undo nat dns-map domain domain-name 【视图】
系统视图 【缺省级别】
2:系统级 【参数】
domain domain-name:指定内部服务器的合法域名。其中,domain-name表示内部服务器的域名,为不超过255个字符的字符串,不区分大小写,由一个或者多个label组成,两个label间由\分隔,每个label最长为63个字符,必须由字母或数字开头,由字母或数字结尾,中间字符可以是字母、数字或连字符\。
protocol pro-type:指定内部服务器支持的协议类型。其中,pro-type表示具体的协议类型,取值为tcp或udp。
ip global-ip:指定内部服务器提供给外部网络访问的IP地址。其中,global-ip表示公网IP地址。
port global-port:指定内部服务器提供给外部网络访问的服务端口号。其中,global-port表示服务端口号,取值范围为1~65535。 【描述】
nat dns-map命令用来配置一条域名到内部服务器的映射。undo nat dns-map命令用来删除一条域名到内部服务器的映射。 相关配置可参考命令display nat dns-map。 【举例】
# 某公司内部对外提供Web服务,内部服务器的域名为www.server.com,对外的IP地址为202.112.0.1。配置一条域名到内部服务器的映射,使得公司内部用户可以通过域名访问内部Web服务器。
[Sysname] nat dns-map domain www.server.com protocol tcp ip 202.112.0.1 port www
1.1.11 nat outbound
【命令】
nat outbound [ acl-number ] [ address-group group-number [ no-pat ] ] [ track vrrp virtual-router-id ]
undo nat outbound [ acl-number ] [ address-group group-number [ no-pat ] ] [ track vrrp virtual-router-id ] 【视图】
接口视图
【缺省级别】
2:系统级 【参数】
acl-number:访问控制列表号,取值范围为2000~3999。
address-group group-number:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即Easy IP特性。其中,group-number为一个已经定义的地址池的编号,取值范围为0~255。。
no-pat:表示不使用TCP/UDP端口信息实现多对多地址转换。若不配置该参数,则表示使用TCP/UDP端口信息实现多对一地址转换。
track vrrp virtual-router-id:指定出接口地址转换与VRRP备份组进行关联。其中,virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果不设置该参数,表示没有进行VRRP备份组关联。 【描述】
nat outbound命令用来配置出接口地址关联。若配置了访问控制列表,则表示将一个访问控制列表ACL和一个地址池关联起来,即符合ACL规则的报文的源IP地址可以使用地址池中的地址进行地址转换;若不配置访问控制列表,则表示只要出接口报文的源IP地址不是出接口的地址,就可以使用地址池中的地址进行地址转换。undo nat outbound命令用来取消关联。
如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP特性。 需要注意的是:
?
可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将
相应的地址转换关联删除。该接口一般情况下和外部网络连接,是内部网络的出口。
?
执行undo nat outbound命令后,nat outbound命令生成的NAT地址映射
表项不会被自动删除,这些表项需等待5~10分钟后自动老化。在此期间,使用该NAT地址映射表项的用户不能访问外部网络,但不使用该映射表项的用户不受影响。用户可根据自身网络需求,选择适当的处理方式。
?
当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立支持指定下一跳,当报文查找路由表进行转发时,如果命中指定的下一跳IP
的连接仍然可以继续通信。
?
地址,则将采用配置地址池中的地址进行转换;如果没有命中,则不能进行地址转换。
?
在一个接口下,一个ACL只能与一个地址池绑定;但一个地址池可以与多个请在双机热备组网环境下保证同一个接口下的相同地址池所关联的VRRP组
ACL绑定。
?
相同,否则系统默认该地址池与组号最大的VRRP组进行关联。
某些设备上的关联配置需遵循限制:同一接口下引用的ACL中所定义的规则之间不允许冲突:源IP地址信息、目的IP地址信息完全相同,即认为冲突。对于关联基本ACL(ACL序号为2000~2999)的情况,只要源地址信息相同即认为冲突。
【举例】
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10到202.110.10.12之间的地址作为转换后的地址。假设Ten-GigabitEthernet0/0.1接口连接外部网络。
[Sysname] acl number 2001
[Sysname-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Sysname-acl-basic-2001] rule deny [Sysname-acl-basic-2001] quit
# 配置地址池。
[Sysname] nat address-group 1 202.110.10.10 202.110.10.12
# 允许地址转换,使用地址池1中的地址进行地址转换,在转换的时候使用TCP/UDP的端口信息。
[Sysname] interface Ten-GigabitEthernet0/0.1
[Sysname-Ten-GigabitEthernet0/0.1] nat outbound 2001 address-group 1
# 如果不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
[Sysname] interface Ten-GigabitEthernet0/0.1
[Sysname- Ten-GigabitEthernet0/0.1] nat outbound 2001 address-group 1 no-pat
# 如果直接使用Ten-GigabitEthernet0/0.1接口的IP地址,可以使用如下的配置。
[Sysname] interface Ten-GigabitEthernet0/0.1
[Sysname-Ten-GigabitEthernet0/0.1] nat outbound 2001
1.1.12 nat outbound static
【命令】
nat outbound static [ track vrrp virtual-router-id ] undo nat outbound static [ track vrrp virtual-router-id ] 【视图】
接口视图 【缺省级别】
2:系统级 【参数】
track vrrp virtual-router-id:指定NAT静态转换与VRRP备份组进行关联。其中,virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果不设置该参数,表示没有进行VRRP备份组关联。
【描述】
nat outbound static命令用来使配置的NAT静态转换在接口上生效。undo nat outbound static命令用来取消接口上已经配置的NAT静态转换。 相关配置可参考命令display nat static。 【举例】
# 配置内部私有IP地址192.168.1.1到外部公有IP地址2.2.2.2的一对一转换,并且在Ten-GigabitEthernet0/0.1接口上使能该地址转换。
[Sysname] nat static 192.168.1.1 2.2.2.2
[Sysname] interface Ten-GigabitEthernet0/0.1
[Sysname-Ten-GigabitEthernet0/0.1] nat outbound static
1.1.13 nat server (for normal nat server)
【命令】
nat server protocol pro-type global { global-address | interface interface-type interface-number | current-interface } [ global-port ] inside local-address [ local-port ] [ track vrrp virtual-router-id ]
undo nat server protocol pro-type global { global-address | interface interface-type interface-number | current-interface } [ global-port ] inside local-address [ local-port ] [ track vrrp virtual-router-id ] 【视图】
接口视图 【缺省级别】
2:系统级 【参数】
protocol pro-type:指定支持的协议类型。其中,pro-type表示了具体的协议类型,可以支持TCP、UDP和ICMP协议。当指定为ICMP时,配置的内部服务器不带端口参数。
global-address:提供给外部访问的合法IP地址。
interface:表示使用指定接口的地址作为内部服务器的公网地址,即Easy IP特性。 interface-type interface-number:指定接口类型和接口编号,目前只支持Loopback接口,且Loopback接口必须存在,否则为非法配置。
current-interface:使用当前接口地址作为内部服务器的公网地址。。 local-port:内部服务器提供的服务端口号,取值范围为0~65535。
?
常用的端口号可以用关键字代替。如:Web服务端口为80,可以用www代取值为0,表示任何类型的服务都提供,可以用any关键字代替,相当于
替。FTP服务端口号为21,可以用ftp代替。
?
global-address和local-address之间有一个静态的连接。
global-port:提供给外部访问的服务端口号,取值范围为0~65535,缺省值及关键字的使用和local-port的规定一致。
local-address:服务器在内部局域网的IP地址。
track vrrp virtual-router-id:指定内部服务器与VRRP备份组进行关联。其中,virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果不设置该参数,表示没有进行VRRP备份组关联。 【描述】
nat server命令用来定义一个内部服务器的映射表,用户可以通过global-address定义的地址和global-port定义的端口来访问地址和端口分别为local-address和local-port的内部服务器。undo nat server命令用来取消映射表。 需要注意的是:
?
global-port和local-port只要有一个定义为any,则另一个要么不定义,要么通过该命令可以配置一些内部网络提供给外部使用的服务器,例如Web服务
定义为any,否则是非法配置。
?
器、FTP服务器、Telnet服务器、POP3服务器、DNS服务器等。内部服务器可以位于普通的私网内,也可以位于MPLS VPN实例内。
?
一个接口下最多可以配置4096个内部服务器。系统中最多可以配置1024个配置该命令的接口一般情况下和ISP连接,是内部网络的出口。
目前设备支持引用接口地址作为内部服务器的公网地址(Easy IP特性)。如
内部服务器地址转换命令。
? ?
果配置关键字current-interface表示公网地址使用的是当前接口的当前主地址;如果指定具体的接口,只能指定Loopback接口,公网地址使用的是配置的Loopback接口的当前主地址,且该Loopback接口必须是已存在的。
?
由于Easy IP方式的内部服务器使用了当前接口的IP地址作为它的公网地址,
因此强烈建议在当前接口上配置了Easy IP方式的内部服务器之后,其它内部服务器不要配置该接口的IP地址作为它的公网地址,反之亦然。
?
请在双机热备组网环境下保证同一个接口下的内部服务器的公网地址所关联
的VRRP组相同,否则系统默认该公网地址与组号最大的VRRP组进行关联。 相关配置可参考命令display nat server。
当pro-type不是udp(协议号为17)或tcp(协议号为6)时,用户只能设置内部IP地址与外部IP地址的一一对应的关系,无法设置端口号的映射。
【举例】
# 指定局域网内部的Web服务器的IP地址是10.110.10.10,希望外部通过http://202.110.10.10:8080可以访问Web服务器。假设Ten-GigabitEthernet0/0.1和外部网络连接。