以下內(nèi)容摘自剛剛上市,史上最全面,、最系統(tǒng)的的四本大型(每本平均近900頁)網(wǎng)絡設備新書之一《H3C路由器配置與管理完全手冊》(第二版),,其它三本分別是:《Cisco交換機配置與管理完全手冊》(第二版)、《Cisco路由器配置與管理完全手冊》(第二版)和《H3C交換機配置與管理完全手冊》(第二版),。目前在京東網(wǎng),、當當網(wǎng)上同時購買這四本新書,可直減30元,,點擊查看:http://item.jd.com/11299332.html ,http://book.dangdang.com/20130730_aife 在互動出版網(wǎng)上同時購買這四本新書,,7折并贈送一個8G云U盤(另送15G云空間),點擊查看:http://www./STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801
7.3 配置動態(tài)NAT地址轉換在本章前面已說了,,H3C路由器所支持的動態(tài)NAT地址轉換主要包括:NAPT,、NOPAT、EASY IP這三種模式,。一般情況下,,通過在接口上配置所需關聯(lián)的ACL和內(nèi)部全局地址池(當采用EASY IP進行配置時不用配置址池)即可實現(xiàn)動態(tài)地址轉換,讓內(nèi)部網(wǎng)絡用戶根據(jù)ACL(可選配置)所配置的策略動態(tài)選擇地址池中可用的IP地址進行轉換,。但要注意:有些H3C設備還支持僅僅通過判斷流出接口報文的源地址,,而不使用ACL的方式來實現(xiàn)出接口報文的動態(tài)地址轉換。 NOPAT和NAPT的區(qū)別就是根據(jù)是否同時使用端口信息來進行動態(tài)地址轉換:NOPAT為不使用TCP/UDP端口信息實現(xiàn)的多對多地址轉換是純IP地址的轉換,;NAPT為使用TCP/UDP端口信息實現(xiàn)的多對一地址轉換,,可以是僅IP地址或端口,或者端口與IP地址同時進行的轉換,。若直接使用NAT路由器外部網(wǎng)絡接口的IP地址作為轉換后的內(nèi)部全局IP地址,,則就是EASY IP這種動態(tài)NAT地址轉換模式了。 在H3C路由器中,NAT地址轉換關聯(lián)一般在NAT路由器的外部網(wǎng)絡接口(出接口)上配置,,但是當某內(nèi)網(wǎng)主機需要通過多個出接口訪問外網(wǎng)時,就需要在多個出接口上配置地址轉換關聯(lián),,配置過程就比較復雜了,,所以H3C路由器又提供了內(nèi)部網(wǎng)絡接口(入接口)地址關聯(lián)的配置方案。這樣當NAT路由器作為VPN間互訪的工具時,,在出接口較多的情況下,,通過在接入各私網(wǎng)的入接口上配置地址轉換關聯(lián)達到簡化配置的目的。這兩種配置方式的特點如下(目前主要還是在出接口上關聯(lián)): l 若配置NAT路由器外部網(wǎng)絡接口地址關聯(lián),,那么從外部網(wǎng)絡接口發(fā)送的首個數(shù)據(jù)包會首先由ACL(或報文源地址)進行判定是否允許進行地址轉換,,然后根據(jù)關聯(lián)找到與之對應的地址池(或接口地址)進行源地址轉換,并建立地址轉換表項,,后續(xù)數(shù)據(jù)包直接根據(jù)地址轉換表項進行轉換,。 l 如果配置NAT路由器內(nèi)部網(wǎng)絡接口地址關聯(lián),那么從內(nèi)部網(wǎng)絡接口接收的符合指定ACL的數(shù)據(jù)包首先會被重定向到NAT業(yè)務板,,然后再做與外部網(wǎng)絡接口地址轉換類似的源地址轉換處理,。但該方式下地址轉換不支持EASY IP特性,因為這時出口地址有多個,。 【注意】NAT路由器內(nèi)部網(wǎng)絡接口地址關聯(lián)的支持情況與設備的型號有關,,請以設備的實際情況為準。在同時配置了入接口和出接口地址關聯(lián)的情況下,,若報文同時匹配了入接口和出接口的地址轉換關聯(lián)規(guī)則,,則以出接口規(guī)則優(yōu)先,即只按照出接口地址轉換關聯(lián)進行轉換,。 7.2.1 配置NOPAT NOPAT動態(tài)地址轉換模式是通過配置ACL和地址池的關聯(lián),,將與ACL匹配的報文的源IP地址轉換為內(nèi)部全局地址池中的一個IP地址,但不進行端口轉換,。NOPAT的具體配置步驟如表7-3所示(因為目前主要支持在出接口上關聯(lián)NAT地址池,,故在此僅以出接口關聯(lián)進行介紹,下同),。 表7-3 NOPAT的配置步驟 步驟 | 命令 | 說明 | Step 1 | system-view 例如: <Sysname> system-view | 進入系統(tǒng)視圖 | Step 2 | nat address-group group-number start-address end-address 例如: [Sysname] nat address-group 1 202.110.10.10 202.110.10.15 | 定義一個動態(tài)NOPAT地址轉換的內(nèi)部全局地址池,。在NOPAT的動態(tài)地址轉換過程中,NAT路由器將會從地址池中選擇一個IP地址作為轉換后的報文源IP地址 | Step 3 | interface interface-type interface-number 例如: [Sysname] interface serial 1/0 | 鍵入NAT路由器外部網(wǎng)絡接口,,進入接口視圖 | Step 4 | nat outbound[acl-number] address-groupgroup-numberno-pat [track vrrpvirtual-router-id] | 在出接口配置訪問控制列表和地址池關聯(lián),但不使用端口信息,,實現(xiàn)NOPAT |
下面對以上配置步驟中的一些主要命令進行說明,。 1. nat address-group命令 nat address-group group-numberstart-address end-address系統(tǒng)視圖命令用來配置NAT動態(tài)地址轉換使用的全局地址池。命令中的參數(shù)說明如下: l group-number,,內(nèi)部全局地址池組索引號,取值范圍為0~31,。在同一個地址組下可以創(chuàng)建多個地址池,,但是要求不僅不同地址池中定義的IP地址段之間不允許重疊,,地址組成員的IP地址段也不能與其它地址池或者其它地址組成員的IP地址段重疊,。 l start-address:內(nèi)部全局地址池的起始IP地址。 l end-address:內(nèi)部全局地址池的結束IP地址,。end-address必須大于或等于start-address,,但內(nèi)部全局地址池中的IP地址數(shù)不能超過255個。 內(nèi)部全局地址池必須是一些連續(xù)的IP地址集合,。當對需要到達外部網(wǎng)絡的數(shù)據(jù)報文進行地址轉換時,其源地址將被轉換為地址池中的某個地址,。如果start-address和end-address相同,,表示只有一個地址??捎?/span>undo nat address-group group-number命令刪除原來所配置的內(nèi)部地址池,。但是,已經(jīng)和某個ACL關聯(lián)的地址池在進行NAT地址轉換時是不允許刪除的,。 以下示例是配置一個從210.110.10.10到210.110.10.20的內(nèi)部全局地址池,,地址池號為1。 <Sysname> system-view [Sysname] nat address-group 1 210.110.10.10 210.110.10.20 2. nat outbound命令 nat outbound[acl-number] [address-groupgroup-number[vpn-instancevpn-instance-name] [no-pat[reversible] ] ] [track vrrpvirtual-router-id]接口視圖令用來配置出接口地址關聯(lián),。命令中的參數(shù)和選項說明如下: l acl-number:可選參數(shù),,指定在進行NOPAT地址轉換過程中要關聯(lián)的ACL號,取值范圍為2000~3999(即可以是基本ACL,,也可以是高級ACL),。如果選擇了該參數(shù),則表示將一個ACL和一個內(nèi)部全局地址池關聯(lián)起來,,符合ACL規(guī)則的報文的源IP地址才可以使用全局地址池中的IP地址進行轉換,;如果不選擇此參數(shù),則表示只要出口上報文的源IP地址不是出口的地址,,都可以使用地址池中的地址進行地址轉換,。當ACL規(guī)則變?yōu)闊o效時,新連接的NAT會話表項將無法建立,但是已經(jīng)建立的連接仍然可以繼續(xù)通信,。在一個接口下,,一個ACL只能與一個內(nèi)部全局地址池綁定;但一個內(nèi)部全局地址池可以與多個ACL綁定,。 l address-group group-number:指定地址轉換時要使用的內(nèi)部全局地址池,。如果不指定地址池,則直接使用NAT路由器的出接口IP地址作為轉換后的報文源地址,,這就相當于采用Easy IP動態(tài)NAT地址轉換模式了。 l vpn-instance vpn-instance-name:可選參數(shù),,指定內(nèi)部全局地址池中的IP地址所屬的VPN實例,,表示可以支持VPN之間通過NAT轉換進行互訪。其中,,vpn-instance-name表示VPN實例名,,為1~31個字符的字符串,區(qū)分大小寫,。如果不設置該值,,表示不支持MPLS VPN多實例。 l no-pat:對于NOPAT地址轉換模式來說,,此為必選項,,指定不使用TCP/UDP端口信息實現(xiàn)多對多的NOPAT地址轉換。若不配置該參數(shù),,則表示使用TCP/UDP端口信息實現(xiàn)多對一的NAPT地址轉換,,那就成為了下節(jié)將要介紹的NPAT的配置了。 l reversible:可選項,,表示允許反向地址轉換,。即在內(nèi)網(wǎng)用戶主動向外網(wǎng)發(fā)起連接并成功觸發(fā)建立地址轉換表項的情況下,允許外網(wǎng)向該內(nèi)網(wǎng)用戶發(fā)起的連接使用已建立的地址轉換表項進行目的地址轉換(即內(nèi)部全局地址轉換為內(nèi)部本地地址),。但內(nèi)網(wǎng)用戶主動向外網(wǎng)發(fā)起連接并成功觸發(fā)建立地址轉換表項后,,外網(wǎng)向該內(nèi)網(wǎng)用戶發(fā)起的連接必須與接口上動態(tài)地址轉換配置使用的地址池所關聯(lián)的某個ACL匹配才能成功利用已有的地址轉換表項進行目的地址轉換。 l track vrrp virtual-router-id:可選參數(shù),,指定出接口地址轉換與VRRP備份組進行關聯(lián),,作用于整個VRRP備份組。virtual-router-id表示關聯(lián)的VRRP備份組號,,取值范圍為1~255,。如果未指定本參數(shù),則表示沒有進行VRRP備份組關聯(lián),。 可用undo nat outbound[acl-number] [address-groupgroup-number[vpn-instancevpn-instance-name] [no-pat[reversible] ] ] [track vrrpvirtual-router-id]命令取消與對應出接口的關聯(lián),。但執(zhí)行該命令后原來生成的NAT地址映射表項不會被自動刪除,需要等待5~10分鐘后自動老化。在此期間,,使用該NAT地址映射表項的用戶不能訪問外部網(wǎng)絡,,但不使用該映射表項的用戶不受影響。也可以使用reset nat session命令立即清除所有的NAT地址映射表項,,但該命令會導致NAT業(yè)務中斷,,所有用戶必須重新發(fā)起連接。 另外,,可以在同一個NAT路由器出接口上配置不同的地址轉換關聯(lián),,此時要使用對應的undo命令將相應的地址轉換關聯(lián)刪除。 以下示例是在外部網(wǎng)絡接口Serial1/0上配置允許10.10.10.0/24網(wǎng)段的主機進行NOPAT動態(tài)地址轉換,,NAT地址池的IP地址范圍為210.10.10.10~210.10.10.15,。 (1)配置與NAT地址池關聯(lián)的ACL。 <Sysname> system-view [Sysname] acl number 2001 [Sysname-acl-basic-2001] rule permit source 10.10.10.0 0.0.0.255 !---為基本ACL,,允許源IP地址在10.10.10.0/24網(wǎng)絡中的報文進行NAT地址轉換 [Sysname-acl-basic-2001] rule deny !---創(chuàng)建一條規(guī)則,,禁止其他IP包通過 [Sysname-acl-basic-2001] quit (2)配置所需的NAT地址池。 [Sysname] nat address-group 1 210.10.10.10 210.10.10.15 (3)在外部網(wǎng)絡接口Serial1/0上配置進行NOPAT地址轉換,,使用地址池組1中的地址進行地址轉換,。 [Sysname] interface serial 1/0 [Sysname-Serial1/0] nat outbound 2001 address-group 1 no-pat 7.2.2 配置NAPT NAPT將在進行NAT地址轉換過程中同時轉換源IP地址和源端口,這樣來自不同內(nèi)部地址的數(shù)據(jù)報的目的地址可以映射到同一個外部IP地址,,但它們的端口號被轉換為該地址的不同端口號,。 在NAPT地址轉換中,同樣可以通過配置ACL和地址池的關聯(lián),,將與ACL匹配的報文的源地址映射為地址池中的外部IP地址,,且同時進行端口轉換。具體的配置步驟如表7-4所示,。整體配置與上節(jié)介紹的NOPAT的配置步驟差不多,。 表7-4 NAPT的配置步驟 步驟 | 命令 | 說明 | Step 1 | system-view 例如: <Sysname> system-view | 進入系統(tǒng)視圖 | Step 2 | nat address-group group-number start-address end-address 例如: [Sysname] nat address-group 1 202.110.10.10 202.110.10.15 | 定義一個動態(tài)NAPT地址轉換的內(nèi)部全局地址池。在NAPT動態(tài)地址轉換的過程中,,NAT路由器將會從地址池中選擇一個IP地址做為轉換后的報文源IP地址 | Step 3 | interface interface-type interface-number 例如: [Sysname] interface serial 1/0 | 進入接口視圖,。注意要根據(jù)下面是在出口,還是在入口上配置地址池與ACL的關聯(lián)來確定這里是NAT路由器的出口還是入口 | Step 4 | nat outbound[acl-number] address-groupgroup-number[track vrrpvirtual-router-id] | 鍵入NAT路由器外部網(wǎng)絡接口,,進入接口視圖 | Step 5 | quit | 返回系統(tǒng)視圖 | Step 6 | nat mapping-behaviorendpoint-independent[aclacl-number] | (可選)配置地址轉換模式,。默認情況下,地址轉換模式為Address and Port-Dependent Mapping(關心對端地址和端口轉換模式) |
以上配置步驟中的nat outbound命令在上節(jié)已有介紹,,只是此處不支持no-pat可選項,,因為是要同時進行地址端口轉換的。 nat mapping-behaviorendpoint-independent[aclacl-number]系統(tǒng)視圖命令用來配置NPAT地址轉換模式下的地址轉換模式,。命令中的選項和參數(shù)說明如下: l endpoint-independent:表示采用不關心對端地址和端口的NAT地址轉換模式,。配置該命令后,,只要是來自相同源IP地址和源端口的報文,無論其目的IP地址是否相同都將通過NAPT映射后轉換為同一個外部IP地址和外部端口,,并且NAT網(wǎng)關設備允許外部網(wǎng)絡的主機通過該轉換后的IP地址和端口來訪問這些內(nèi)部網(wǎng)絡的主機,。 【說明】默認情況下都是采用Address and Port-Dependent Mapping(關心對端地址和端口轉換)模式,這樣對于來自相同源IP地址和源端口的報文,,如果其目的IP地址和目的端口不同,,則通過NAPT映射后將被轉換為不同的外部IP地址和外部端口,并且NAT網(wǎng)關設備只允許這些目的IP地址對應的外部網(wǎng)絡的主機才可以通過該轉換后的IP地址和端口來訪問這些內(nèi)部網(wǎng)絡的主機,。 可用undo nat mapping-behaviorendpoint-independent[aclacl-number]命令恢復默認的關心對端地址和端口轉換模式,。 l acl acl-number:可選參數(shù),用于控制需要遵守指定地址轉換模式的報文范圍的ACL,,取值范圍為2000~3999,。配置了ACL后,表示只有符合ACL規(guī)則的報文才采用Endpoint-Independent Mapping模式進行地址轉換,,若不配置ACL,,則表示所有的報文都采用Endpoint-Independent Mapping模式進行地址轉換,。 以下示例是對所有報文都以Endpoint-Independent Mapping模式進行地址轉換,。 <Sysname> system-view [Sysname] nat mapping-behavior endpoint-independent 以下示例是通過高級ACL過濾源報文,僅允許FTP和HTTP通信類報文以Endpoint-Independent Mapping模式進行地址轉換,,其它報文默認采用Address and Port-Dependent Mapping模式進行地址轉換,。 <Sysname> system-view [Sysname] aclnumber 3000 [Sysname-acl-adv-3000] rulepermittcpdestination-porteq 80 [Sysname-acl-adv-3000] rulepermittcpdestination-porteq 21 [Sysname-acl-adv-3000] quit [Sysname] natmapping-behaviorendpoint-independentacl 3000 7.2.3 配置EASY IP Easy IP是指進行地址轉換時直接使用NAT路由器的出口(外部網(wǎng)絡接口)的公有IP地址作為轉換后的源地址,能夠最大程度的節(jié)省IP地址資源,。它同樣也可以利用ACL控制哪些內(nèi)部地址可以進行地址轉換,,但無需配置NAT地址池。具體的配置步驟如表7-5所示,。 表7-5 Easy IP的配置步驟 步驟 | 命令 | 說明 | Step 1 | system-view 例如: <Sysname> system-view | 進入系統(tǒng)視圖 | Step 2 | interface interface-type interface-number 例如: [Sysname] interface serial 1/0 | 進入接口視圖,,僅可以是NAT路由器的出接口 | Step 3 | nat outbound [ acl-number ] 例如: [Sysname-Serial1/0] nat outbound 2001 | 配置ACL和以上出接口地址關聯(lián),實現(xiàn)Easy IP特性 |
【注意】當直接使用NAT路由器出接口地址作為NAT轉換后的外部IP地址時,,如果修改了出接口IP地址,,則應該首先使用reset nat session命令清除原NAT地址映射表項,否則就會出現(xiàn)原有NAT表項不能自動刪除,,也無法使用reset nat session命令刪除的情況,。 以上配置步驟中的nat outbound與在7.2.2節(jié)介紹的該命令功能是一樣的,但此時僅參數(shù)ACL這一個參數(shù),,在此不再贅述,。
|
