以下内容摘自历史上最全面、最系统的4本大型(平均每本近900页)网络设备新书之一《H3C路由器配置与管理完全手册》 )第2版),其他3本分别为《Cisco交换机配置与管理完全手册》 )第2版)、《Cisco路由器配置与管理完全手册》
在互动出版网上同时购买这4本新书,7折赠送8gu盘(另15G盘)。 单击可查看http://www.China-pub.com/static/ZT _ MB/ZT _ huodong _ 2013 _1. ass filename=2013 _ slwd _ 0801
7.3配置动态NAT地址转换
正如本章前面所述,H3C路由器支持的动态NAT地址转换主要有三种模式: NAPT、NOPAT和EASY IP。 通常,动态地址转换是通过在接口上配置所需的相关ACL和内部全局地址池来实现的,如果由EASY IP配置,则内部网络用户无需配置地址池,而是基于配置了ACL、可选配置的策略但是,请注意,某些H3C设备只需确定从接口消息流出的源地址,就可以实现接口消息的动态地址转换,而不使用ACL。
NOPAT和NAPT的区别在于根据是否同时使用端口信息进行动态地址转换。 NOPAT不使用TCP/UDP端口信息进行的多对多地址转换是纯IP地址转换。 NAPT是使用TCP/UDP端口信息的多对一地址转换,只能转换IP地址或端口,或者同时转换端口和IP地址。 如果直接使用NAT路由器外部网络接口的IP地址作为转换后的内部全局IP地址,则会进入动态NAT地址转换模式,如EASY IP。
在H3C路由器中,NAT地址转换关联一般配置在NAT路由器外部网络接口(外部接口),但在某个内部网主机需要经由多个外部接口接入外部网的情况下由于需要在多个输出接口上放置地址转换关联,使得部署过程变得复杂,H3C路由器提供了内部网络接口)地址关联的部署方案。 这样,在将NAT路由器作为VPN之间相互访问的工具的情况下,在输出端口较多的情况下,通过在访问各专用网络的入口配置地址转换关联来实现结构的简化。 这两种配置方式的特点如下(目前主要在外接口上相关)。
当配置NAT路由器外部网络接口地址关联时,从外部网络接口发送的第一个分组首先通过ACL (或者消息源地址)确定是否可以进行地址转换, 根据关联找出对应的地址池)或接口地址)进行源地址转换,生成地址转换表项,后续数据包直接根据地址转换表项进行转换。
在配置LNAT路由器的内部网络接口地址关联时,从内部网络接口接收到的符合指定ACL的数据包首先被重定向到NAT商务板,然后进行外部网络接口地址的转换但是,这种方式不支持EASY IP特性,因为有多个出口地址。
【注意】与NAT路由器内部网络接口地址相关联的支持情况与设备型号相关,请以设备的实际情况为准。 在输入接口和输出接口的地址关联同时排列的情况下,如果消息与输入接口和输出接口的地址转换关联规则都匹配,则为输出接口规则优先级,即输出接口的地址转换函数
7.2.1nopat的配置
NOPAT动态地址转换模式通过配置ACL与地址池的关联,将与ACL匹配的消息的源IP地址转换为内部全局地址池中的IP地址,但不转换端口。 NOPAT的具体配置步骤如表7-3所示(由于目前主要支持外接口上的NAT地址池关联,因此这里只讨论外接口关联)。 下同)。
表7-3 NOPAT的配置步骤
步骤
命令
说明
步骤1
系统视图
例如:
系统视图
进入系统视图
步骤2
NAT地址组组- numberstart-addressend-address
例如:
[ sysname ] NAT address-group 1202.110.10.10202.110.10.15
定义动态NOPAT地址转换的内部全局地址池。 在NOPAT动态地址转换过程中,NAT路由器从地址池中选择一个IP地址作为转换后的消息源IP地址
步骤3
接口接口-类型接口- number
例如:
[ sysname ]接口串行1/0
键入NAT路由器的外部网络接口,进入接口视图
步骤4
NAT outbound [ ACL-number ] address-group group-numberno-pat [ trackvrrpvirtual-router-id ]
在输出接口上配置访问控制列表和地址池的关联,但不使用端口信息实现NOPAT
本节介绍了上述配置过程的主要命令。
1.NAT地址-组命令
NAT地址-组组- numberstart-addressend-address系统视图命令
用来配置NAT动态地址转换使用的全局地址池。命令中的参数说明如下:lgroup-number,内部全局地址池组索引号,取值范围为0~31。在同一个地址组下可以创建多个地址池,但是要求不仅不同地址池中定义的IP地址段之间不允许重叠,地址组成员的IP地址段也不能与其它地址池或者其它地址组成员的IP地址段重叠。
lstart-address:内部全局地址池的起始IP地址。
lend-address:内部全局地址池的结束IP地址。end-address必须大于或等于start-address,但内部全局地址池中的IP地址数不能超过255个。
内部全局地址池必须是一些连续的IP地址集合。当对需要到达外部网络的数据报文进行地址转换时,其源地址将被转换为地址池中的某个地址。如果start-address和end-address相同,表示只有一个地址。可用undo nat address-groupgroup-number命令删除原来所配置的内部地址池。但是,已经和某个ACL关联的地址池在进行NAT地址转换时是不允许删除的。
以下示例是配置一个从210.110.10.10到210.110.10.20的内部全局地址池,地址池号为1。
system-view
[Sysname] nat address-group1 210.110.10.10 210.110.10.20
2.nat outbound命令
nat outbound[acl-number] [address-groupgroup-number[vpn-instancevpn-instance-name] [no-pat[reversible] ] ] [track vrrpvirtual-router-id]接口视图令用来配置出接口地址关联。命令中的参数和选项说明如下:
lacl-number:可选参数,指定在进行NOPAT地址转换过程中要关联的ACL号,取值范围为2000~3999(即可以是基本ACL,也可以是高级ACL)。如果选择了该参数,则表示将一个ACL和一个内部全局地址池关联起来,符合ACL规则的报文的源IP地址才可以使用全局地址池中的IP地址进行转换;如果不选择此参数,则表示只要出口上报文的源IP地址不是出口的地址,都可以使用地址池中的地址进行地址转换。当ACL规则变为无效时,新连接的NAT会话表项将无法建立,但是已经建立的连接仍然可以继续通信。在一个接口下,一个ACL只能与一个内部全局地址池绑定;但一个内部全局地址池可以与多个ACL绑定。
laddress-groupgroup-number:指定地址转换时要使用的内部全局地址池。如果不指定地址池,则直接使用NAT路由器的出接口IP地址作为转换后的报文源地址,这就相当于采用Easy IP动态NAT地址转换模式了。
lvpn-instancevpn-instance-name:可选参数,指定内部全局地址池中的IP地址所属的VPN实例,表示可以支持VPN之间通过NAT转换进行互访。其中,vpn-instance-name表示VPN实例名,为1~31个字符的字符串,区分大小写。如果不设置该值,表示不支持MPLS VPN多实例。
lno-pat:对于NOPAT地址转换模式来说,此为必选项,指定不使用TCP/UDP端口信息实现多对多的NOPAT地址转换。若不配置该参数,则表示使用TCP/UDP端口信息实现多对一的NAPT地址转换,那就成为了下节将要介绍的NPAT的配置了。
lreversible:可选项,表示允许反向地址转换。即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换(即内部全局地址转换为内部本地地址)。但内网用户主动向外网发起连接并成功触发建立地址转换表项后,外网向该内网用户发起的连接必须与接口上动态地址转换配置使用的地址池所关联的某个ACL匹配才能成功利用已有的地址转换表项进行目的地址转换。
ltrack vrrpvirtual-router-id:可选参数,指定出接口地址转换与VRRP备份组进行关联,作用于整个VRRP备份组。virtual-router-id表示关联的VRRP备份组号,取值范围为1~255。如果未指定本参数,则表示没有进行VRRP备份组关联。
可用undo nat outbound[acl-number] [address-groupgroup-number[vpn-instancevpn-instance-name] [no-pat[reversible] ] ] [track vrrpvirtual-router-id]命令取消与对应出接口的关联。但执行该命令后原来生成的NAT地址映射表项不会被自动删除,需要等待5~10分钟后自动老化。在此期间,使用该NAT地址映射表项的用户不能访问外部网络,但不使用该映射表项的用户不受影响。也可以使用reset nat session命令立即清除所有的NAT地址映射表项,但该命令会导致NAT业务中断,所有用户必须重新发起连接。
另外,可以在同一个NAT路由器出接口上配置不同的地址转换关联,此时要使用对应的undo命令将相应的地址转换关联删除。
以下示例是在外部网络接口Serial1/0上配置允许10.10.10.0/24网段的主机进行NOPAT动态地址转换,NAT地址池的IP地址范围为210.10.10.10~210.10.10.15。
(1)配置与NAT地址池关联的ACL。
system-view
[Sysname] acl number 2001
[Sysname-acl-basic-2001]rule permit source 10.10.10.0 0.0.0.255!---为基本ACL,允许源IP地址在10.10.10.0/24网络中的报文进行NAT地址转换
[Sysname-acl-basic-2001] rule deny!---创建一条规则,禁止其他IP包通过
[Sysname-acl-basic-2001] quit
(2)配置所需的NAT地址池。
[Sysname]nat address-group1 210.10.10.10 210.10.10.15
(3)在外部网络接口Serial1/0上配置进行NOPAT地址转换,使用地址池组1中的地址进行地址转换。
[Sysname] interface serial 1/0
[Sysname-Serial1/0] nat outbound 2001 address-group 1 no-pat
7.2.2配置NAPT
NAPT将在进行NAT地址转换过程中同时转换源IP地址和源端口,这样来自不同内部地址的数据报的目的地址可以映射到同一个外部IP地址,但它们的端口号被转换为该地址的不同端口号。
在NAPT地址转换中,同样可以通过配置ACL和地址池的关联,将与ACL匹配的报文的源地址映射为地址池中的外部IP地址,且同时进行端口转换。具体的配置步骤如表7-4所示。整体配置与上节介绍的NOPAT的配置步骤差不多。
表7-4 NAPT的配置步骤