H3C路由NAT配置

[H3C路由]H3C路由NAT配置

1. 配置地址池

定义一个地址池

nat address-group start-addr end-addr pool-name

删除一个地址池

undo nat address-group pool-name

每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允

许删除这个地址池的。

2. 配置访问控制列表和地址池关联

增加访问控制列表和地址池关联

nat outbound acl-number address-group pool-name

删除访问控制列表和地址池关联

undo nat outbound acl-number address-group pool-name

缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）

增加访问控制列表和接口关联 nat outbound acl-number interface

删除访问控制列表和接口关联 undo nat outbound acl-number interface

缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器

增加一个内部服务器

nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }

删除一个内部服务器

undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }

需要注意的是：

global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

(1) inside-port 是必须的，可为0 或取值在1～65535 之间的整数。

(2) 若未定义global-port，global-port 的值就等于inside-port 的值。

(3) 在删除某个内部服务器时，若使用global 关键字，还需提供外部地址、端口、

协议信息；若使用了inside 关键字，只需提供内部地址、端口号就可以了。

(4) protocol 目前可为TCP、UDP 和ICMP。

5. 配置地址转换的有效时间

配置地址转换的有效时间

nat aging-time { tcp | udp | icmp | fragbuffer |fragqueue } seconds

恢复地址转换有效时间的缺省值

nat aging-time default

缺省情况下，TCP 地址转换的有效时间为240 秒；UDP 地址转换的有效时间为40

秒；ICMP 地址转换的有效时间为20 秒，分片缓存的有效时间为30 秒。分片队列

的有效时间为30 秒。

6. 配置NAT 分片缓存功能

启动NAT 分片缓存功能 nat fragbuffer enable

禁止NAT 分片缓存功能 undo nat fragbuffer enable

配置NAT 分片缓存最多存储的分片个数 nat fragbuffer length maxlength

恢复NAT 分片缓存最多存储的分片个数的缺省值 undo nat fragbuffer length

7. 配置NAT 对报文的检测方式

配置NAT 对报文的五元组进行检测 nat secure

取消NAT 对报文的五元组进行检测 undo nat secure

缺省情况下NAT 对报文的五元组进行检测。

地址转换的显示和调试

表2-35 NAT 的显示和调试

操作命令

查看地址转换的配置信息 display nat

查看地址转换的状况 display nat [ translations [ global ip-address | inside ip-address ] ]

查看NAT 分片HASH 表内容 display nat fragqueue

显示NAT 分片缓存HASH 表内容。display nat fragbuffer

显示NAT 日志开关状态.。 display userlog nat

清除地址转换映射表（接口视图下） nat reset

打开地址转换的调试信息开关 debugging nat { event

打开NAT 日志开关 userlog nat [ flow-begin

关闭NAT 日志开关 undo userlog nat