单板上的端口块表项信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的端口块表项信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则表示显示所有成员设备的所有单板上的端口块表项信息.
(IRF模式)【举例】#显示静态端口块表项.
displaynatport-blockstaticSlot0:Staticport-blockmappingtables:LocalVPNLocalIPGlobalIPPortblockConnections---100.
100.
100.
111202.
202.
100.
10110001-102560---100.
100.
100.
112202.
202.
100.
10110257-105120---100.
100.
100.
113202.
202.
100.
10110513-107680vpn012345678100.
100.
100.
113202.
202.
100.
10110769-1102409012345678901234567Totalentriesfound:4#显示动态端口块表项.
displaynatport-blockdynamicSlot0:Dynamicport-blockmappingtables:LocalVPNLocalIPGlobalIPPortblockConnections---101.
1.
1.
12192.
168.
135.
20110001-110241Totalentriesfound:1表1-10displaynatport-block命令显示信息描述表字段描述LocalVPN私网IP地址所属VPN,"---"表示不属于任何VPNLocalIP私网IP地址GlobalIP公网IP地址1-28字段描述Portblock端口块(起始端口-结束端口)Connections当前使用本端口块中的端口建立的连接数1.
1.
13displaynatport-block-groupdisplaynatport-block-group命令用来显示NAT端口块组配置信息.
【命令】displaynatport-block-group[group-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】group-number:端口块组编号,取值范围为0~65535.
【举例】#显示所有端口块组的配置信息.
displaynatport-block-groupNATportblockgroupinformation:Totally3NATportblockgroups.
Portblockgroup1:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstance172.
16.
1.
1172.
16.
1.
254---192.
168.
1.
1192.
168.
1.
254vpna192.
168.
3.
1192.
168.
3.
254vpnaGlobalIPpoolinformation:StartaddressEndaddress201.
1.
1.
1201.
1.
1.
10201.
1.
1.
21201.
1.
1.
25Portblockgroup2:Portrange:10001-30000Blocksize:500LocalIPaddressinformation:StartaddressEndaddressVPNinstance1-2910.
1.
1.
110.
1.
10.
255vpnbGlobalIPpoolinformation:StartaddressEndaddress202.
10.
10.
101202.
10.
10.
120Portblockgroup3:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstanceGlobalIPpoolinformation:StartaddressEndaddress------#显示端口块组1的配置信息.
displaynatport-block-group1Portblockgroup1:Portrange:1-65535Blocksize:256LocalIPaddressinformation:StartaddressEndaddressVPNinstance172.
16.
1.
1172.
16.
1.
254---192.
168.
1.
1192.
168.
1.
254vpna192.
168.
3.
1192.
168.
3.
254vpnaGlobalIPpoolinformation:StartaddressEndaddress201.
1.
1.
1201.
1.
1.
10201.
1.
1.
21201.
1.
1.
25表1-11displaynatport-block-group命令显示信息描述表字段描述NATportblockgroupinformationNAT端口块组信息TotallynNATportblockgroups当前有n个端口块组Portblockgroupm端口块组编号mPortrange公网地址的端口范围Blocksize端口块大小LocalIPaddressinformation私网IP地址成员信息GlobalIPpoolinformation公网IP地址成员信息Startaddress私网/公网IP地址成员的起始IP地址.
如果没有配置,则显示"---"Endaddress私网/公网IP地址成员的成员结束IP地址.
如果没有配置,则显示"---"VPNinstance私网IP地址成员所属的VPN.
如果没有配置,则显示"---"1-30【相关命令】natport-block-group1.
1.
14displaynatserverdisplaynatserver命令用来显示NAT内部服务器的配置信息.
【命令】displaynatserver【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【举例】#显示NAT内部服务器的信息.
(独立运行模式)displaynatserverNATinternalserverinformation:Totally4internalservers.
Interface:GigabitEthernet2/0/3Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23LocalIP/port:192.
168.
10.
15/23Configstatus:ActiveInterface:GigabitEthernet2/0/4Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23-30LocalIP/port:192.
168.
10.
15-192.
168.
10.
22/23GlobalVPN:vpn1LocalVPN:vpn3Configstatus:ActiveInterface:GigabitEthernet2/0/4Protocol:255(Reserved)GlobalIP/port:50.
1.
1.
100/---LocalIP/port:192.
168.
10.
150/---GlobalVPN:vpn2LocalVPN:vpn4Configstatus:ActiveInterface:GigabitEthernet2/0/5Protocol:17(UDP)1-31GlobalIP/port:50.
1.
1.
2/23LocalIP/port:servergroup11.
1.
1.
1/21(Connections:10)192.
168.
100.
200/80(Connections:20)GlobalVPN:vpn1LocalVPN:vpn10Configstatus:Active#显示NAT内部服务器的信息.
(IRF模式)displaynatserverNATinternalserverinformation:Totally4internalservers.
Interface:GigabitEthernet1/3/0/3Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23LocalIP/port:192.
168.
10.
15/23Configstatus:ActiveInterface:GigabitEthernet1/3/0/4Protocol:6(TCP)GlobalIP/port:50.
1.
1.
1/23-30LocalIP/port:192.
168.
10.
15-192.
168.
10.
22/23GlobalVPN:vpn1LocalVPN:vpn3Configstatus:ActiveInterface:GigabitEthernet1/3/0/4Protocol:255(Reserved)GlobalIP/port:50.
1.
1.
100/---LocalIP/port:192.
168.
10.
150/---GlobalVPN:vpn2LocalVPN:vpn4Configstatus:ActiveInterface:GigabitEthernet1/3/0/5Protocol:17(UDP)GlobalIP/port:50.
1.
1.
2/23LocalIP/port:servergroup11.
1.
1.
1/21(Connections:10)192.
168.
100.
200/80(Connections:20)GlobalVPN:vpn1LocalVPN:vpn3Configstatus:Active表1-12displaynatserver命令显示信息描述表字段描述NATinternalserverinformationNAT内部服务器的配置信息1-32字段描述Totallyninternalservers当前存在n条内部服务器配置Interface内部服务器配置所在的接口Protocol内部服务器的协议编号以及协议名称GlobalIP/port内部服务器的外网地址/端口号GlobalIP可以是单个地址,也可以是一个连续的地址段.
如果使用EasyIP方式,则此处显示指定的接口的地址;如果接口下没有配置地址,则GlobalIP显示为"---"port可以是单个端口,也可以是一个连续的端口段.
如果指定的协议没有端口的概念,则port显示为"---"LocalIP/port对于普通内部服务器,显示服务器的内网地址/端口号LocalIP可以是单个地址,也可以是一个连续的地址段port可以是单个端口,也可以是一个连续的端口段.
如果指定的协议没有端口的概念,则port显示为"---"对于负载分担内部服务器,显示内部服务器组编号以及服务器组成员的IP地址、端口和连接数GlobalVPN外网地址所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段LocalVPN内网地址所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段ACL引用的ACL编号.
如果没有配置,则不显示该字段Configstatus显示配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:localVPN,globalVPN,interfaceIPaddress,servergroup,andACL:配置中内网地址所属的VPN实例、外网地址所属的VPN实例、接口地址、服务器组、ACL不存在或不生效Serverconfigurationconflicts:NAT内部服务器配置冲突NATaddressconflicts:NAT地址冲突【相关命令】natserver1.
1.
15displaynatserver-groupdisplaynatserver-group命令用来显示NAT内部服务器组的配置信息.
【命令】displaynatserver-group[group-number]1-33【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】group-number:NAT内部服务器组编号,取值范围为0~65535.
如果不设置该值,则显示所有内部服务器组.
【举例】#显示所有NAT内部服务器组的配置信息.
displaynatserver-groupNATservergroupinformation:Totally3NATservergroups.
GroupNumberInsideIPPortWeight1192.
168.
0.
2623100192.
168.
0.
272350023192.
168.
0.
2669100#显示指定NAT内部服务器组的配置信息.
displaynatserver-group1GroupNumberInsideIPPortWeight1192.
168.
0.
2623100192.
168.
0.
2723500表1-13displaynatserver-group命令显示信息描述表字段描述NATservergroupinformationNAT内部服务器组信息TotallynNATservergroups当前有n个内部服务器组GroupNumber内部服务器组编号InsideIP内部服务器组成员在内网的IP地址.
如果没有配置,则显示"---"Port内部服务器组成员在内网的端口.
如果没有配置,则显示"---"Weight内部服务器组成员的权重值.
如果没有配置,则显示"---"【相关命令】natserver-group1-341.
1.
16displaynatsessiondisplaynatsession命令用来显示NAT会话,即经过NAT地址转换处理的会话.
【命令】独立运行模式:displaynatsession[{source-ipsource-ip|destination-ipdestination-ip}*[vpn-instancevpn-name]][slotslot-number][verbose]IRF模式:displaynatsession[{source-ipsource-ip|destination-ipdestination-ip}*[vpn-instancevpn-name]][chassischassis-numberslotslot-number][verbose]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】source-ipsource-ip:显示指定源地址的会话.
source-ip表示源地址,该地址必须是创建会话的报文的源地址.
destination-ipdestination-ip:显示指定目的地址的会话.
destination-ip表示目的地址,该地址必须是创建会话的报文的目的地址.
vpn-instancevpn-name:显示指定目的VPN的会话.
vpn-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
该VPN必须是报文中携带的VPN.
如果不指定该参数,则显示目的IP不属于任何VPN的会话.
slotslot-number:显示指定单板上的NAT会话,slot-number表示单板所在的槽位号.
若不指定该参数,则显示所有单板上的NAT会话(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的NAT会话,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则显示所有成员设备的所有单板上的NAT会话.
(IRF模式)verbose:显示NAT会话的详细信息.
如果不配置则显示会话的概要信息.
【使用指导】如果不指定任何参数,则显示所有的NAT会话.
【举例】#显示1号单板上NAT会话的详细信息.
(独立运行模式)displaynatsessionslot1verboseSlot1:Initiator:SourceIP/port:192.
168.
1.
18/18771-35DestinationIP/port:192.
168.
1.
55/22DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Inboundinterface:GigabitEthernet2/0/1Responder:SourceIP/port:192.
168.
1.
55/22DestinationIP/port:192.
168.
1.
18/1877DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Inboundinterface:GigabitEthernet2/0/2State:TCP_SYN_SENTApplication:SSHStarttime:2014-06-1919:12:36TTL:28sInitiator->Responder:1packets48bytesResponder->Initiator:0packets0bytesTotalsessionsfound:1#显示1号成员设备上1号单板的NAT会话的详细信息.
(IRF模式)displaynatsessionverbosechassis1slot1Slot1inchassis1:Initiator:SourceIP/port:192.
168.
1.
18/1877DestinationIP/port:192.
168.
1.
55/22DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Inboundinterface:GigabitEthernet2/0/1Sourcesecurityzone:SrcZoneResponder:SourceIP/port:192.
168.
1.
55/22DestinationIP/port:192.
168.
1.
18/1877DS-Litetunnelpeer:-VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)Inboundinterface:GigabitEthernet2/0/2Sourcesecurityzone:DestZoneState:TCP_SYN_SENTApplication:SSHStarttime:2014-06-2919:12:36TTL:28sInitiator->Responder:1packets48bytesResponder->Initiator:0packets0bytesTotalsessionsfound:11-36表1-14displaynatsession命令显示信息描述表字段描述Initiator发起方的会话信息Responder响应方的会话信息SourceIP/port源IP地址/端口号DestinationIP/port目的IP地址/端口号DS-LitetunnelpeerDS-Lite隧道对端地址.
会话不属于任何DS-Lite隧道时,本字段显示为"-"VPNinstance/VLANID/VLLID会话所属的MPLSL3VPN/二层转发时会话所属的VLANID/二层转发时会话所属的INLINE.
如果未指定则显示"-/-/-"Protocol传输层协议类型,包括:DCCP、ICMP、RawIP、SCTP、TCP、UDP、UDP-LiteInboundinterface报文的入接口Sourcesecurityzone源安全域,即入接口所属的安全域.
若接口不属于任何安全域,则显示为"-"State会话状态Application应用层协议类型,包括:FTP、DNS等,unknown表示非知名端口对应的协议类型Starttime会话创建时间TTL会话剩余存活时间,单位为秒Initiator->Responder发起方到响应方的报文数、报文字节数Responder->Initiator响应方到发起方的报文数、报文字节数Totalsessionsfound当前查找到的会话表总数【相关命令】resetnatsession1.
1.
17displaynatstaticdisplaynatstatic命令用来显示NAT静态地址转换的配置信息.
【命令】displaynatstatic【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator1-37【举例】#显示NAT静态地址转换的配置信息.
(独立运行模式)displaynatstaticStaticNATmappings:Totally2inboundstaticNATmappings.
Net-to-net:GlobalIP:1.
1.
1.
1-1.
1.
1.
255LocalIP:2.
2.
2.
0Netmask:255.
255.
255.
0GlobalVPN:vpn2LocalVPN:vpn1ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:GlobalIP:5.
5.
5.
5LocalIP:4.
4.
4.
4GlobalVPN:vpn3LocalVPN:vpn4ACL:2001Reversible:YConfigstatus:ActiveTotally2outboundstaticNATmappings.
Net-to-net:LocalIP:1.
1.
1.
1-1.
1.
1.
255GlobalIP:2.
2.
2.
0Netmask:255.
255.
255.
0LocalVPN:vpn1GlobalVPN:vpn2ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:LocalIP:4.
4.
4.
4GlobalIP:5.
5.
5.
5LocalVPN:vpn4GlobalVPN:vpn3ACL::2000Reversible:YConfigstatus:ActiveInterfacesenabledwithstaticNAT:Totally2interfacesenabledwithstaticNAT.
Interface:GigabitEthernet2/0/2Configstatus:Active1-38Interface:GigabitEthernet2/0/3Configstatus:Active#显示NAT静态地址转换的配置信息.
(IRF模式)displaynatstaticStaticNATmappings:Totally2inboundstaticNATmappings.
Net-to-net:GlobalIP:1.
1.
1.
1-1.
1.
1.
255LocalIP:2.
2.
2.
0Netmask:255.
255.
255.
0GlobalVPN:vpn2LocalVPN:vpn1ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:GlobalIP:5.
5.
5.
5LocalIP:4.
4.
4.
4GlobalVPN:vpn3LocalVPN:vpn4ACL:2001Reversible:YConfigstatus:ActiveTotally2outboundstaticNATmappings.
Net-to-net:LocalIP:1.
1.
1.
1-1.
1.
1.
255GlobalIP:2.
2.
2.
0Netmask:255.
255.
255.
0LocalVPN:vpn1GlobalVPN:vpn2ACL:2000Reversible:YConfigstatus:ActiveIP-to-IP:LocalIP:4.
4.
4.
4GlobalIP:5.
5.
5.
5LocalVPN:vpn4GlobalVPN:vpn3ACL::2000Reversible:YConfigstatus:ActiveInterfacesenabledwithstaticNAT:1-39Totally2interfacesenabledwithstaticNAT.
Interface:GigabitEthernet1/3/0/2Configstatus:ActiveInterface:GigabitEthernet1/3/0/3Configstatus:Active表1-15displaynatstatic命令显示信息描述表字段描述StaticNATmappings静态地址转换的配置信息TotallyninboundstaticNATmappings当前存在n条入方向静态地址转换的配置TotallynoutboundstaticNATmappings当前存在n条出方向静态地址转换的配置Net-to-net网段到网段的静态地址转换映射IP-to-IPIP到IP的静态地址转换映射LocalIP内网IP地址或地址范围GlobalIP外网IP地址或地址范围NetmaskIP地址掩码LocalVPN内网地址所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段GlobalVPN外网地址所属的MPLSL3VPN的VPN实例名称.
如果不属于任何VPN,则不显示该字段ACL引用的ACL编号.
如果没有配置,则不显示该字段Reversible是否允许反向地址转换.
若其值为"Y",则表示在某方向上发起的连接已成功建立地址转换表项的情况下,允许反方向发起的连接使用已建立的地址转换表项进行地址转换如果没有配置,则不显示该字段InterfacesenabledwithstaticNAT静态地址转换在接口下的使能情况TotallyninterfacesenabledwithstaticNAT当前有n个接口使能了静态地址转换Interface使能静态地址转换功能的接口Configstatus显示配置的状态Active:生效Inactive:不生效Reasonsforinactivestatus当Configstatus字段为Inactive时,显示配置不生效的原因Thefollowingitemsdon'texistoraren'teffective:localVPN,globalVPN,andACL:配置中内网地址所属的VPN实例、外网地址所属的VPN实例、ACL不存在或不存在NATaddressconflicts:NAT地址冲突1-40【相关命令】natstaticnatstaticnet-to-netnatstaticenable1.
1.
18displaynatstatisticsdisplaynatstatistics命令用来显示NAT统计信息.
【命令】独立运行模式:displaynatstatistics[slotslot-number]IRF模式:displaynatstatistics[chassischassis-numberslotslot-number]【视图】任意视图【缺省用户角色】network-adminnetwork-operatormdc-adminmdc-operator【参数】slotslot-number:显示指定单板上的NAT统计信息,slot-number表示单板所在的槽位号.
若不指定该参数,则显示所有单板上的NAT统计信息.
(独立运行模式)chassischassis-numberslotslot-number:显示指定成员设备的指定单板上的NAT统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号.
若不指定该参数,则显示所有成员设备的所有单板上的NAT统计信息.
(IRF模式)【举例】#显示所有NAT统计信息.
displaynatstatisticsSlot0:Totalsessionentries:100TotalEIMentries:1TotalinboundNO-PATentries:0TotaloutboundNO-PATentries:0Totalstaticportblockentries:10Totaldynamicportblockentries:15Activestaticportblockentries:0Activedynamicportblockentries:01-41表1-16displaynatstatistics命令显示信息描述表字段描述TotalsessionentriesNAT会话表项个数TotalEIMentriesEIM表项个数TotalinboundNO-PATentries入方向的NO-PAT表项个数TotaloutboundNO-PATentries出方向的NO-PAT表项个数Totalstaticportblockentries当前配置创建的静态端口块表项个数Totaldynamicportblockentries当前配置可创建的动态端口块表项个数,即可分配的动态端口块总数,包括已分配的端口块和尚未分配的端口块Activestaticportblockentries当前正在使用的静态端口块表项个数Activedynamicportblockentries当前已创建的动态端口块表项个数,即已分配的动态端口块个数1.
1.
19global-ip-poolglobal-ip-pool命令用来添加一个公网地址成员.
undoglobal-ip-pool命令用来删除一个公网地址成员.
【命令】global-ip-poolstart-addressend-addressundoglobal-ip-poolstart-address【缺省情况】不存在公网地址成员.
【视图】NAT端口块组视图【缺省用户角色】network-adminmdc-admin【参数】start-addressend-address:公网地址成员的起始IP地址和结束IP地址.
end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址.
【使用指导】在NAT444端口块静态映射中,端口基于公网地址成员的IP地址为私网地址成员的IP地址分配端口块.
一个公网IP地址可对应的端口块个数,由端口块组配置的公网地址端口范围和端口块大小决定(端口范围除以端口块大小).
需要注意的是:一个端口块组内,可以配置多个公网地址成员,但各公网地址成员之间的IP地址不能重叠.
1-42不同端口块组间的公网地址成员的IP地址可以重叠,但要保证在有地址重叠时端口范围不重叠.
【举例】#在端口块组1中添加一个公网地址成员,IP地址从202.
10.
1.
1到202.
10.
1.
10.
system-view[Sysname]natport-block-group1[Sysname-nat-port-block-group-1]global-ip-pool202.
10.
1.
1202.
10.
1.
10【相关命令】natport-block-group1.
1.
20insideipinsideip命令用来添加一个内部服务器组成员.
undoinsideip命令用来删除一个内部服务器组成员.
【命令】insideipinside-ipportport-number[weightweight-value]undoinsideipinside-ipportport-number【缺省情况】内部服务器组内没有内部服务器组成员.
【视图】内部服务器组视图【缺省用户角色】network-adminmdc-admin【参数】inside-ip:内部服务器组成员的IP地址.
portport-number:内部服务器组成员提供服务的端口号,取值范围为1~65535(FTP数据端口号20除外).
weightweight-value:内部服务器组成员的权重.
weight-value表示权值,取值范围为1~1000,缺省为100.
【使用指导】内部服务器组成员按照权重比例对外提供服务,权重值越大的内部服务器组成员对外提供服务的比重越大.
【举例】#为内部服务器组1添加一个内部服务器组成员,其IP地址为10.
1.
1.
2,服务端口号为30.
system-view[Sysname]natserver-group1[Sysname-nat-server-group-1]insideip10.
1.
1.
2port301-43【相关命令】natserver-group1.
1.
21local-ip-addresslocal-ip-address命令用来添加一个私网地址成员.
undolocal-ip-address命令用来删除一个私网地址成员.
【命令】local-ip-addressstart-addressend-address[vpn-instancevpn-instance-name]undolocal-ip-addressstart-address[vpn-instancevpn-instance-name]【缺省情况】不存在私网地址成员.
【视图】NAT端口块组视图【缺省用户角色】network-adminmdc-admin【参数】start-addressend-address:私网地址成员的起始IP地址和结束IP地址.
end-address必须大于或等于start-address;如果start-address和end-address相同,则表示只有一个地址.
vpn-instancevpn-instance-name:私网地址成员所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示私网地址成员不属于任何一个VPN.
【使用指导】私网地址成员的IP地址作为端口块的使用者,基于端口块组配置的公网地址成员的IP地址为其分配端口块.
在一个端口块组内,一个私网IP地址只分配一个端口块.
需要注意的是:一个端口块组内,可以配置多个私网地址成员,但各私网地址成员之间的IP地址不能重叠.
不同端口块组间的私网地址成员的IP地址可以重叠.
如果一个端口块组中的私网地址总数超过可分配的端口块总数(端口范围除以端口块大小),则在进行NAT444端口块静态映射时,超出部分的私网地址将无法分配到端口块.
【举例】#在端口块组1中添加一个私网地址成员,IP地址从172.
16.
1.
1到172.
16.
1.
255,所属VPN为vpn1.
system-view[Sysname]natport-block-group1[Sysname-nat-port-block-group-1]local-ip-address172.
16.
1.
1172.
16.
1.
255vpn-instancevpn1【相关命令】natport-block-group1-441.
1.
22nataddress-groupnataddress-group命令用来创建一个地址组,并进入地址组视图.
undonataddress-group命令用来删除指定的地址组.
【命令】nataddress-groupgroup-numberundonataddress-groupgroup-number【缺省情况】不存在地址组.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】group-number:地址组编号,取值范围为0~65535.
【使用指导】一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置.
当需要对数据报文进行动态地址转换时,其源地址将被转换为地址组成员中的某个地址.
【举例】#创建一个地址组,编号为1.
system-view[Sysname]nataddress-group1【相关命令】addressdisplaynataddress-groupdisplaynatallnatinboundnatoutbound1.
1.
23natalgnatalg命令用来开启指定或所有协议类型的NATALG功能.
undonatalg命令用来关闭指定或所有协议类型的NATALG功能.
【命令】natalg{all|dns|ftp|h323|icmp-error|ils|mgcp|nbt|pptp|rsh|rtsp|sccp|sip|sqlnet|tftp|xdmcp}1-45undonatalg{all|dns|ftp|h323|icmp-error|ils|mgcp|nbt|pptp|rsh|rtsp|sccp|sip|sqlnet|tftp|xdmcp}【缺省情况】所有协议类型的NATALG功能均处于开启状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】all:所有可指定的协议的ALG功能.
dns:表示DNS协议的ALG功能.
ftp:表示FTP协议的ALG功能.
h323:表示H323协议的ALG功能.
icmp-error:表示ICMP差错控制报文的ALG功能.
ils:表示ILS(InternetLocatorService,互联网定位服务)协议的ALG功能.
mgcp:表示MGCP(MediaGatewayControlProtocol,媒体网关控制协议)协议的ALG功能.
nbt:表示NBT(NetBIOSoverTCP/IP,基于TCP/IP的网络基本输入输出系统)协议的ALG功能.
pptp:表示PPTP(Point-to-PointTunnelingProtocol,点到点隧道协议)协议的ALG功能.
rsh:表示RSH(RemoteShell,远程外壳)协议的ALG功能.
rtsp:表示RTSP(RealTimeStreamingProtocol,实时流协议)协议的ALG功能.
sccp:表示SCCP(SkinnyClientControlProtocol,瘦小客户端控制协议)协议的ALG功能.
sip:表示SIP(SessionIniationProtocol,会话初始协议)协议的ALG功能.
sqlnet:表示SQLNET协议的ALG功能.
tftp:表示TFTP协议的ALG功能.
xdmcp:表示XDMCP(XDisplayManagerControlProtocol,X显示监控)协议的ALG功能.
【使用指导】ALG(ApplicationLevelGateway,应用层网关)主要完成对应用层报文的解析和处理.
通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理.
然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常.
例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置来完成载荷信息的转换,以保证后续数据连接的正确建立.
【举例】#开启FTP协议的ALG功能.
system-view1-46[Sysname]natalgftp【相关命令】displaynatall1.
1.
24natdns-mapnatdns-map命令用来配置一条域名到内部服务器的映射.
undonatdns-map命令用来删除一条域名到内部服务器的映射.
【命令】natdns-mapdomaindomain-nameprotocolpro-type{interfaceinterface-typeinterface-number|ipglobal-ip}portglobal-portundonatdns-mapdomaindomain-name【缺省情况】不存在域名到内部服务器的映射.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】domaindomain-name:指定内部服务器的合法域名.
domain-name表示内部服务器的域名,由".
"分隔的字符串组成(如aabbcc.
com),每个字符串的长度不超过63个字符,包括".
"在内的总长度不超过253个字符.
不区分大小写,字符串中可以包含字母、数字、"-"、"_"或".
".

protocolpro-type:指定内部服务器的协议类型.
pro-type表示具体的协议类型,取值为tcp或udp.
interfaceinterface-typeinterface-number:表示使用指定接口的地址作为内部服务器的外网地址.
interface-typeinterface-number表示接口类型和接口编号.
ipglobal-ip:指定内部服务器提供给外部网络访问的IP地址.
global-ip表示外网IP地址.
portglobal-port:指定内部服务器提供给外部网络访问的服务端口号,可输入的形式如下:数字:取值范围为1~65535.
协议名称:为1~15个字符的字符串,例如ftp、telnet等.
【使用指导】NAT的DNSmapping功能需要和内部服务器配合使用,主要应用于DNS服务器在外网,应用服务器在内网(在NAT设备上有对应的natserver配置),内网用户需要通过域名访问内网应用服务器的场景.
NAT设备对来自外网的DNS响应报文进行DNSALG处理时,由于载荷中只包含域名和应用服务器的外网IP地址(不包含传输协议类型和端口号),当接口上存在多条NAT服务器配置且使用相同的外网地址而内网地址不同时,DNSALG仅使用IP地址来匹配内部服务器可能会得到错误的匹配结果.
因此需要借助DNSmapping的配置,指定域名与应用服务器的外网IP地址、端口和协议的映射关系,由域名获取应用服务器的外网IP地址、端口和协议,进而(在当前NAT接口上)精确匹配内部服务器配置获取应用服务器的内网IP地址.
1-47设备可支持配置多条域名到内部服务器的映射.
【举例】#某公司内部对外提供Web服务,内部服务器的域名为www.
server.
com,对外的IP地址为202.
112.
0.
1,服务端口号为12345.
配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器.
system-view[Sysname]natdns-mapdomainwww.
server.
comprotocoltcpip202.
112.
0.
1port12345【相关命令】displaynatalldisplaynatdns-mapnatserver1.
1.
25nathairpinenablenathairpinenable命令用来使能NAThairpin功能.
undonathairpinenable用来关闭NAThairpin功能.
【命令】nathairpinenableundonathairpinenable【缺省情况】NAThairpin功能处于关闭状态.
【视图】接口视图【缺省用户角色】network-adminmdc-admin【使用指导】NAThairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求,需要与内部服务器(natserver)、出方向动态地址转换(natoutbound)或出方向静态地址转换(natstaticoutbound)配合工作.
使能NAThairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换.
【举例】#在GigabitEthernet2/0/1接口下开启NAThairpin功能.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]nathairpinenable【相关命令】displaynatall1-481.
1.
26natinboundnatinbound命令用来配置入方向动态地址转换.
undonatinbound命令用来删除指定的入方向动态地址转换.
【命令】natinboundacl-numberaddress-groupgroup-number[vpn-instancevpn-instance-name][no-pat[reversible][add-route]]undonatinboundacl-number【缺省情况】不存在入方向动态地址转换配置.
【视图】接口视图【缺省用户角色】network-adminmdc-admin【参数】acl-number:ACL编号,取值范围为2000~3999.
address-groupgroup-number:指定地址转换使用的地址组.
group-number为地址组编号,取值范围为0~65535.
vpn-instancevpn-instance-name:指定地址组中的地址所属的VPN.
vpn-instance-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示地址组中的地址不属于任何一个VPN.
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息.
如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息.
PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,因此将ICMPID作为ICMP报文的源端口.
reversible:表示允许反向地址转换.
即,在外网用户主动向内网发起连接并成功触发建立地址转换表项的情况下,允许内网向该外网用户发起的连接使用已建立的地址转换表项进行目的地址转换.

add-route:为转换后的地址添加路由表,其目的地址是转换后的地址,出接口为进行地址转换的接口,下一跳为该报文转换前的源地址.
【使用指导】从配置了入方向地址转换的接口接收到的符合ACLpermit规则的报文,会使用地址组group-number中的地址进行源地址转换.
入方向地址转换有两种转换方式:PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2).
NO-PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果用户配置了reversible,则允许内网通过IP2主动访问外网,对于此类访问报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的1-49地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换.
natinbound命令通常与natoutbound、natserver或natstatic配合使用,用于支持在外网侧口上对报文同时进行源和目的转换,即双向NAT.
需要注意的是:一个地址组被natinbound配置引用后,就不能再被natoutbound配置引用.
一个地址组被PAT方式的natinbound配置引用后,不能再被NO-PAT方式的natinbound配置引用,反之亦然.
在一个接口下,一个ACL只能被一个natinbound引用.
add-route参数不能应用在内网与外网地址重叠的组网场景中.
如果指定了add-route参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址;如果没有指定add-route参数,则用户需要在设备上手工添加路由.
由于自动添加路由表项速度较慢,通常建议手工添加路由.
一个接口下可同时配置多条入方向地址转换.
【举例】#配置ACL2001,允许对VPN实例vpn10内10.
110.
10.
0/24网段的主机进行地址转换.
system-view[Sysname]aclnumber2001[Sysname-acl-basic-2001]rulepermitvpn-instancevpn10source10.
110.
10.
00.
0.
0.
255[Sysname-acl-basic-2001]ruledeny[Sysname-acl-basic-2001]quit#配置MPLSL3VPN的VPN实例vpn10.
[Sysname]ipvpn-instancevpn10[Sysname-vpn-instance-vpn10]route-distinguisher100:001[Sysname-vpn-instance-vpn10]vpn-target100:1export-extcommunity[Sysname-vpn-instance-vpn10]vpn-target100:1import-extcommunity[Sysname-vpn-instance-vpn10]quit#配置地址组1,并添加地址组成员:202.
110.
10.
10、202.
110.
10.
11、202.
110.
10.
12.
[Sysname]nataddress-group1[Sysname-nat-address-group-1]address202.
110.
10.
10202.
110.
10.
12#在接口GigabitEthernet2/0/1上配置入方向动态地址转换,使用地址组1中的地址进行地址转换,在转换的时候不使用TCP/UDP的端口信息,且需要添加路由.
[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natinbound2001address-group1vpn-instancevpn10no-patadd-route【相关命令】displaynatalldisplaynatinbounddisplaynatno-pat1-501.
1.
27natlogalarmnatlogalarm命令用来开启NAT444告警信息日志功能.
undonatlogalarm命令用来关闭NAT444告警信息日志功能.
【命令】natlogalarmundonatlogalarm【缺省情况】NAT444告警信息日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】在NAT444地址转换中,如果可为用户分配的公网IP地址、端口块或端口块中的端口都被占用,则该用户的后续连接由于没有可用的资源无法对其进行地址转换,相应的报文将被丢弃.
为了监控公网IP地址和端口块资源的使用情况,可以通过开启NAT444告警信息日志功能来对端口用满和资源用满两种情况记录告警信息日志.
端口用满告警:在私网IP地址对应的端口块中的所有端口都被占用的情况下,输出告警信息日志.
对于端口块动态映射方式,如果配置了增量端口块分配,则当首次分配的端口块中的端口都被占用时,并不输出日志;只有当增量端口块中的端口也都被占用时,才会输出日志.

资源用满告警:在NAT444端口块动态映射中,如果所有资源(公网IP地址、端口块)都被占用,则输出日志.
只有开启NAT日志功能之后,NAT444告警信息日志功能才能生效.
【举例】#开启NAT444告警信息日志功能.
system-view[Sysname]natlogalarm【相关命令】displaynatalldisplaynatlognatlogenable1.
1.
28natlogenablenatlogenable命令用来开启NAT日志功能.
undonatlogenable用来关闭NAT日志功能.
1-51【命令】natlogenable[aclacl-number]undonatlogenable【缺省情况】NAT日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】aclacl-number:指定ACL编号,取值范围为2000~3999.
【使用指导】必须开启NAT日志功能,NAT会话日志功能(包括NAT新建会话、NAT删除会话和NAT活跃流的日志功能)、NAT444用户日志功能(包括NAT444端口块分配和NAT444端口块回收的日志功能)和NAT444告警信息日志功能才能生效.
acl参数只对NAT会话日志功能有效,对其他NAT日志功能无效.
如果指定了ACL,则只有符合ACLpermit规则的数据流才触发输出NAT会话日志;如果没有指定ACL,则表示对所有被NAT处理过的数据流都有可能触发输出NAT会话日志.
【举例】#开启NAT日志功能.
system-view[Sysname]natlogenable【相关命令】displaynatalldisplaynatlognatlogalarmnatlogflow-activenatlogflow-beginnatlogflow-endnatlogport-block-assignnatlogport-block-withdraw1.
1.
29natlogflow-activenatlogflow-active命令用来开启NAT活跃流日志功能,并设置生成活跃流日志的时间间隔.
undonatlogflow-active命令用来关闭NAT活跃流的日志功能.
1-52【命令】natlogflow-activetime-valueundonatlogflow-active【缺省情况】NAT活跃流的日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】time-value:表示触发输出NAT活跃流日志的时间间隔,取值范围为10~120,单位为分钟.
【使用指导】对于一些长时间没有断开的NAT会话(即活跃流),如果需要定期记录其连接情况,则可以通过活跃流日志功能来实现.
开启NAT活跃流日志功能后,对于NAT活跃流,每经过指定的时间间隔,设备就会记录一次NAT日志.
需要注意的是,只有开启NAT日志功能之后,活跃流日志功能才能生效.
【举例】#开启NAT活跃流日志功能,并设置输出NAT活跃流日志的时间间隔为10分钟.
system-view[Sysname]natlogflow-active10【相关命令】displaynatalldisplaynatlognatlogenable1.
1.
30natlogflow-beginnatlogflow-begin命令用来开启NAT新建会话的日志功能,即新建NAT会话时,输出NAT日志.
undonatlogflow-begin命令用来关闭NAT新建会话的日志功能.
【命令】natlogflow-beginundonatlogflow-begin【缺省情况】NAT新建会话的日志功能处于关闭状态.
1-53【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】只有开启NAT日志功能之后,NAT新建会话的日志功能才能生效.
【举例】#开启NAT新建会话的日志功能.
system-view[Sysname]natlogflow-begin【相关命令】displaynatalldisplaynatlognatlogenable1.
1.
31natlogflow-endnatlogflow-end命令用来开启NAT删除会话的日志功能.
undonatlogflow-end命令用来关闭NAT删除会话的日志功能.
【命令】natlogflow-endundonatlogflow-end【缺省情况】NAT删除会话的日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】只有开启NAT日志功能之后,NAT删除会话的日志功能才能生效.
【举例】#开启NAT删除会话的日志功能.
system-view[Sysname]natlogflow-end1-54【相关命令】displaynatalldisplaynatlognatlogenable1.
1.
32natlogport-block-assignnatlogport-block-assign命令用来开启端口块分配的NAT444用户日志功能.
undonatlogport-block-assign命令用来关闭端口块分配的NAT444用户日志功能.
【命令】natlogport-block-assignundonatlogport-block-assign【缺省情况】端口块分配的NAT444用户日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志.
端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时,如果开启了端口块分配的NAT444用户日志功能,则会输出日志.
只有开启NAT日志功能之后,端口块分配的NAT444用户日志功能才能生效.
【举例】#开启端口块分配的NAT444用户日志功能.
system-view[Sysname]natlogport-block-assign【相关命令】displaynatalldisplaynatlognatlogenable1.
1.
33natlogport-block-withdrawnatlogport-block-withdraw命令用来开启端口块回收的NAT444用户日志功能.
undonatlogport-block-withdraw命令用来关闭端口块回收的NAT444用户日志功能.
1-55【命令】natlogport-block-withdrawundonatlogport-block-withdraw【缺省情况】端口块回收的NAT444用户日志功能处于关闭状态.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【使用指导】端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志.
端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时,如果开启了端口块回收的NAT444用户日志功能,则会输出日志.
只有开启NAT日志功能之后,端口块回收的NAT444用户日志功能才能生效.
【举例】#开启端口块回收的NAT444用户日志功能.
system-view[Sysname]natlogport-block-withdraw【相关命令】displaynatalldisplaynatlognatlogenable1.
1.
34natmapping-behaviornatmapping-behavior命令用来配置PAT方式出方向动态地址转换的模式.
undonatmapping-behavior命令用来恢复缺省情况.
【命令】natmapping-behaviorendpoint-independent[aclacl-number]undonatmapping-behaviorendpoint-independent【缺省情况】PAT出方向动态方式地址转换的模式为AddressandPort-DependentMapping.
【视图】系统视图1-56【缺省用户角色】network-adminmdc-admin【参数】aclacl-number:指定ACL编号,用于控制需要遵守指定地址转换模式的报文范围.
acl-number的取值范围为2000~3999.
【使用指导】PAT方式出方向动态地址转换支持两种模式:Endpoint-IndependentMapping(不关心对端地址和端口的转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT网关设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式可以很好的支持位于不同NAT网关之后的主机间进行互访.
AddressandPort-DependentMapping(关心对端地址和端口的转换模式):对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,由于相同的源地址和源端口号不要求被转换为相同的外部地址和端口号,所以通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号.
并且NAT网关设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机.
这种模式安全性好,但是不便于位于不同NAT网关之后的主机间进行互访.
需要注意的是:该配置只对出方向动态地址转换的PAT方式起作用.
入方向动态地址转换的PAT方式的转换模式始终为AddressandPort-DependentMapping.
如果配置了acl参数,则表示只有符合ACLpermit规则的报文才采用Endpoint-IndependentMapping模式进行地址转换;如果没有配置acl参数,则表示所有的报文都采用Endpoint-IndependentMapping模式进行地址转换.
【举例】#对所有报文都以Endpoint-IndependentMapping模式进行地址转换.
system-view[Sysname]natmapping-behaviorendpoint-independent#仅对FTP和HTTP报文才以Endpoint-IndependentMapping模式进行地址转换,其它报文采用AddressandPort-DependentMapping模式进行地址转换.
system-view[Sysname]aclnumber3000[Sysname-acl-adv-3000]rulepermittcpdestination-porteq80[Sysname-acl-adv-3000]rulepermittcpdestination-porteq21[Sysname-acl-adv-3000]quit[Sysname]natmapping-behaviorendpoint-independentacl3000【相关命令】natoutbounddisplaynateim1-571.
1.
35natoutboundnatoutbound命令用来配置出方向动态地址转换.
undonatoutbound命令用来删除指定的出方向动态地址转换.
【缺省情况】不存在动态地址转换配置.
【命令】NO-PAT方式natoutbound[acl-number]address-groupgroup-number[vpn-instancevpn-instance-name]no-pat[reversible]undonatoutbound[acl-number]PAT方式natoutbound[acl-number][address-groupgroup-number][vpn-instancevpn-instance-name][port-preserved]undonatoutbound[acl-number]【视图】接口视图【缺省用户角色】network-adminmdc-admin【参数】acl-number:ACL编号,取值范围为2000~3999.
不指定该参数的情况下,不对转换对象进行限制.
address-groupgroup-number:指定地址转换使用的地址组.
group-number为地址组编号,取值范围为0~65535.
如果不指定该参数,则直接使用该接口的IP地址作为转换后的地址,即实现EasyIP功能.
vpn-instancevpn-instance-name:指定地址组中的地址所属的VPN.
vpn-instance-name表示MPLSL3VPN中的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示地址组中的地址不属于任何一个VPN.
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息;如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息.
PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,因此将ICMPID作为ICMP报文的源端口.
reversible:表示允许反向地址转换.
即,在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换.

port-preserved:PAT方式分配端口时尽量不转换端口.
【使用指导】一般情况下,出方向动态地址转换配置在和外部网络连接的接口上.
动态地址转换有两种转换方式:1-58PAT方式:对于从内网到外网的报文,如果符合ACLpermit规则,则使用地址组中的地址或该接口的地址(EasyIP方式)进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2);如果同时配置了PAT方式下的地址转换模式为EIM(Endpoint-IndependentMapping),则外网可以通过IP2/port2主动访问内网,NAT设备根据EIM表项转换目的地址和端口(IP2/port2转换为IP1/port1).
NO-PAT方式:对于从内网到外网的报文,如果符合ACLpermit规则,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果同时配置了reversible,则允许外网通过IP2主动访问内网,对于此类报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换.
需要注意的是:一个地址组被natoutbound配置引用后,不能再被natinbound引用.
一个地址组被PAT方式的natoutbound配置引用后,不能再被NO-PAT方式的natoutbound配置引用,反之亦然.
在一个接口下,一个ACL只能被一个natoutbound引用.
一个接口下可同时配置多条出方向地址转换.
对于同一接口下的出方向动态地址转换配置,指定了ACL的配置的优先级高于未指定ACL的配置的优先级;对于指定了ACL的出方向动态地址转换配置,其生效优先级由ACL编号的大小决定,编号越大,优先级越高.
如果PAT方式的natoutbound所引用的地址组中配置了端口范围和端口块参数,则将对匹配的报文进行NAT444端口块动态映射.
port-preserved参数对NAT444端口块动态映射无效.
【举例】#配置ACL2001,允许对10.
110.
10.
0/24网段的主机报文进行地址转换.
system-view[Sysname]aclnumber2001[Sysname-acl-basic-2001]rulepermitsource10.
110.
10.
00.
0.
0.
255[Sysname-acl-basic-2001]ruledeny[Sysname-acl-basic-2001]quit#配置地址组1,并添加地址组成员:202.
110.
10.
10、202.
110.
10.
11、202.
110.
10.
12.
[Sysname]nataddress-group1[Sysname-nat-address-group-1]address202.
110.
10.
10202.
110.
10.
12#在接口GigabitEthernet2/0/1上配置出方向动态地址转换,允许对匹配ACL2001的报文使用地址组1中的地址进行地址转换,且在转换的时候使用TCP/UDP的端口信息.
[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natoutbound2001address-group1#如果在接口GigabitEthernet2/0/1上不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natoutbound2001address-group1no-pat1-59#如果直接使用接口GigabitEthernet2/0/1接口的IP地址进行地址转换,可以使用如下的配置.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natoutbound2001#内网10.
110.
10.
0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络.
如果要在内网用户向外网主动发起访问之后,允许外网用户主动向10.
110.
10.
0/24网段的主机发起访问,并利用已建立的地址转换表项进行反向地址转换,可以使用如下配置.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natoutbound2001address-group1no-patreversible【相关命令】displaynateimdisplaynatoutboundnatmapping-behavior1.
1.
36natoutboundport-block-groupnatoutboundport-block-group命令用来配置NAT444端口块静态映射.
undonatoutboundport-block-group命令用来删除指定的NAT444端口块静态映射配置.
【命令】natoutboundport-block-groupgroup-numberundonatoutboundport-block-groupgroup-number【缺省情况】不存在NAT444端口块静态映射配置.
【视图】接口视图【缺省用户角色】network-adminmdc-admin【参数】group-number:端口块组编号,取值范围为0~65535.
【使用指导】该配置在接口下引用指定的端口块组,根据端口块组内的配置数据,按照固定的算法为每个私网IP地址分配一个静态端口块并创建静态端口块表项.
当某私网IP地址向公网发起连接时,通过该私网IP地址查找静态端口块表项,使用表项中记录的公网IP地址进行地址转换,并从对应的端口块中动态分配一个端口进行TCP/UDP端口转换.
一个接口下可以配置多条基于不同端口块组的NAT444端口块静态映射.
【举例】#在接口GigabitEthernet2/0/1的出方向上配置基于端口组1的NAT444端口块静态映射.
1-60system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natoutboundport-block-group1【相关命令】displaynatalldisplaynatoutboundport-block-groupdisplaynatport-blocknatport-block-group1.
1.
37natport-block-groupnatport-block-group命令用来创建一个NAT端口块组,并进入NAT端口块组视图.
undonatport-block-group命令用来删除指定的NAT端口块组.
【命令】natport-block-groupgroup-numberundonatport-block-groupgroup-number【缺省情况】不存在NAT端口块组.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】group-number:NAT端口块组编号,取值范围为0~65535.
【使用指导】创建的NAT端口块组用于配置NAT444端口块静态映射.
一个端口块组中包含如下内容:一个或多个私网地址成员,通过local-ip-address命令配置.
一个或多个公网地址成员,通过global-ip-pool命令配置.
公网地址的端口范围,通过port-range命令配置.
端口块大小,通过block-size命令配置.
在进行NAT444端口块静态映射时,系统根据相应端口块组的配置计算出私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项.
【举例】#创建一个NAT端口块组,编号为1.
system-view[Sysname]natport-block-group1[Sysname-port-block-group-1]1-61【相关命令】block-sizedisplaynatalldisplaynatport-block-groupglobal-ip-poollocal-ip-addressnatoutboundport-block-groupport-range1.
1.
38natservernatserver命令用来配置NAT内部服务器,即定义内部服务器的外网地址和端口与内网地址和端口的映射表项.
undonatserver命令用来删除指定的内部服务器配置.
【命令】(1)普通内部服务器外网地址单一,未使用外网端口或外网端口单一natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}[global-port][vpn-instanceglobal-name]insidelocal-address[local-port][vpn-instancelocal-name][aclacl-number]undonatserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}[global-port][vpn-instanceglobal-name]外网地址单一,外网端口连续natserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}global-port1global-port2[vpn-instanceglobal-name]inside{{local-address|local-address1local-address2}local-port|local-addresslocal-port1local-port2}[vpn-instancelocal-name][aclacl-number]undonatserverprotocolpro-typeglobal{global-address|current-interface|interfaceinterface-typeinterface-number}global-port1global-port2[vpn-instanceglobal-name]外网地址连续,未使用外网端口或外网端口单一natserverprotocolpro-typeglobalglobal-address1global-address2[global-port][vpn-instanceglobal-name]inside{local-address|local-address1local-address2}[local-port][vpn-instancelocal-name][aclacl-number]undonatserverprotocolpro-typeglobalglobal-address1global-address2[global-port][vpn-instanceglobal-name]外网地址连续,外网端口单一natserverprotocolpro-typeglobalglobal-address1global-address2global-port[vpn-instanceglobal-name]insidelocal-addresslocal-port1local-port2[vpn-instancelocal-name][aclacl-number]1-62undonatserverprotocolpro-typeglobalglobal-address1global-address2global-port[vpn-instanceglobal-name](2)负载均衡内部服务器natserverprotocolpro-typeglobal{{global-address|current-interface|interfaceinterface-typeinterface-number}{global-port|global-port1global-port2}|global-address1global-address2global-port}[vpn-instanceglobal-name]insideserver-groupgroup-number[vpn-instancelocal-name][aclacl-number]undonatserverprotocolpro-typeglobal{{global-address|current-interface|interfaceinterface-typeinterface-number}{global-port|global-port1global-port2}|global-address1global-address2global-port}[vpn-instanceglobal-name]【缺省情况】不存在内部服务器.
【视图】接口视图【缺省用户角色】network-adminmdc-admin【参数】protocolpro-type:指定协议类型.
当协议类型不是TCP、UDP协议时,配置的内部服务器不带端口参数.
pro-type可输入以下形式:数字:取值范围为1~255.
协议名称:取值包括icmp、tcp和udp.
global-address:内部服务器向外提供服务时对外公布的外网IP地址.
global-address1、global-address2:外网IP地址范围,所包含的地址数目不能超过256.
global-address1表示起始地址,global-address2表示结束地址.
global-address2必须大于global-address1.
current-interface:使用当前接口的地址作为内部服务器的外网地址,即实现EasyIP方式的内部服务器.
interfaceinterface-typeinterface-number:表示使用指定接口的地址作为内部服务器的外网地址,即实现EasyIP方式的内部服务器.
interface-typeinterface-number表示接口类型和接口编号.
目前只支持Loopback接口.
global-port1、global-port2:外网端口范围,和内部主机的IP地址范围构成一一对应的关系.
global-port1表示起始端口,global-port2表示结束端口.
global-port2必须大于global-port1,且端口范围中的端口数目不能大于256.
外网端口可输入以下形式:数字:取值范围为1~65535.
起始端口和结束端口均支持此形式.
协议名称:为1~15个字符的字符串,例如http、telnet等.
仅起始端口支持该形式.
local-address1、local-address2:定义一组连续的内网IP地址范围,和外网端口范围构成一一对应的关系.
local-address1表示起始地址,local-address2表示结束地址.
local-address2必须大于local-address1.
该地址范围的数量必须和global-port1、global-port2定义的端口数量相同.
1-63local-port:内部服务器的内网端口号,可输入以下形式:数字:取值范围为1~65535(FTP数据端口号20除外).
协议名称:为1~15个字符的字符串,例如http、telnet等.
global-port:外网端口号,缺省值以及取值范围的要求和local-port的规定一致.
local-address:服务器的内网IP地址.
vpn-instanceglobal-name:对外公布的外网地址所属的VPN.
global-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示对外公布的外网地址不属于任何一个VPN.
vpn-instancelocal-name:内部服务器所属的VPN.
local-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示内部服务器不属于任何一个VPN.
server-groupgroup-number:服务器在内网所属的服务器组.
若指定了该参数,则表示要配置一个负载分担内部服务器.
group-number表示内部服务器组编号,取值范围0~65535.
aclacl-number:指定ACL编号,取值范围为2000~3999.
若指定了该参数,则表示与指定的ACLpermit规则匹配的报文才可以使用内部服务器的映射表进行地址转换.
【使用指导】通过该配置可以利用NAT设备将一些内部网络的服务器提供给外部网络使用,例如内部的Web服务器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等.
这些内部服务器可以位于普通的内网内,也可以位于MPLSVPN实例内.
NAT内部服务器通常配置在NAT设备的外网侧接口上.
外网用户可以通过global-address定义的外网地址和global-port定义的外网端口来访问内网地址和内网端口分别为local-address和local-port的内部服务器.
NAT内部服务器支持以下几种内网和外网的地址、端口映射关系.
表1-17NAT内部服务器的地址与端口映射关系外网内网一个外网地址一个内网地址一个外网地址、一个端口号一个内网地址、一个内网端口号一个外网地址,N个连续的外网端口号一个内网地址,一个内网端口N个连续的内网地址,一个内网端口号一个内网地址,N个连续的内网端口号N个连续的外网地址一个内网地址N个连续的内网地址N个连续的外网地址连续,一个外网端口号一个内网地址,一个内网端口号N个连续的内网地址,一个内网端口号一个内网地址,N个连续的内网端口号一个外网地址,一个外网端口号一个内部服务器组一个外网地址,N个连续的外网端口号N个连续的外网地址,一个外网端口号1-64需要注意的是:一个接口下允许配置的natserver命令个数与设备的型号有关.
每个natserver命令下可以配置的NAT内部服务器数目为global-port2与global-port1的差值,即配置多少个外网端口就对应多少个NAT内部服务器.
设备各款型对于一个接口下允许配置的natserver命令个数的支持情况有所不同,详细差异信息如下:型号命令描述SR6602-X单接口下允许配置的natserver命令个数1024SR6604/SR6608/SR66162048SR6604-X/SR6608-X/SR6616-X2048设备支持引用接口地址作为NAT内部服务器的外网地址(EasyIP方式).
如果配置关键字current-interface,表示外网地址使用的是当前接口的当前主地址;如果指定具体的接口,则只能指定Loopback接口,外网地址使用的是配置的Loopback接口的当前主地址.
由于EasyIP方式的NAT内部服务器使用了当前接口或其它接口的IP地址作为它的外网地址,因此强烈建议在配置了EasyIP方式的NAT内部服务器之后,其它NAT内部服务器不要再配置该接口的IP地址作为它的外网地址,反之亦然.
当pro-type不是TCP(协议号为6)或UDP(协议号为17)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号之间的映射.
对于同一个接口下配置的NAT服务器,其协议类型、外网地址和外网端口号的组合必须是唯一的,否则认为是配置冲突.
本规则同样适用于EasyIP方式的NAT服务器,其外网地址为指定接口的IP地址.
对于同一个接口下配置的EasyIP方式的NAT服务器,其协议类型、接口名和外网端口的组合必须是唯一的,否则认为是配置冲突.
对于EasyIP方式的NAT服务器,如果其引用的接口的IP地址发生改变,导致跟现有的其它非EasyIP方式的NAT服务器冲突,则EasyIP方式的NAT服务器配置失效;如果接口地址又修改为不冲突的IP,或者之前与之冲突的NAT服务器被删除,则EasyIP方式的NAT配置重新生效.
【举例】#在接口GigabitEthernet2/0/1上配置NAT内部服务器,指定局域网内部的Web服务器的IP地址是10.
110.
10.
10,希望外部通过http://202.
110.
10.
10:8080可以访问Web服务器.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natserverprotocoltcpglobal202.
110.
10.
108080inside10.
110.
10.
10http#在接口GigabitEthernet2/0/1上配置NAT内部服务器,指定MPLSVPNvrf10内部的FTP服务器的IP地址是10.
110.
10.
11,希望外部通过ftp://202.
110.
10.
10可以访问FTP服务器.
[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natserverprotocoltcpglobal202.
110.
10.
1021inside10.
110.
10.
11vpn-instancevrf101-65#在接口GigabitEthernet2/0/1上配置NAT内部服务器,指定一个VPNvrf10内部的主机10.
110.
10.
12,希望外部网络的主机可以利用ping202.
110.
10.
11命令ping通它.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natserverprotocolicmpglobal202.
110.
10.
11inside10.
110.
10.
12vpn-instancevrf10#在接口GigabitEthernet2/0/1上配置NAT内部服务器,指定一个外部地址202.
110.
10.
10,从端口1001~1100分别映射MPLSVPNvrf10内主机10.
110.
10.
1~10.
110.
10.
100的telnet服务.
202.
110.
10.
10:1001访问10.
110.
10.
1,202.
110.
10:1002访问10.
110.
10.
2,依此类推.
system-view[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natserverprotocoltcpglobal202.
110.
10.
1010011100inside10.
110.
10.
110.
110.
10.
100telnetvpn-instancevrf10【相关命令】displaynatalldisplaynatservernatserver-group1.
1.
39natserver-groupnatserver-group命令用来配置一个内部服务器组.
undonatserver-group命令用来删除指定的内部服务器组.
【命令】natserver-groupgroup-numberundonatserver-groupgroup-number【缺省情况】不存在内部服务器组.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】group-number:服务器组编号,取值范围为0~65535.
【使用指导】一个内部服务器组中可以包括多个内部服务器组成员(通过insideip命令配置).
【举例】#配置一个内部服务器组,编号为1.
system-view[Sysname]natserver-group11-66【相关命令】displaynatalldisplaynatserver-groupinsideipnatserver1.
1.
40natstaticenablenatstaticenable命令用来开启接口上的NAT静态地址转换功能.
undonatstaticenable命令用来关闭接口上的NAT静态地址转换功能.
【命令】natstaticenableundonatstaticenable【缺省情况】NAT静态地址转换功能处于关闭状态.
【视图】接口视图【缺省用户角色】network-adminmdc-admin【使用指导】接口下开启NAT静态地址转换功能后,所有已配置的静态地址转换映射都会在该接口上生效.

【举例】#配置内网IP地址192.
168.
1.
1到外网IP地址2.
2.
2.
2的出方向一对一静态地址转换,并且在接口GigabitEthernet2/0/1上开启静态地址转换功能.
system-view[Sysname]natstaticoutbound192.
168.
1.
12.
2.
2.
2[Sysname]interfacegigabitethernet2/0/1[Sysname-GigabitEthernet2/0/1]natstaticenable【相关命令】displaynatalldisplaynatstaticnatstaticnatstaticnet-to-net1.
1.
41natstaticinboundnatstaticinbound命令用来配置入方向一对一静态地址转换映射.
undonatstaticinbound命令用来删除指定的入方向一对一静态地址转换映射.
1-67【命令】natstaticinboundglobal-ip[vpn-instanceglobal-name]local-ip[vpn-instancelocal-name][aclacl-number[reversible]]undonatstaticinboundglobal-ip[vpn-instanceglobal-name]【缺省情况】不存在任何地址转换映射.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】global-ip:外网IP地址.
vpn-instanceglobal-name:外网IP地址所属的VPN.
global-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示外网IP地址不属于任何一个VPN.
local-ip:内网IP地址.
vpn-instancelocal-name:内网IP地址所属的VPN.
local-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示内网IP地址不属于任何一个VPN.
aclacl-number:ACL编号,取值范围为3000~3999.
本参数用于控制指定源地址的内网主机可以访问外网.
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换.
【使用指导】对于从外网到内网的报文,将其源地址global-ip转换为local-ip;对于从内网到外网的报文,将其目的地址local-ip转换为global-ip.
需要注意的是:如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换.
如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,不能使用该配置进行目的地址转换.
如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从内网主动访问外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换.
1-68如果接口下既配置了NAT动态地址转换,又使能了NAT静态地址转换,则优先使用静态地址转换.
设备可支持配置多条入方向静态地址转换映射(包括natstaticinbound和natstaticinboundnet-to-net).
【举例】#配置外网IP地址2.
2.
2.
2到内网IP地址192.
168.
1.
1的入方向静态地址转换.
system-view[Sysname]natstaticinbound2.
2.
2.
2192.
168.
1.
1【相关命令】displaynatalldisplaynatstaticnatstaticenable1.
1.
42natstaticinboundnet-to-netnatstaticinboundnet-to-net命令用来配置入方向网段到网段的静态地址转换映射.
undonatstaticinboundnet-to-net命令用来删除指定的入方向网段到网段的静态地址转换映射.
【命令】natstaticinboundnet-to-netglobal-start-addressglobal-end-address[vpn-instanceglobal-name]locallocal-network{mask-length|mask}[vpn-instancelocal-name][aclacl-number[reversible]]undonatstaticinboundnet-to-netglobal-start-addressglobal-end-address[vpn-instanceglobal-name]【缺省情况】不存在任何地址转换映射.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】global-start-addressglobal-end-address:外网地址范围,所包含的地址数目不能超过255.
global-start-address表示起始地址,global-end-address表示结束地址.
global-end-address必须大于或等于global-start-address,如果二者相同,则表示只有一个地址.
vpn-instanceglobal-name:外网IP地址所属的VPN.
global-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示外网IP地址不属于任何一个VPN.
local-network:内网网段地址.
mask-length:内网网络地址的掩码长度,取值范围为8~31.
1-69mask:内网网络地址掩码.
vpn-instancelocal-name:内网IP地址所属的VPN.
local-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示内网IP地址不属于任何一个VPN.
aclacl-number:ACL编号,取值范围为3000~3999.
本参数用于控制指定源地址的内网主机可以访问外网.
reversible:表示从内网主动访问外网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换.
【使用指导】外网网段通过起始地址和结束地址来指定,内网网段通过内网地址和掩码来指定.

对于从外网到内网的报文,使用其源地址匹配外网地址,将源地址转换为内网地址;对于从内网到外网的报文,使用其目的地址匹配内网地址,将目的地址转换为外网地址.

需要注意的是:外网结束地址不能大于外网起始地址和内网掩码所决定的网段中的最大IP地址.
比如:内网地址配置为2.
2.
2.
0,掩码为255.
255.
255.
0,外网起始地址为1.
1.
1.
100,则外网结束地址不应该大于1.
1.
1.
0/24网段中可用的最大IP地址,即1.
1.
1.
255.
如果没有指定ACL,则所有从外网到内网的报文都可以使用该配置进行源地址转换;所有从内网到外网的报文都可以使用该配置进行目的地址转换.
如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从外网到内网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从内网到外网的报文,不能使用该配置进行目的地址转换.
如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于外网到内网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从内网到外网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换.
如果接口下既配置了NAT动态地址转换,又使能了NAT静态地址转换,则优先使用静态地址转换.
设备支持配置多条入方向静态地址转换映射(包括natstaticinbound和natstaticinboundnet-to-net).
【举例】#配置外网网段202.
100.
1.
0/24到内网网段192.
168.
1.
0/24的入方向静态地址转换.
system-view[Sysname]natstaticinboundnet-to-net202.
100.
1.
1202.
100.
1.
255local192.
168.
1.
024【相关命令】displaynatalldisplaynatstaticnatstaticenable1-701.
1.
43natstaticoutboundnatstaticoutbound命令用来配置出方向一对一静态地址转换映射.
undonatstaticoutbound命令用来删除出方向一对一静态地址转换映射.
【命令】natstaticoutboundlocal-ip[vpn-instancelocal-name]global-ip[vpn-instanceglobal-name][aclacl-number[reversible]]undonatstaticoutboundlocal-ip[vpn-instancelocal-name]【缺省情况】不存在任何地址转换映射.
【视图】系统视图【缺省用户角色】network-adminmdc-admin【参数】local-ip:内网IP地址.
vpn-instancelocal-name:内网IP地址所属的VPN.
local-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示内网IP地址不属于任何一个VPN.
global-ip:外网IP地址.
vpn-instanceglobal-name:外网IP地址所属的VPN.
global-name表示MPLSL3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写.
如果未指定本参数,则表示外网IP地址不属于任何一个VPN.
aclacl-number:ACL编号,取值范围为3000~3999.
本参数用于控制内网主机可以访问的目的地址.
reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换.
【使用指导】对于从内网到外网的报文,将其源地址local-ip转换为global-ip;对于从外网到内网的报文,将其目的地址global-ip转换为local-ip.
需要注意的是:如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换.
如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换.
如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从外网主动访1-71问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换.
如果接口下既配置了NAT动态地址转换,又使能了NAT静态地址转换,则优先使用静态地址转换.
设备可支持配置多条出方向静态地址转换映射(包括natstaticoutbound和natstaticoutboundnet-to-net).
【举例】#配置内网IP地址192.
168.
1.
1到外网IP地址2.
2.
2.
2的出方向静态地址转换映射.
system-view[Sysname]natstaticoutbound192.
168.
1.
12.
2.
2.
2#配置出方向静态地址转换映射,允许内网用户192.
168.
1.
1访问外网网段3.
3.
3.
0/24时,使用外网IP地址2.
2.
2.
2.
system-view[Sysname]aclnumber3001[Sysname-acl-adv-3001]rulepermitipdestination3.
3.
3.
00.
0.
0.
255[Sysname-acl-adv-3001]quit[Sysname]natstaticoutbound192.
168.
1.
12.
2.
2.
2acl3001【相关命令】displaynatalldisplaynatstaticnatstaticenable1.
1.
44natstaticoutboundnet-to-netnatstaticoutboundnet-to-net命令用来配置出方向网段到网段的静态地址转换映射.
undonatstaticoutboundnet-to-net命令用来删除出方向网段到网段的静态地址转换映射.
【命令】natstaticoutboundnet-to-netlocal-start-addresslocal-end-address[vpn-instancelocal-name]globalglobal-network{mask-length|mask}[vpn-instanceglobal-name][aclacl-number[reversible]]undonatstaticoutboundnet-to-netlocal-start-addresslocal-end-address[vpn-instancelocal-name]【缺省情况】不存在任何地址转换映射.
【视图】系统视图【缺省用户角色】network-adminmdc-admin1-72【参数】local-start-addresslocal-end-address:内网地址范围,所包含的地址数目不能超过255.
local-start-address表示起始地址,local-end-address表示结束地址.
local-end-address必须大于或等于local-start-address,如果二者相同,则表示只有一个地址.
global-network:外网网段地址.
mask-length:外网网络地址的掩码长度,取值范围为8~31.
mask:外网网络地址掩码.
aclacl-number:ACL编号,取值范围为3000~3999.
本参数用于控制内网主机可以访问的目的地址reversible:表示从外网主动访问内网的报文必须通过ACL反向匹配,才能使用该配置进行目的地址转换.
【使用指导】内网网段通过起始地址和结束地址来指定,外网网段通过外网地址和掩码来指定.

对于从内网到外网的报文,使用其源地址匹配内网地址,将源地址转换为外网地址;对于从外网到内网的报文,使用其目的地址匹配外网地址,将目的地址转换为内网地址.

需要注意的是:内网结束地址不能大于内网起始地址和外网掩码所决定的网段中的最大IP地址.
比如:外网地址配置为2.
2.
2.
0,掩码为255.
255.
255.
0,内网起始地址为1.
1.
1.
100,则内网结束地址不应该大于1.
1.
1.
0/24网段中可用的最大IP地址,即1.
1.
1.
255.
如果没有指定ACL,则所有从内网到外网的报文都可以使用该配置进行源地址转换;所有从外网到内网的报文都可以使用该配置进行目的地址转换.
如果仅指定了ACL,没有指定ACL反向匹配(即没有配置reversible),对于从内网到外网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,不能使用该配置进行目的地址转换.
如果既指定了ACL,又指定了ACL反向匹配(即配置了reversible),对于从内网到外网的报文,只有报文符合ACLpermit规则,才能使用该配置进行源地址转换;对于从外网主动访问内网的报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并根据配置转换目的地址,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能使用该配置进行转换,否则不予转换.
如果接口下既配置了NAT动态地址转换,又使能了NAT静态地址转换,则优先使用静态地址转换.
设备可支持配置多条出方向静态地址转换映射(包括natstaticoutbound和natstaticoutboundnet-to-net).
【举例】#配置内网网段192.
168.
1.
0/24到外网网段2.
2.
2.
0/24的出方向静态地址转换映射.
system-view[Sysname]natstaticoutboundnet-to-net192.
168.
1.
1192.
168.
1.
255global2.
2.
2.
024#配置出方向网段到网段的静态地址转换映射,允许内网192.
168.
1.
0/24网段的用户访问外网网段3.
3.
3.
0/24时,使用外网网段2.
2.
2.
0/24中的地址.
system-view1-73[Sysname]aclnumber3001[Sysname-acl-adv-3001]rulepermitipdestination3.
3.
3.
00.
0.
0.
255[Sysname-acl-adv-3001]quit[Sysname]natstaticoutboundnet-to-net192.
168.
1.
1192.
168.
1.
255global2.
2.
2.
024acl3001【相关命令】displaynatalldisplaynatstaticnatstaticenable1.
1.
45port-blockport-block命令用来配置NAT地址组的端口块参数.
undoport-block命令用来删除NAT地址组的端口块参数.
【命令】port-blockblock-sizeblock-size[extended-block-numberextended-block-number]undoport-block【缺省情况】NAT地址组未配置端口块参数.
【视图】NAT地址组视图【缺省用户角色】network-adminmdc-admin【参数】block-sizeblock-size:端口块大小,即一个端口块中所包含的端口数,取值范围为1~65535.
同一NAT地址组内,该参数的值不能超过port-range参数的值.
extended-block-numberextended-block-number:增量端口块数,取值范围为1~5.
当分配端口块中的端口资源耗尽(所有端口都被使用)时,如果对应的私网IP地址向公网发起新的连接,则无法从分配端口块中获取端口.
此时,如果分配端口块的公网IP地址所属的NAT地址组中配置了增量端口块数,则可以为对应的私网IP地址进行增量端口块分配.
一个私网IP地址最多可同时占有1+extended-block-number个端口块.
【使用指导】端口块动态映射方式下,配置出方向地址转换所引用的NAT地址组中必须配置端口块参数.
当某私网IP地址首次向公网发起连接时,从所匹配的NAT地址组中获取一个公网IP地址,从获取的公网IP地址中分配一个动态端口块并创建动态端口块表项(该私网IP地址后续向公网发起连接时,通过私网IP地址查找动态端口块表项),使用公网IP地址进行IP地址转换,并从端口块中动态分配一个端口进行TCP/UDP端口转换.
【举例】#配置NAT地址组2的端口块参数,端口块大小为256,增量端口块数为1.
1-74system-view[Sysname]nataddress-group2[Sysname-nat-address-group-2]port-blockblock-size256extended-block-number1【相关命令】nataddress-group1.
1.
46port-rangeport-range命令用来配置公网IP地址的端口范围.
undoport-range命令用来恢复缺省情况.
【命令】port-rangestart-port-numberend-port-numberundoport-range【缺省情况】公网IP地址的端口范围为1~65535.
【视图】NAT地址组视图/NAT端口块组视图【缺省用户角色】network-adminmdc-admin【参数】start-port-numberend-port-number:公网IP地址端口的起始端口号和结束端口号.
end-port-number必须大于或等于start-port-number.
【使用指导】在NAT地址组(或NAT端口块组)视图下配置端口范围后,该NAT地址组(或NAT端口块组)内的所有公网IP地址可用于地址转换的端口都必须位于所指定的端口范围之内.
在NAT端口块组内配置端口范围时,端口范围不能小于端口块大小.
在NAT地址组内配置端口范围时,如果地址组配置了端口块参数,则端口范围也不能小于端口块大小.