20
2024
10
00:00:34

AR100-S, AR110-S, AR120-S, AR150-S, AR160-S, AR200-S, AR1200-S, AR2200-S, AR3200-S V200R010 命令参考

https://support.huawei.com/enterprise/zh/doc/EDOC1100041711/29a820da


NAT配置命令

8FE1GE和24GE单板缺省使能了路由转发功能,当IP报文在LAN板内路由转发时,对收到的报文不会上送CPU,导致VLANIF口配置的NAT业务不生效。

display firewall-nat session aging-time

命令功能

display firewall-nat session aging-time命令用来查看防火墙设备上会话表项或NAT流表项的超时时间。

命令格式

display firewall-nat session aging-time

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用此命令查看防火墙设备上会话表项或NAT流表表项的超时时间。

使用实例

# 查看当前设备上配置的所有会话表项的超时时间。

<Huawei> display firewall-nat session aging-time ---------------------------------------------                                    Protocol timeout:   tcp protocol timeout         : 600   (s)                                         tcp-proxy timeout            : 10    (s)                                         http protocol timeout        : 120   (s)                                         udp protocol timeout         : 120   (s)    icmp protocol timeout        : 20    (s)                                         dns protocol timeout         : 120   (s)                                         ftp protocol timeout         : 120   (s)                                         ftp-data protocol timeout    : 120   (s)                                         rtsp protocol timeout        : 60    (s)                                         rtsp-media protocol timeout  : 120   (s)                                         sip protocol timeout         : 1800  (s)                                         sip-media protocol timeout   : 120   (s)                                       User-define port timeout:   tcp protocol port 10001     : 65535 (s)                                          tcp protocol port 1         : 111   (s)                                          tcp protocol port 4443      : 65535 (s)                                          tcp protocol port 181       : 180   (s)                                          udp protocol port 180       : 180   (s)                                          udp protocol port 182       : 208   (s)            ---------------------------------------------

表8-47  display firewall-nat session aging-time命令输出信息描述

项目

描述

Protocol timeout

各协议会话的超时时间。

tcp protocol timeout

TCP连接的超时时间。单位为秒,缺省值为600。

tcp-proxy timeout

TCP代理的超时时间。单位为秒,缺省值为10。

udp protocol timeout

UDP连接的超时时间。单位为秒,缺省值为120。

icmp protocol timeout

ICMP连接的超时时间。单位为秒,缺省值为20。

dns protocol timeout

DNS协议的超时时间。单位为秒,缺省值为120。

http protocol timeout

HTTP连接的超时时间。单位为秒,缺省值为120。

ftp protocol timeout

FTP控制连接的超时时间。单位为秒,缺省值为120。

ftp-data protocol timeout

FTP数据连接的超时时间。单位为秒,缺省值为120。

sip protocol timeout

SIP协议的超时时间。单位为秒,缺省值为1800。

sip-media protocol timeout

会话发起协议的媒体报文的超时时间。单位为秒,缺省值为120。

rtsp protocol timeout

实时流协议的超时时间。单位为秒,缺省值为60。

rtsp-media protocol timeout

实时流协议的媒体报文的超时时间。单位为秒,缺省值为120。

User-define port timeout

目的端口为自定义端口的连接超时时间。

tcp protocol port port-number

目的端口为TCP协议自定义端口的数据连接超时时间。单位为秒,缺省值为对应协议数据连接超时时间的缺省值。

udp protocol port port-number

目的端口为UDP协议自定义端口的数据连接超时时间。单位为秒,缺省值为对应协议数据连接超时时间的缺省值。

相关主题
firewall-nat session aging-time

display nat address-group

命令功能

display nat address-group命令用来查看NAT地址池的配置信息。

命令格式

display nat address-group [ group-index ] [ verbose ]

参数说明

参数

参数说明

取值

group-index

显示指定NAT地址池索引号信息。

必须是已存在的NAT地址池索引号。

verbose

显示地址池的详细配置信息。

-

视图

所有视图

缺省级别

1 :监控级

使用指南

查看NAT地址池配置是否正确,以及NAT地址池的应用情况。

使用实例

# 查询所有NAT地址池。

<Huawei> display nat address-group NAT Address-Group Information:  --------------------------------------  Index   Start-address      End-address  --------------------------------------  1            10.1.1.1        10.1.1.10  2         10.10.10.10      10.10.10.15  --------------------------------------   Total : 2

# 按照NAT地址池索引查询。

<Huawei> display nat address-group 1   NAT Address-Group Information:  --------------------------------------  Index   Start-address      End-address  --------------------------------------  1            10.1.1.1        10.1.1.10  --------------------------------------   Total : 1

# 查询NAT地址池的详细信息。

<Huawei> display nat address-group 1 verbose NAT Address-Group Information:  -----------------------------------------------------------  Index   Start-address      End-address  Ref-times  Ref-type  -----------------------------------------------------------  1            10.1.1.1        10.1.1.10          0      ----  -----------------------------------------------------------   Total : 1

表8-48  display nat address-group命令输出信息描述

项目

描述

NAT Address-Group Information

NAT地址池信息。

Index

NAT地址池索引。

Start-address

NAT地址池的起始地址。

End-address

NAT地址池的结束地址。

Ref-times

NAT地址池被引用的次数。

Ref-type

NAT地址池被引用的方式。

  • pat:同时转换数据报文的地址和端口信息。

  • no-pat:只转换数据报文的地址而不转换端口信息。

  • ----:没有被引用

Total

NAT地址池的个数。

相关主题
nat address-group

display nat alg


命令功能

display nat alg命令用来查看NAT ALG(Application Level Gateway)的使能情况。

命令格式

display nat alg

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看NAT ALG的使能情况。

<Huawei> display nat alg NAT Application Level Gateway Information:                                       ----------------------------------                                                 Application            Status                                                  ----------------------------------                                                 dns                    Disabled                                                  ftp                    Disabled                                                  rtsp                   Enabled                                                   sip                    Disabled                                                  pptp                   Disabled                                                ----------------------------------

表8-49  display nat alg命令输出信息描述

项目

描述

NAT Application Level Gateway Information

NAT ALG的信息。

Application

应用协议的类型。

Status

应用协议的NAT ALG使能状态。

相关主题
nat alg

display nat sip cac bandwidth information


命令功能

display nat sip cac bandwidth information命令用来在设备上查看当前配置的总带宽及被占用带宽。

命令格式

display nat sip cac bandwidth information [ verbose ]

参数说明

参数

参数说明

取值

verbose

查看当前总带宽及被占用带宽的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看设备上当前总带宽及被占用带宽的详细信息。

<Huawei> display nat sip cac bandwidth information verbose -------------------------------------------------------------------------------  Total Bandwidth(Kbps)       Used Bandwidth(Kbps)                                   3000                        1900                                                  -------------------------------------------------------------------------------  Src-IP          Src-Port Dest-IP         Dest-Port Protocol Used Bandwidth(Kbps) 192.168.0.4     50       1.1.1.1         5060      udp        1900 -------------------------------------------------------------------------------

表8-50  display nat sip cac bandwidth information verbose命令输出信息描述

项目

描述

Total Bandwidth

设备上配置的总带宽,单位是Kbps。

该参数可以通过命令nat sip cac enable配置。

Used Bandwidth

设备上已用带宽,单位是Kbps。

Src-IP

源IP地址,即呼叫方的IP地址。

Src-Port

源端口号,即呼叫方的端口号。

Dest-IP

目的IP地址,即被呼叫方的IP地址。

Dest-Port

目的端口号,即被呼叫方的端口号。

Protocol

SIP呼叫对应的协议,只支持UDP协议。

相关主题
nat algnat sip cac enable

display nat dns-map

命令功能

display nat dns-map命令用来查询配置的NAT DNS Mapping信息。

命令格式

display nat dns-map [ domain-name ]

参数说明

参数

参数说明

取值

domain-name

可被外部DNS服务器正确解析的合法域名。

字符串形式,不支持空格,不区分大小写,长度范围是1~255,不能包含字符:/ : < > @ \ | % ' " 。

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查询所有的NAT DNS Mapping配置信息。

 <Huawei> display nat dns-map   NAT DNS mapping information:   Domain-name : www.huawei.com                                                     Global IP   : gigabitethernet0/0/1 (Real IP : 192.168.4.2)                       Global port : 2                                                                  Protocol    : tcp   Total : 1

表8-51  display nat dns-map命令输出信息描述

项目

描述

NAT DNS mapping information

显示NAT DNS Mapping的信息。

Domain-name

显示域名。

Global IP

显示提供给外部网络访问的IP地址。

Global port

显示提供给外部网络访问的服务的端口号。

Protocol

显示IP协议承载的协议类型。

Total

显示NAT DNS Mapping信息的条数。

相关主题
nat dns-map

display nat filter-mode


命令功能

display nat filter-mode命令用来查看当前NAT的过滤方式。

命令格式

display nat filter-mode

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用该命令可以查看当前NAT的过滤方式,包括:

  • endpoint-independent:与外部地址和端口无关的NAT过滤方式。

  • endpoint-dependent:与外部地址相关,端口无关的NAT过滤方式。

  • endpoint-and-port-dependent:与外部地址和端口都相关的NAT过滤方式。

使用实例

# 查看当前NAT的过滤方式。

<Huawei> display nat filter-mode Nat filter mode is : endpoint-independent

表8-52  display nat filter-mode命令输出信息描述

项目

描述

Nat filter mode is

显示NAT的过滤方式。

相关主题
nat filter-mode

display nat outbound

命令功能

display nat outbound命令用来查看配置的NAT Outbound信息。

命令格式

display nat outbound [ acl acl-number | address-group group-index | interface interface-type interface-number [ .subnumber ] ]

参数说明

参数

参数说明

取值

acl acl-number

显示指定基本或高级ACL号信息。

必须是已存在的ACL编号。

address-group group-index

显示指定地址转换使用的地址池索引信息。

必须是已存在的地址池索引。

interface interface-type interface-number [ .subnumber ]

显示指定查询的接口或者子接口的类型和编号信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查询配置的所有NAT Outbound信息。

<Huawei> display nat outbound  NAT Outbound Information:                                                        --------------------------------------------------------------------------       Interface                     Acl     Address-group/IP/Interface      Type       --------------------------------------------------------------------------       GigabitEthernet0/0/2         2000                              1    no-pat       --------------------------------------------------------------------------        Total : 1

表8-53  display nat outbound命令输出信息描述

项目

描述

Interface

显示接口名称。

Acl

显示应用的基本或高级ACL。

Address-group/IP/Interface

显示地址池索引或IP地址或LoopBack接口。

Type

显示NAT地址转换类型。(如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即Easy IP特性。)

Total

显示NAT Outbound信息的条数。

相关主题
nat outbound

display nat overlap-address

命令功能

display nat overlap-address命令用来查看重叠地址池到临时地址的NAT配置信息。

命令格式

display nat overlap-address { map-index | all | inside-vpn-instance inside-vpn-instance-name }

参数说明

参数

参数说明

取值

map-index

显示指定重叠地址池到临时地址池映射关系索引信息。

必须是已存在的映射关系索引。

all

显示所有重叠地址池配置信息。

-

inside-vpn-instance inside-vpn-instance-name

显示内网VPN实例。

字符串形式,长度范围是1~31。

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 显示所有的重叠地址池配置信息。

<Huawei> display nat overlap-address all Nat Overlap Address Pool To Temp Address Pool Map Information:  -------------------------------------------------------------------------------  Id  Overlap-Address  Temp-Address    Pool-Length         Inside-VPN-Instance-Name  -------------------------------------------------------------------------------  1   10.2.2.2         10.3.10.10         255                           cmml                  -------------------------------------------------------------------------------   Total : 1

表8-54  display nat overlap-address命令输出信息描述

项目

描述

Id

重叠地址池到临时地址池映射关系索引。

Overlap-Address

重叠地址池的起始地址。

Temp-Address

临时地址池的起始地址。

Pool-Length

地址池长度。

Inside-VPN-Instance-Name

内网VPN实例名称。

相关主题
nat overlap-address

display nat server

命令功能

display nat server命令用来查询NAT Server配置信息。

命令格式

display nat server [ global global-address | inside host-address [ vpn-instance vpn-instance-name ] | interface interface-type interface-number [ .subnumber ] | acl acl-number ]

参数说明

参数

参数说明

取值

global global-address

指定NAT server配置的公网地址。

点分十进制格式。

inside host-address

指定NAT server配置的私网地址。

点分十进制格式。

vpn-instance vpn-instance-name

指定VPN实例名称。

字符串形式,长度范围是1~31。

interface interface-type interface-number [ .subnumber ]

指定查询的接口或子接口的类型和编号。

-

acl acl-number

指定访问控制列表的索引值。

整数形式,取值范围是2000~3999。

视图

所有视图

缺省级别

1:监控级

使用指南

通过此查询命令,可以检查NAT server配置是否正确。

使用实例

# 查看所有NAT Server配置。

<Huawei> display nat server     Nat Server Information:                                                            Interface  : GigabitEthernet1/0/0                                            Global IP/Port     : 1.1.1.1/1~2                                                 Inside IP/Port     : 10.10.1.2~10.10.1.3/1                                           Protocol : 6(tcp)                                                                VPN instance-name  : ----                                                        Acl number         : ----                                                        Vrrp id            : ----                                                        Description : ----                                                                                         Total :    1

表8-55  display nat server命令输出信息描述

项目

描述

Nat Server Information

显示NAT Server信息。

Interface

显示接口名称。

Global IP/Port

显示公网地址和服务端口号。

Inside IP/Port

显示私有地址和服务端口号。

Protocol

显示协议号及协议类型。

VPN instance-name

显示VPN实例名称。

Acl number

显示NAT Server中的ACL编号。

Vrrp id

显示VRRP ID。

Description

显示NAT的描述信息。

Total

显示NAT Server的个数。

相关主题
nat server

display nat session

命令功能

display nat session命令用来查看NAT映射表项。

命令格式

display nat session { all [ verbose ] | number }

display nat session protocol { protocol-name | protocol-number } [ source source-address [ source-port ] ] [ destination destination-address [ destination-port ] ] [ verbose ]

display nat session source source-address [ source-port ] [ destination destination-address [ destination-port ] ] [ verbose ]

display nat session destination destination-address [ destination-port ] [ verbose ]

参数说明

参数

参数说明

取值

all

查看所有的NAT映射表项。

-

verbose

查看NAT映射表项的详细信息。

-

number

查看NAT映射表项数目。

-

protocol { protocol-name | protocol-number }

指定协议类型或协议端口号的NAT映射表项。

  • protocol-name的取值包括:icmp、tcp和udp。

  • protocol-number是整数形式,取值范围是1~255。

source source-address [ source-port ]

NAT转换前报文的源IP地址和端口号。

  • source-address:点分十进制格式。

  • source-port:整数形式,取值范围是1~65535。

destination destination-address [ destination-port ]

NAT转换前报文的目的IP地址和端口号。

  • destination-address:点分十进制格式。

  • destination-port:整数形式,取值范围是1~65535。

视图

所有视图

缺省级别

1:监控级

使用指南

该命令用来查看设备上的NAT映射表项,可以查看所有的映射表项,也可以根据关键字查看指定的映射表项。NAT映射表项的创建是通过动态报文触发的,如果设备上没有动态报文,则没有任何映射表项。

使用实例

# 查看所有NAT映射表项的详细信息。

<Huawei> display nat session all verbose   NAT Session Table Information:      Protocol          : TCP(6)      SrcAddr  Port Vpn : 10.200.200.200 65532      DestAddr Port Vpn : 10.100.100.100 1024      Time To Live      : 60 s      NAT-Info        New SrcAddr     : 10.10.10.10        New SrcPort     : 10240        New DestAddr    : 10.30.30.30        New DestPort    : 21      Protocol          : UDP(6)      SrcAddr  Port Vpn : 10.200.200.200 65532      DestAddr Port Vpn : 10.100.100.100 1024      Time To Live      : 60 s      NAT-Info        New SrcAddr     : 10.10.10.10        New SrcPort     : 10240        New DestAddr    : 10.30.30.3        New DestPort    : 21   Total : 2

表8-56  display nat session all verbose命令输出信息描述

项目

描述

NAT Session Table Information

显示NAT映射表项的信息。

Protocol

显示协议类型。

SrcAddr Port Vpn

显示转换前源地址、服务端口号和VPN实例名称。

DestAddr Port Vpn

显示转换前目的地址、服务端口号和VPN实例名称。

Time To Live

显示生存周期。

NAT-Info

显示NAT信息。

New SrcAddr

显示转换后的源地址。

New SrcPort

显示转换后的源端口号。

New DestAddr

显示转换后的目的地址。

New DestPort

显示转换后的目的端口号。

Total

显示NAT映射表项的个数。

display nat static

命令功能

display nat static命令用来查看静态NAT配置信息。

命令格式

display nat static [ global global-address | inside host-address [ vpn-instance vpn-instance-name ] | interface interface-type interface-number [ .subnumber ] acl acl-number ]

参数说明

参数

参数说明

取值

global global-address

Static NAT配置的公网地址。

点分十进制格式。

inside host-address

Static NAT配置的私网地址。

点分十进制格式。

vpn-instance vpn-instance-name

VPN实例名称。

字符串形式,长度范围是1~31。

interface interface-type interface-number [ .subnumber ]

接口或子接口的类型和编号。

-

acl acl-number

指定访问控制列表的索引值。

整数形式,取值范围是2000~3999。

视图

所有视图

缺省级别

1 :监控级

使用指南

在配置了静态NAT之后,查看静态NAT的配置信息。

使用实例

# 查看全局下的静态NAT配置信息。

<Huawei> display nat static   Static Nat Information:                                                          Interface  : GigabitEthernet1/0/0                                              Global IP/Port     : 1.1.1.1/1~2                                                Inside IP/Port     : 10.2.2.2~10.2.2.3/2                                         Protocol : 6(tcp)                                                                VPN instance-name  : ----                                                        Acl number         : ----                                                        Vrrp id            : ----                                                        Netmask  : 255.255.255.255                                                       Description : ----                                                                                                                                       Total :    1

表8-57  display nat static命令输出信息描述

项目

描述

Static Nat Information

显示Static NAT的信息。

Interface

显示接口名称。

Global IP/Port

显示公网地址和服务端口号。

Inside IP/Port

显示私有地址和服务端口号。

Protocol

显示协议号及协议类型。

VPN instance-name

显示VPN实例名称。

Acl number

显示Static NAT中的ACL编号。

Vrrp id

显示VRRP ID。

Netmask

显示网络掩码。

Description

显示NAT的描述信息。

Total

显示Static NAT的个数。

相关主题
nat static(接口视图)

display nat static interface enable

命令功能

display nat static interface enable命令用来查看使能静态NAT功能的接口。

命令格式

display nat static interface enable

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使用实例

# 查看使能静态NAT功能的接口。

<Huawei> display nat static interface enable  Static Nat  enable  Information :                                              ------------------------------------------------                                  interface Vlanif300                                                 ------------------------------------------------                                   Total : 1

表8-58  display nat static interface enable命令输出信息描述

项目

描述

Static Nat enable Information

显示使能静态NAT功能的接口。

Total

显示使能静态NAT功能的接口数目。

相关主题
nat static enable

display nat mapping-mode

命令功能

display nat mapping-mode命令用来查看NAT映射模式。

命令格式

display nat mapping-mode

参数说明

视图

所有视图

缺省级别

1 :监控级

使用指南

在配置了NAT映射之后,查看配置的映射信息,例如,可以查看以下映射模式:

  • TCP报文的外部地址无关的映射。

  • UDP报文的外部地址无关的映射。

  • TCP、UDP报文的外部地址无关的映射。

使用实例

# 查看NAT的映射信息。

<Huawei> display nat mapping-mode   NAT Mapping Mode Information:  ----------------------------------------------------------- nat mapping-mode endpoint-independent tcp -----------------------------------------------------------   Total : 1

表8-59  display nat mapping-mode命令输出信息描述

项目

描述

NAT Mapping Mode Information

显示NAT的映射模式。

Total

显示NAT的映射模式的条数。

相关主题
nat mapping-mode

display nat mapping table

命令功能

display nat mapping table命令用来查看NAT映射表所有表项信息或个数。

命令格式

display nat mapping table { all | number }

display nat mapping table inside-address ip-address protocol protocol-name port port-number vpn-instance vpn-instance-name ]

参数说明

参数

参数说明

取值

all

查看NAT映射表中所有表项信息。

-

number

查看NAT映射表个数。

-

inside-address ip-address

指定服务器的内部IP地址。

点分十进制格式。

protocol protocol-name

指定协议类型。

取值包括:tcp和udp。

port port-number

指定协议的端口号。

整数形式,取值范围是1~65535。

vpn-instance vpn-instance-name

指定VPN实例名称。

字符串形式,长度范围是1~31。

视图

所有视图

缺省级别

1:监控级

使用指南

该命令可以查看NAT映射表中所有表项信息或映射表个数,也可以根据关键字查看映射表中单条信息。

使用实例

# 查看NAT映射表个数。

<Huawei> display nat mapping table number  The total number of NAT dynamic mapping tables is: 1

# 查看NAT映射表所有表项信息。

<Huawei> display nat mapping table all  NAT Dynamic Mapping Table Information:    Protocol             : UDP(17)    InsideAddr  Port Vpn : 192.168.1.121   555       GlobalAddr  Port     : 1.1.1.1         10491    Protocol             : UDP(17)    InsideAddr  Port Vpn : 192.168.1.119   555       GlobalAddr  Port     : 2.2.2.2         23099   Total : 2

表8-60  display nat mapping table命令输出信息描述

项目

描述

The total number of NAT dynamic mapping tables is

NAT映射表的个数。

NAT Dynamic Mapping Table Information

NAT映射表的信息。

Protocol

应用协议的类型。

InsideAddr Port Vpn

NAT映射表的内网IP地址、端口和VPN实例名称。说明:

如果没有设置VPN,则不显示VPN实例名称。

GlobalAddr Port

NAT映射表映射的公网IP地址和端口。

Total

NAT映射表的个数。

firewall-nat session aging-time

命令功能

firewall-nat session aging-time命令用来配置各种会话表项的超时时间。

undo firewall-nat session aging-time命令用来恢复各种会话表项的超时时间为缺省值。

命令格式

firewall-nat session { { dns | ftp | ftp-data | http | icmp | tcp | tcp-proxy | udp | sip | sip-media | rtsp | rtsp-media | pptp | pptp-data } | { tcp | udp } user-define port-number } aging-time time-value

undo firewall-nat session { { all | dns | ftp | ftp-data | http | icmp | tcp | tcp-proxy | udpsip | sip-media | rtsp | rtsp-media | pptp | pptp-data } | { tcp | udp } user-define port-number } aging-time

参数说明

参数

参数说明

取值

dns

指定DNS会话的超时时间。

-

ftp

指定FTP控制连接的超时时间。

-

ftp-data

指定FTP数据连接的超时时间。

-

http

指定HTTP连接的超时时间。

-

icmp

指定ICMP连接的超时时间。

-

tcp

指定TCP连接的超时时间。

-

tcp-proxy

指定TCP代理的超时时间。

-

udp

指定UDP连接的超时时间。

-

sip

指定SIP(会话发起协议)的超时时间。

-

sip-media

指定会话发起协议的媒体报文的超时时间。

-

rtsp

指定RTSP(实时流协议)的超时时间。

-

rtsp-media

指定实时流协议的媒体报文的超时时间。

-

pptp

指定PPTP控制连接的超时时间。

-

pptp-data

指定PPTP数据连接的超时时间。

-

all

将上述所有类型会话表项的有效时间恢复为缺省值。

-

user-define port-number

指定TCP或UDP协议自定义端口号,配置目的端口为该端口的所有数据连接的超时时间。

说明:

该参数只支持NAT,不支持防火墙。

整数形式,取值范围是1~65535。

aging-time time-value

指定各种会话表项的超时时间值。

整数式,取值范围是1~65535,单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

执行firewall-nat session aging-time命令可以针对不同的协议或端口设定不同的会话超时时间,若在设定的时间内未使用该会话表项,该会话将失效。比如,某个IP地址为10.110.10.10的用户利用端口2000进行了一次对外的TCP连接,如果在会话超时时间内它一直未再使用这个TCP连接,系统将删除此连接。

端口的会话缺省超时时间与对应协议会话的超时时间相同。各协议会话的缺省超时时间如下。

协议

缺省超时时间

tcp

单位为秒,缺省值为600。

tcp-proxy

单位为秒,缺省值为10。

udp

单位为秒,缺省值为120。

icmp

单位为秒,缺省值为20。

dns

单位为秒,缺省值为120。

http

单位为秒,缺省值为120。

ftp

单位为秒,缺省值为120。

ftp-data

单位为秒,缺省值为120。

sip

单位为秒,缺省值为1800。

sip-media

单位为秒,缺省值为120。

rtsp

单位为秒,缺省值为60。

rtsp-media

单位为秒,缺省值为120。

pptp

单位为秒,缺省值为600。

pptp-data

单位为秒,缺省值为600。

配置目的端口为某自定义端口的所有会话的超时时间时,不能指定端口为以上协议的默认端口。

注意事项

针对某些应用(如语音业务),请尽量增大TCP/UDP超时时间,以防止业务中断。

设备最多支持配置24个端口的会话超时时间。

使用实例

# 配置DNS会话的超时时间为60秒。

<Huawei> system-view [Huawei] firewall-nat session dns aging-time 60

相关主题
display firewall-nat session aging-time

nat address-group

命令功能

nat address-group命令用来配置NAT地址池。

undo nat address-group命令用来删除NAT地址池。

缺省情况下,系统未配置NAT地址池。

命令格式

nat address-group group-index start-address end-address

undo nat address-group group-index

参数说明

参数

参数说明

取值

group-index

指定NAT地址池索引号。

整数形式,其中:
  • AR100-S、AR110-S、AR120-S、AR150-S、AR160-S、AR200-S和AR1200-S系列取值范围是0~7。

  • AR2201-48FE-S、AR2204-27GE-S的取值范围是0~7。

  • AR2204-S、AR2220-S和AR2240-S的取值范围是0~255。

  • AR3200-S系列的取值范围是0~255。

start-address

指定地址池的起始地址。

点分十进制格式。

end-address

指定地址池的结束地址。

点分十进制格式。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

地址池是一些连续的IP地址集合,当内部数据报文通过地址转换到达外部网络时,其源地址将被地址池转换为其他地址。

注意事项

地址池的起始地址必须小于等于结束地址,且起始地址到结束地址之间的地址个数不能大于255。

使用实例

# 配置一个从10.110.10.10到10.110.10.15的地址池,地址池索引号为1。

<Huawei> system-view [Huawei] nat address-group 1 10.110.10.10 10.110.10.15

相关主题
display nat address-group

nat alg


命令功能

nat alg命令用来使能应用协议的NAT ALG功能。

undo nat alg命令用来关闭应用协议的NAT ALG功能。

缺省情况下,NAT ALG处于未使能状态。

命令格式

nat alg { all | protocol-name } enable

undo nat alg { all | protocol-name } enable

参数说明

参数

参数说明

取值

all

使能DNS、FTP、SIP、PPTP及RTSP协议的NAT ALG功能。

-

protocol-name

使能指定协议的NAT ALG功能。

取值包括:dns、ftp、sip、pptp和rtsp。

视图

系统视图

缺省级别

2:配置级

使用指南

在使能某应用协议的NAT ALG功能后,该应用协议可以正常穿越NAT,否则该应用协议不能正常工作。

使用实例

# 使能FTP协议的NAT ALG功能。

<Huawei> system-view [Huawei] nat alg ftp enable

# 关闭FTP协议的NAT ALG功能。

<Huawei> system-view [Huawei] undo nat alg ftp enable

相关主题
display nat mapping-mode

nat sip cac enable


命令功能

nat sip cac enable命令用来使能呼叫会话控制CAC(Call Admission Control)功能并配置设备的总带宽值,对SIP呼叫进行带宽限制处理。

undo nat sip cac enable命令用来去使能CAC功能并取消配置设备的总带宽值,对SIP呼叫不进行带宽限制处理。

缺省情况下,设备上配置的带宽限定值为0,不进行带宽限制处理。

命令格式

nat sip cac enable bandwidth { bandwidth-value | percent value interface interface-type interface-number [ .subnumber ] }

undo nat sip cac enable

参数说明

参数

参数说明

取值

bandwidth bandwidth-value

指定设备上的总带宽值。

整数形式,取值范围是1~4294967295,单位是kbit/s。

percent value

指定设备上的总带宽值为SIP呼叫出接口上带宽的百分比。

整数形式,取值范围是1~100。

interface interface-type interface-number [ .subnumber ]

指定SIP呼叫出接口的接口类型和接口编号。其中:

  • interface-type表示接口类型。

  • interface-number [ .subnumber ]表示接口编号。

-

视图

系统视图

缺省级别

2:配置级

使用指南

针对SIP Server在公网侧,私网的SIP Phone和公网的SIP Phone互通的场景,如果设备上的带宽不够,为了不影响通话质量,我们可以在NAT设备上使能呼叫会话控制CAC(Call Admission Control)功能并配置总带宽,对SIP呼叫进行带宽限制,超过指定带宽的SIP呼叫将被拒绝,无法呼叫成功。

使用实例

# 配置设备的总带宽值为2000kbit/s,对呼叫进行带宽限制处理。

<Huawei> system-view [Huawei] nat sip cac enable bandwidth 2000

# 配置设备的总带宽值为GE1/0/0接口带宽的10%,对呼叫进行带宽限制处理。

<Huawei> system-view [Huawei] nat sip cac enable bandwidth percent 10 interface gigabitethernet 1/0/0

相关主题
display nat sip cac bandwidth information

nat dns-map

命令功能

nat dns-map命令用来配置一条域名到外部IP地址、端口号、协议类型的映射。

undo nat dns-map命令用来删除一条域名到外部IP地址、端口号、协议类型的映射。

缺省情况下,系统未配置域名到外部IP地址、端口号、协议类型的映射。

命令格式

nat dns-map domain-name { global-address | interface interface-type interface-number [ .subnumber ] } global-port protocol-name

undo nat dns-map domain-name { global-address | interface interface-type interface-number [ .subnumber ] } global-port protocol-name

参数说明

参数

参数说明

取值

domain-name

可被外部DNS服务器正确解析的合法域名。

字符串形式,不支持空格,不区分大小写,长度范围是1~255。各级域名以.分隔,每级域名不超过63字符,总长度不超过255字符。不能含有/ < > : @ \ | % ' "字符。

global-address

提供给外部网络访问的IP地址(一个合法的IP地址)。

点分十进制格式。

interface interface-type interface-number [ .subnumber ]

指定接口或子接口的类型和接口编号。

-

global-port

提供给外部网络访问的服务的端口号。

整数形式,取值范围是1~65535。

protocol-name

表示IP协议承载的协议类型。

取值范围包括:tcp和udp。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

用于配置内部服务器的“域名-外部IP地址、端口、协议类型”的映射,使内部主机在内部无DNS服务器的情况下,可以使用不同的域名区别并访问对应的内部服务器。

缺省情况下,未配置此类映射,此时内部主机的域名请求被外部DNS服务器解析得到外部IP地址后,只能映射到一台内部服务器上,无法实现内部主机使用不同的域名区别并访问其对应的内部服务器的功能。

后续任务

在执行该命令后,需要执行命令nat alg dns enable,使能DNS的NAT ALG功能。否则DNS报文不能正常穿越NAT,内部主机无法使用外网DNS服务器的解析结果访问内部服务器。

使用实例

# 配置一条域名到外部IP地址、端口号、协议类型的映射。

<Huawei> system-view [Huawei] nat dns-map www.test.com 10.1.1.1 2012 tcp

相关主题
display nat dns-map

nat filter-mode


命令功能

nat filter-mode命令用来配置NAT过滤方式。

缺省情况下,NAT过滤方式为endpoint-and-port-dependent

命令格式

nat filter-mode { endpoint-dependent endpoint-independent | endpoint-and-port-dependent }

参数说明

参数

参数说明

取值

endpoint-dependent

与外部地址相关,端口无关的NAT过滤方式。

-

endpoint-independent

与外部地址和端口无关的NAT过滤方式。

-

endpoint-and-port-dependent

与外部地址和端口都相关的NAT过滤方式。

-

视图

系统视图

缺省级别

2:配置级

使用指南

实现NAT过滤方式可以满足使用STUN、TURN等NAT穿越技术的终端软件能够穿越NAT。

外网访问内网时设备做目的NAT:

  • 如果配置与外部地址和端口无关的NAT过滤方式,则只以“目的IP+目的端口+协议号”为Key查询反向映射表,如果查询到相应的匹配条目,则生成反向流表,流表的目的地址和端口替换为相应内网的IP和端口号。

  • 如果配置与外部地址相关、端口无关的NAT过滤方式,则以“源IP+目的IP+目的端口+协议号”为Key查询反向映射表,如果查询到相应的匹配条目,则生成反向流表,流表替换动作按照映射表中的条目进行替换。

  • 如果配置与外部地址和端口都相关的NAT过滤方式,则以“源IP+源端口+目的IP+目的端口+协议号”为key查询反向映射表,如果查询到相应的匹配条目,则生成反向流表,流表替换动作按照映射表中的条目进行替换。

只有当前没有NAT业务流量时才可以修改NAT过滤方式。

使用实例

# 配置NAT过滤方式为与外部地址和端口无关。

<Huawei> system-view [Huawei] nat filter-mode endpoint-independent

相关主题
display nat filter-mode

nat inside priority enable

命令功能

nat inside priority enable命令用来使能NAT业务优先于路由业务功能。

undo nat inside priority enable命令用来去使能NAT业务优先功能,恢复为路由业务优先。

缺省情况下,系统默认为路由业务优先。

命令格式

nat inside priority enable

undo nat inside priority enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

执行本命令,可以控制进入设备的流量,是先进行NAT还是先进行路由转发,该功能常用于多链路上行的场景。例如,双上行链路场景,用户在主设备的接口视图下执行nat static命令,或者在系统视图下执行nat static命令,配置一条公网IP地址到私网IP地址的静态映射关系后,会生成一条UNR路由。同时,又在系统视图下执行ip route-static命令,配置一条从该公网IP地址到该私网IP地址的静态路由。用户希望通过上述配置,达到对进入设备的流量既做NAT,又进行路由备份的目的。由于静态路由的优先级高于NAT生成的UNR路由,所以后配置的静态路由会覆盖NAT生成的UNR路由,设备无法同时实现NAT和路由备份功能。此时,可以执行nat inside priority enable命令,使能NAT业务优先于路由业务功能,对进入设备的流量先做NAT,然后再进行路由转发。

前置条件

执行本命令前需要先配置私网IP地址到公网IP地址的静态映射关系。NAT中有两种方式配置私网IP地址到公网IP地址的静态映射关系,具体配置如下:

使用实例

# 使能NAT业务优先于路由业务功能。

<Huawei> system-view [Huawei] nat inside priority enable

相关主题
nat static(接口视图)nat static(系统视图)nat static enableip route-static

nat log-format elog


命令功能

nat log-format elog命令用来将NAT日志设置为elog格式,输出日志为elog服务器规定的可以对接的格式。

undo nat log-format elog命令用来将当前NAT日志格式由elog切换为普通格式。

缺省情况下,NAT日志格式为普通格式。

命令格式

nat log-format elog

undo nat log-format elog

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

当设备与elog日志服务器对接的场景下,设备需要向elog日志服务器发送符合指定格式的日志报文,就可以达成对接的目标。用户通过本命令来设置日志的格式类型,分别为普通格式和elog格式。

使用实例

# 将NAT流日志设置为elog格式。

<Huawei> system-view [Huawei] nat log-format elog

# 将NAT流日志设置为普通格式。

<Huawei> system-view [Huawei] undo nat log-format elog

相关主题
firewall log session nat enable

nat miss forward deny

命令功能

nat miss forward deny命令用来使能设备丢弃与NAT绑定的ACL规则不匹配的报文功能。

undo nat miss forward deny命令用来去使能设备丢弃与NAT绑定的ACL规则不匹配的报文功能。

缺省情况下,设备丢弃与NAT绑定的ACL规则不匹配的报文功能处于未使能状态。

命令格式

nat miss forward deny

undo nat miss forward deny

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

将访问控制列表和地址池关联后,对于匹配ACL规则的数据报文会进行地址转换;对于不匹配ACL规则的数据报文,可以执行nat miss forward deny命令,使能设备丢弃与NAT绑定的ACL规则不匹配的报文功能,丢弃不匹配的报文。

配置该命令之后,如果Session流表超规格,报文也会被丢弃掉。

使用实例

# 使能设备丢弃与NAT绑定的ACL规则不匹配的报文功能。

<Huawei> system-view [Huawei] nat miss forward deny

nat outbound

命令功能

nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示ACL中规定的地址可以使用地址池进行地址转换。

undo nat outbound命令用来删除相应的地址转换。

缺省情况下,系统未配置地址转换规则。

命令格式

nat outbound acl-number address-group group-index [ no-pat ]vrrp vrrpid ]

undo nat outbound acl-number address-group group-index [ no-pat ]vrrp vrrpid ]

参数说明

参数

参数说明

取值

acl-number

指定访问控制列表的索引值。

整数形式,取值范围是2000~3999。

address-group group-index

表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即Easy IP特性。

整数形式,其中:
  • AR100-S、AR110-S、AR120-S、AR150-S、AR160-S、AR200-S和AR1200-S系列取值范围是0~7。

  • AR2201-48FE-S、AR2204-27GE-S的取值范围是0~7。

  • AR2204-S、AR2220-S和AR2240-S的取值范围是0~255。

  • AR3200-S系列的取值范围是0~255。

no-pat

表示使用一对一的地址转换,只转换数据报文的地址而不转换端口信息。

-

vrrp vrrpid

指定VRRP ID。

整数形式,取值范围是1~255。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

通过配置访问控制列表和地址池的关联,将符合ACL规则的数据报文的源IP地址进行地址转换。其中,源IP地址可以使用地址池中的地址进行转换。

可以在同一个接口上配置不同的地址转换关联。该接口一般情况应该是和ISP连接,是内部网络的出口。

该命令只能在设备的三层接口下配置,不包括Loopback接口、Tunnel-Template接口和NULL接口。

使用实例

# 选用1.1.1.1到1.1.1.3之间的地址作为NAT转换地址池1,配置10.110.10.0/24网段的主机使用地址池1的地址进行多对1的地址转换(使用TCP/UDP的端口信息)。

<Huawei> system-view [Huawei] acl number 2001 [Huawei-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Huawei-acl-basic-2001] quit [Huawei] nat address-group 1 1.1.1.1 1.1.1.3 [Huawei] interface gigabitethernet 1/0/0  [Huawei-GigabitEthernet1/0/0] nat outbound 2001 address-group 1

相关主题
display nat outbound

nat outbound (Easy-IP)

命令功能

nat outbound命令用来配置Easy-IP地址转换。

undo nat outbound命令用来删除相应的地址转换。

缺省情况下,系统未配置Easy-IP地址转换。

命令格式

nat outbound acl-number interface interface-type interface-number [ .subnumber ] ] vrrp vrrpid ]

undo nat outbound acl-number interface interface-type interface-number [ .subnumber ] ]vrrp vrrpid ]

参数说明

参数

参数说明

取值

acl-number

指定访问控制列表的索引值。

整数形式,取值范围是2000~3999。

interface interface-type interface-number [ .subnumber ]

指定接口或子接口的地址作为转换后的地址。

-

vrrp vrrpid

指定VRRP ID。

整数形式,取值范围是1~255。

视图

接口视图

缺省级别

2:配置级

使用指南

Easy-IP特性指直接使用接口的IP地址作为NAT转换后的地址。

该命令只能在设备的三层接口下配置,不包括Loopback接口、Tunnel-Template接口和NULL接口。

该命令在同一接口下仅支持配置一条。

使用实例

# 配置使用接口的IP地址做NAT转换。

<Huawei> system-view [Huawei] acl number 2001 [Huawei-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Huawei-acl-basic-2001] quit [Huawei] interface gigabitethernet 1/0/0  [Huawei-GigabitEthernet1/0/0] nat outbound 2001

相关主题
display nat outbound

nat overlap-address

命令功能

nat overlap-address命令用来配置一个重叠地址池到一个临时地址池的映射。

undo nat overlap-address命令用来取消已配置的映射。

缺省情况下,系统未配置重叠地址池到临时地址池的映射。

命令格式

nat overlap-address map-index overlappool-startaddress temppool-startaddress pool-length length [ inside-vpn-instance inside-vpn-instance-name ]

undo nat overlap-address { map-index | all | inside-vpn-instance inside-vpn-instance-name }

参数说明

参数

参数说明

取值

map-index

重叠地址池到临时地址池映射关系索引。

整数形式,
  • AR120-S、AR150-S、AR160-S、AR200-S和AR1200-S系列取值范围是0~7。

  • AR2201-48FE-S和AR2204-S取值范围是0~7。

  • AR2220-S和AR2240-S的取值范围是0~15。

  • AR3200-S系列的取值范围是0~15。

overlappool-startaddress

重叠地址池起始地址,各重叠地址池的地址不能有交集。

点分十进制形式。

temppool-startaddress

临时地址池起始地址,各临时地址池的地址不能有交集。

点分十进制形式。

pool-length length

地址池长度。相互关联的重叠地址池与临时地址池长度相等,地址一一对应。

整数形式,取值范围是1~255。

all

所有重叠地址池配置信息。

-

inside-vpn-instance inside-vpn-instance-name

指定内网VPN实例。

字符串形式,长度范围是1~31。

视图

系统视图

缺省级别

2:配置级

使用指南

当内部网络主机地址与公网上主机地址重叠时,需要配置重叠地址池到临时地址池的映射关系。用户通过配置重叠地址池到临时地址池的映射关系(在实现常规NAT的基础上),将外网到内网的重叠地址转换为唯一的临时地址,来保证报文的正确转发,同时用户还需要配置常规的NAT outbound,实现双向NAT的功能。

使用实例

# 配置一个地址池长度为255,重叠地址池所属VPN名字为huawei,其起始地址为10.10.10.1 到临时地址池起始地址为10.100.100.1的映射关系,映射关系索引为1。

<Huawei> system-view [Huawei] ip vpn-instance huawei   [Huawei-vpn-instance-huawei] route-distinguisher 200:1 [Huawei-vpn-instance-huawei-af-ipv4]  quit [Huawei-vpn-instance-huawei] quit [Huawei] nat overlap-address 1 10.10.10.1 10.100.100.1 pool-length 255 inside-vpn-instance huawei

相关主题
display nat overlap-address

nat server

命令功能

nat server命令用来定义一个内部服务器的映射表,外部用户可以通过地址和端口转换来访问内部服务器的某项服务。

undo nat server命令用来取消映射表。

缺省情况下,系统未配置内部服务器的映射表。

命令格式

nat server protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port global-port2 ] [ vrrp vrrpid ] inside host-address host-address2 ] host-port ] [ vpn-instance vpn-instance-name ] [ acl acl-number ] [ description description ]

nat server [ protocol { protocol-number | icmp | tcp | udp } ] global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } vrrp vrrpid ] inside host-address [ vpn-instance vpn-instance-name ] [ acl acl-number ] [ description description ]

undo nat server protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port global-port2 ] [ vrrp vrrpid ] inside host-address host-address2 ] [ host-port ] [ vpn-instance vpn-instance-name ]

undo nat server [ protocol { protocol-number | icmp | tcp | udp } ] global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } vrrp vrrpid ] inside host-address [ vpn-instance vpn-instance-name ]

参数说明

参数

参数说明

取值

protocol

指定协议类型。

-

protocol-number

协议号。

整数形式,取值范围是1~255。

global

设置服务器外部信息。

-

icmp

服务器通讯采用ICMP协议。

-

tcp

服务器通讯采用TCP协议。

-

udp

服务器通讯采用UDP协议。

-

global-address

提供给外部访问的IP地址(一个合法的IP地址)。

点分十进制格式。

inside

设置服务器的内部信息。

-

host-address

服务器的内部IP地址。

点分十进制格式。

host-address2

私网结束地址。

点分十进制格式。

global-port

提供给外部访问的服务的端口号。常用的端口号可以用关键字代替,例如FTP服务端口号为21,同时可以使用ftp代替。如果不配置此参数,则表示是any的情况,即端口号为零,任何类型的服务都提供。

整数形式,取值范围是0~65535。

global-port2

公网结束端口。常用的端口号可以用关键字代替,例如FTP服务端口号为21,同时可以使用ftp代替。如果不配置此参数,则表示是any的情况,即端口号为零,任何类型的服务都提供。

整数形式,取值范围是0~65535。

host-port

服务器提供的服务端口号。如果不配置此参数,则和global-port端口号一致。

整数形式,取值范围是0~65535。

vpn-instance vpn-instance-name

指定私网侧VPN实例名称。

字符串形式,长度范围是1~31。

vrrp vrrpid

指定VRRP ID。

当VRRP备份组的设备都配置了NAT地址池后,可能出现两台设备都对报文做NAT转换,导致冲突。配置vrrp vrrpid可以选择指定Master设备做NAT转换,有效避免冲突。

整数形式,取值范围是1~255。

acl acl-number

指定访问控制列表的索引值。

整数形式,取值范围是2000~3999。

description description

指定NAT的描述信息。

字符串形式,支持空格,区分大小写,长度为1~255。

current-interface

指定global地址为当前的接口地址。

-

interface interface-type interface-number [ .subnumber ]

指定global地址为对应接口的IP地址。

-

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

配置内部服务器可以使外部网络主动访问私网中的服务器。当外部网络向内部服务器的外部地址(global-address)发起连接请求时,NAT将该请求的目的地址替换为私网地址(inside-address)后,转发给私网内的服务器。

可以通过配置ACL规则特定用户可以访问内部服务器。

  • 该命令只能在设备的三层接口下配置,不包括Loopback接口、Tunnel-Template接口和NULL接口。

  • 配置NAT Server映射时,其中的global-addresshost-address必须保证和设备现有地址没有重复,包括设备接口地址、用户地址池地址等,以避免冲突。

  • 如果使用接口地址作为内网服务器地址,可以使用current-interface,也可以指定实际存在的loopback接口地址作为内网服务器地址。

  • 在设备上执行undo nat server命令,设备上的映射表项不会立刻消失,需要手动执行reset nat session命令来清除表项信息。

  • NAT Server和静态NAT的区别就是NAT Server对于内网主动访问外网的情况不做端口替换,仅作地址替换。

  • 当配置借用接口地址的1:1 NAT Server(不指定端口号,接口地址对应一个私网地址)时,可能会造成在该接口地址上启用的其他业务无法正常使用,请谨慎选择,如果确定在该接口地址上启用其他应用,请在配置后面增加ACL排除启用应用的端口号。

注意事项

指定的端口号global-porthost-port不能被其他应用程序所占用,否则,配置不生效。

当选择参数global-port2配置一组公网端口号时,必须同时选择host-address2配置一组私网地址,且端口号的数量需要跟私网地址的数量相同。

在公网口配置此命令时,如果需要将内部服务器的内网地址映射为公网口地址,需要配置参数current-interface指定global地址为当前接口地址。

配置参数vrrp vrrpid时,配置nat server命令所在的接口需支持VRRP功能。

命令中指定的vpn-instance-name是私网侧VPN实例,对global-address不起作用。接口下执行命令ip binding vpn-instance vpn-instance-name绑定的是公网侧VPN实例。

使用实例

# 添加一个NAT Server,将TCP协议的公网1.1.1.1地址转换为内网的192.168.0.1。

<Huawei> system-view [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 1.1.1.1 inside 192.168.0.1

# 在公网接口Gigabitethernet 0/0/1上配置NAT Server,将内网服务器内网IP192.168.20.2的TCP 8080端口映射为Gigabitethernet 0/0/1接口IP地址的8080端口。

<Huawei> system-view [Huawei] interface gigabitethernet 0/0/1 [Huawei-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 192.168.20.2 8080

# 添加一个NAT Server,将TCP协议的公网1.1.1.1地址转换为内网的192.168.0.1,仅允许公网地址为2.2.2.2的用户有权限通过地址1.1.1.1访问该内网服务器。

<Huawei> system-view [Huawei] acl 2001 [Huawei-acl-basic-2001] rule 5 permit source 2.2.2.2 0 [Huawei-acl-basic-2001] quit [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 1.1.1.1 inside 192.168.0.1 acl 2001

相关主题
display nat serverreset nat session

nat session limit

命令功能

nat session limit命令用来配置用户可使用的NAT映射表项的限制个数。

undo nat session limit命令用来取消配置的用户可使用的NAT映射表项的限制个数。

缺省情况下,系统未配置用户可使用的NAT映射表项的限制个数。

仅V200R010C10及之后版本支持该命令。

命令格式

nat session limit limit-number per-ip [ acl acl-number ]

undo nat session limit

参数说明

参数

参数说明

取值

limit-number

指定用户可使用的NAT映射表项的限制个数。

整数形式,取值范围是1~65535。

per-ip

指定基于用户的源IP地址来限制NAT映射表项个数。

-

acl acl-number

指定访问控制列表的索引值。

整数形式,取值范围是2000~3999。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在实际网络中,由于网络环境的复杂,有一些网络终端由于受到网络攻击,会占用设备大量的NAT映射表项。设备的NAT映射表项资源一旦被耗尽,其他终端会因为分配不到NAT映射表项,而无法上网。此时,可以执行该命令,配置用户可使用的NAT映射表项的限制个数。当设备统计到该用户实际建立的NAT映射表项个数已经超过配置的限制数,将不会再建立新的NAT映射表项,从而限制该用户的访问。

注意事项

  • 该命令不能和防火墙、IPS和SAC等其他建立流表的功能一起使用,否则可能会不生效。

  • 如果配置了ACL,ACL的规则更新不影响已配置的NAT映射表项的限制数。

  • 如果配置了ACL,且ACL的规则为deny时,不对NAT映射表项的个数进行限制。

  • 在配置该命令之前,设备上已经建立的流表不在NAT映射表项的统计范围之内。

  • 执行主备倒换之后,设备会清空倒换之前已统计的NAT映射表项个数,重新统计。

使用实例

# 配置用户每个源IP地址可使用的NAT映射表项的限制个数为2000。

<Huawei> system-view [Huawei] nat session limit 2000 per-ip

nat static(接口视图)

命令功能

nat static命令用来配置私网IP地址和公网IP地址的静态映射关系。

undo nat static命令用来删除私网IP地址和公网IP地址的静态映射关系。

缺省情况下,未配置私网IP地址和公网IP地址的静态映射关系。

命令格式

nat static protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port global-port2 ] [ vrrp vrrpid ] inside host-address host-address2 ] host-port ] [ vpn-instance vpn-instance-name ] [ netmask mask ] [ acl acl-number ] global-to-inside | inside-to-global ] description description ]

nat static [ protocol { protocol-number | icmp | tcp | udp } ] global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } vrrp vrrpid ] inside host-address [ vpn-instance vpn-instance-name ] [ netmask mask ] [ acl acl-number ] global-to-inside | inside-to-global ] description description ]

nat static protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port global-port2 [ vrrp vrrpid ] inside host-address host-port host-port2 [ vpn-instance vpn-instance-name ] [ netmask mask ] [ acl acl-number ] [ description description ]

undo nat static protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port global-port2 ] [ vrrp vrrpid ] inside host-address host-address2 ] [ host-port ] [ vpn-instance vpn-instance-name ] [ netmask mask ] [ global-to-inside | inside-to-global ]

undo nat static [ protocol { protocol-number | icmp | tcp | udp } ] global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } vrrp vrrpid ] inside host-address [ vpn-instance vpn-instance-name ] [ netmask mask ] [ global-to-inside | inside-to-global ]

undo nat static protocol { tcp | udp } global { global-address | current-interface | interface interface-type interface-number [ .subnumber ] } global-port global-port2 [ vrrp vrrpid ] inside host-address host-port host-port2 [ vpn-instance vpn-instance-name ] [ netmask mask ]

参数说明

参数

参数说明

取值

protocol

指定协议。

-

protocol-number

指定协议号。

整数形式,取值范围是1~255。

icmp

指定对ICMP协议报文进行地址转换。

-

tcp

指定对TCP协议报文进行地址转换。

-

udp

指定对UDP协议报文进行地址转换。

-

global

设置NAT的公网信息。

-

global-address

指定NAT的公网IP地址。

点分十进制格式。

global-port

指定提供给外部访问的服务的端口号。

如果不配置此参数,则表示是any的情况,即端口号为零,任何类型的服务都提供。

整数形式,取值范围是0~65535。

global-port2

指定公网结束端口。

配置该参数时表示转换一段连续的端口,如果不配置此参数,则表示仅转换global-port端口。

整数形式,取值范围是0~65535。

inside

设置NAT的私网信息。

-

host-address

指定NAT的私网IP地址。

点分十进制格式。

host-address2

指定私网结束地址。

配置该参数时表示转换一段连续的私网IP地址,如果不配置此参数,则表示仅转换host-address一个私网IP地址。

点分十进制格式

host-port

指定私网设备提供的服务端口号。

如果不配置此参数,则和global-port端口号一致。

整数形式,取值范围是0~65535。

host-port2

指定私网结束端口号。

整数形式,取值范围是0~65535。

vpn-instance vpn-instance-name

指定私网侧VPN实例名称。

必须是已存在的VPN实例名称。

vrrp vrrpid

指定VRRP ID。

整数形式,取值范围是1~255。

netmask mask

指定静态NAT网络掩码。

取值范围是255.255.255.0~255.255.255.255。

acl acl-number

指定访问控制列表的索引值。

可以利用ACL控制地址转换的使用范围,只有满足ACL规则的数据报文才可以进行地址转换。

整数形式,取值范围是2000~3999。

global-to-inside

指定公网到私网方向的静态NAT。

如果不配置单向静态NAT,则两个方向都进行转换。

-

inside-to-global

指定私网到公网方向的静态NAT。

如果不配置单向静态NAT,则两个方向都进行转换。

-

description description

指定NAT的描述信息。

字符串格式,长度为1~255。支持空格,区分大小写,字符串中不能包含?。

current-interface

指定global地址为当前的接口地址。

-

interface interface-type interface-number [ .subnumber ]

指定global地址为接口或子接口的地址。其中:
  • interface-type:代表指定接口的接口类型。

  • interface-number [ .subnumber ]:代表指定接口或子接口的接口编号。

-

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当私网内设备允许公网设备通过固定IP地址访问时,例如:私网中的服务器对公网设备提供服务,公网设备可以通过某一固定公网IP地址访问到该私网服务器。此时可以配置静态NAT,将该私网设备的私网IP地址和指定的公网IP地址进行转换。

当一个私网服务器需要对多个公网网段提供服务时,出于安全考虑,该内网服务器地址需要表现为多个公网地址。由于静态NAT一般是双向转换,私网服务器访问公网时,无法通过静态NAT转换为多个公网地址。此时可以配置单向的静态NAT,公网访问私网服务器时,通过单向静态NAT将多个公网地址转换为该私网服务器的私网地址,私网服务器访问公网时,通过NAT outbound进行转换。

静态NAT还支持网段对网段的地址转换,即在指定私网范围内的IP地址和指定的公网范围内的IP地址进行互相转换。

注意事项

在设备上执行undo nat static命令,设备上的静态映射表项不会立刻消失。如果需要立刻清除静态NAT映射表项,请执行命令reset nat session手动清除静态映射表项信息。

当选择参数global-portglobal-port2host-porthost-port2配置一组公私网端口号映射时,公私网端口号需数量相同,且按端口号顺序一一映射。例如:nat static protocol tcp global 1.1.1.1 11 20 inside 10.10.10.1 21 30,表示公网地址1.1.1.1与私网地址10.10.10.1对应,公网端口号11到20依次对应私网端口号21到30。

当选择参数host-address2时,则需要配置global-port2,且必须指定host-port。私网地址数量需与公网端口号数量相同,表示依次映射同一公网地址+不同端口号到不同私网地址+同一端口号。例如:nat static protocol tcp global 1.1.1.1 11 12 inside 10.10.10.1 10.10.10.2 30,表示1.1.1.1+端口号11映射到10.10.10.1+端口号30,1.1.1.1+端口号12映射到10.10.10.2+端口号30。

配置参数vrrp vrrpid时,配置nat static命令所在的接口需支持VRRP功能。

命令中指定的vpn-instance-name是私网侧VPN实例,对global-address不起作用。接口下执行命令ip binding vpn-instance vpn-instance-name绑定的是公网侧VPN实例。

一个接口下同时配置多条nat static命令时,如果绑定ACL,则acl-number必须保持一致,否则会配置失败。

使用实例

# 在TCP报文中公网地址为1.1.1.1,端口为200与对应的私网地址是10.10.10.1,端口为300之间建立对应转换关系。

<Huawei> system-view [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] nat static protocol tcp global 1.1.1.1 200 inside 10.10.10.1 300

# 将来自VPN为huawei并且与IP地址10.2.2.2(24位掩码)在同一网段的报文,替换为10.3.3.3(24位掩码)网段的对应IP地址。

<Huawei> system-view [Huawei] ip vpn-instance huawei                                     [Huawei-vpn-instance-huawei]  quit     [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] nat static global 10.3.3.3 inside 10.2.2.2 vpn-instance huawei netmask 255.255.255.0

相关主题
display nat staticreset nat session

nat static(系统视图)

命令功能

nat static命令用来在全局下配置从内部地址到外部地址的一对一转换。

undo nat static命令用来删除全局下已经配置的NAT一对一转换。

缺省情况下,系统未配置内部地址到外部地址的一对一转换。

命令格式

nat static protocol { tcp | udp } global global-address global-port global-port2 ] inside host-address host-address2 ] host-port ] [ vpn-instance vpn-instance-name ] [ netmask mask ] [ description description ]

nat static protocol { tcp | udp } global interface loopback interface-number global-port global-port2 ] vpn-instance vpn-instance-name ] inside host-address host-address2 ] host-port ] vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

nat static [ protocol { protocol-number | icmp | tcp | udp } ] global { global-address | interface loopback interface-number } inside host-address vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

nat static protocol { tcp | udp } global global-address global-port global-port2 inside host-address host-port host-port2 [ vpn-instance vpn-instance-name ] [ netmask mask ] [ description description ]

nat static protocol { tcp | udp } global interface loopback interface-number global-port global-port2 vpn-instance vpn-instance-name ] inside host-address host-port host-port2 vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

undo nat static protocol { tcp | udp } global global-address global-port global-port2 ] inside host-address host-address2 ] host-port ] [ vpn-instance vpn-instance-name ] [ netmask mask ] [ description description ]

undo nat static protocol { tcp | udp } global interface loopback interface-number global-port global-port2 ] vpn-instance vpn-instance-name ] inside host-address host-address2 ] host-port ] vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

undo nat static [ protocol { protocol-number | icmp | tcp | udp } ] global { global-address | interface loopback interface-number } inside host-address vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

undo nat static protocol { tcp | udp } global global-address global-port global-port2 inside host-address host-port host-port2 [ vpn-instance vpn-instance-name ] [ netmask mask ] [ description description ]

undo nat static protocol { tcp | udp } global interface loopback interface-number global-port global-port2 vpn-instance vpn-instance-name ] inside host-address host-port host-port2 vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

参数说明

参数

参数说明

取值

protocol

指定协议。

-

protocol-number

协议号。

整数形式,取值范围是1~255。

global

设置NAT的外部信息。

-

global-address

NAT外部IP地址。

点分十进制格式。

inside

设置NAT的内部信息。

-

host-address

NAT的内部IP地址。

点分十进制格式。

host-address2

私网结束地址。

-

global-port

提供给外部访问的服务的端口号。如果不配置此参数,则表示是any的情况,即端口号为零,任何类型的服务都提供。

整数形式,取值范围是0~65535。

global-port2

公网结束端口。

整数形式,取值范围是0~65535。

host-port

服务器提供的服务端口号。如果不配置此参数,则和global-port端口号一致。

整数形式,取值范围是0~65535。

host-port2

私网结束端口号。

整数形式,取值范围是0~65535。

icmp

服务器通讯采用ICMP协议。

-

tcp

服务器通讯采用TCP协议。

-

udp

服务器通讯采用UDP协议。

-

vpn-instance vpn-instance-name

指定一个VPN实例。

字符串形式,长度范围是1~31。

netmask mask

指定静态NAT网络掩码。

取值范围是255.255.255.0~255.255.255.255。

description description

指定NAT的描述信息。

字符串格式,长度为1~255。支持空格,区分大小写,字符串中不能包含?。

interface loopback interface-number

指定global地址为Loopback的接口地址。

整数形式,取值范围:0~1023。

视图

系统视图

缺省级别

2:配置级

使用指南

静态NAT是指在进行NAT时,内部网络主机的IP同公网IP是一对一静态绑定的,静态NAT中的公网IP只会给唯一且固定的内网主机IP转换使用。

静态PAT是指(内部网络主机的IP+TCP/UDP协议号+端口号)同(公网IP+TCP/UDP协议号+端口号)是一对一静态绑定的,静态PAT中的公网IP可以为多个PAT条目使用。

静态NAT/PAT,支持内网主机发起对外网主机的访问,以及外网主机发起对内网主机的访问。

  • 在设备上执行undo nat static命令,设备上的静态映射表项不会立刻消失,如果需要立刻清除静态NAT映射表项,请手动执行reset nat session命令来清除静态映射表项信息。

  • 当选择参数global-portglobal-port2host-porthost-port2配置一组公私网端口号映射时,公私网端口号需数量相同,且按端口号顺序一一映射。例如:nat static protocol tcp global 1.1.1.1 11 20 inside 10.10.10.1 21 30,表示公网地址1.1.1.1与私网地址10.10.10.1对应,公网端口号11到20依次对应私网端口号21到30。

    当选择参数host-address2时,则需要配置global-port2,且必须指定host-port。私网地址数量需与公网端口号数量相同,表示依次映射同一公网地址+不同端口号到不同私网地址+同一端口号。例如:nat static protocol tcp global 1.1.1.1 11 12 inside 10.10.10.1 10.10.10.2 30,表示1.1.1.1+端口号11映射到10.10.10.1+端口号30,1.1.1.1+端口号12映射到10.10.10.2+端口号30。

  • nat static protocol { tcp | udp } global interface loopback interface-number global-port global-port2 ] vpn-instance vpn-instance-name ] inside host-address host-address2 ] host-port ] vpn-instance vpn-instance-name ] netmask mask ] [ description description ]

    命令中第一个vpn-instance-name指定的是LoopBack接口绑定的VPN实例,第二个vpn-instance-name是私网侧VPN实例。

  • 如果接口下执行命令ip binding vpn-instance vpn-instance-name绑定了公网侧VPN,则系统视图下的nat static命令不生效,需要在该接口下配置nat staticnat server

使用实例

# 在TCP报文中,公网地址为Loopback 4接口IP地址,端口为43,与对应的私网地址192.168.2.55之间建立对应转换关系。

<Huawei> system-view [Huawei] interface loopback 4 [Huawei-LoopBack4] ip address 192.168.8.8 24 [Huawei-LoopBack4] quit  [Huawei] nat static protocol tcp global interface loopback 4 43 inside 192.168.2.55 netmask 255.255.255.255

相关主题
display nat staticreset nat session

nat static enable

命令功能

nat static enable命令用来在接口下使能NAT Static功能。

undo nat static enable命令用来去使能接口下的NAT Static功能。

缺省情况下,接口未使能NAT Static功能。

命令格式

nat static enable

undo nat static enable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

nat static enable命令用来在接口下使能NAT Static功能。

  • 该命令只能在设备的三层接口下配置,不包括Loopback接口和NULL接口。

  • 使能子接口的NAT Static功能时,必须同时使能主接口的NAT Static功能,否则子接口的NAT Static功能不生效。

使用实例

# 在接口下使能NAT Static功能。

<Huawei> system-view [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] nat static enable

相关主题
display nat static

nat mapping-mode

命令功能

nat mapping-mode命令用来配置NAT映射模式。

undo nat mapping-mode命令用来取消配置的NAT映射模式。

缺省情况下,NAT映射模式为与外部地址和端口相关的映射。

命令格式

nat mapping-mode endpoint-independent [ protocol-name [ dest-port port-number ] ]

undo nat mapping-mode endpoint-independent [ protocol-name [ dest-port port-number ] ]

参数说明

参数

参数说明

取值

endpoint-independent

指定NAT映射类型为与外部终端地址不相关的模式。

-

protocol-name

指定协议类型。

取值包括:tcp和udp。

dest-port port-number

指定目的端口。只有目的端口为该指定端口的报文才进行NAT映射。

整数形式,取值范围是1~65535。

视图

系统视图

缺省级别

2:配置级

使用指南

由于IPv4地址的短缺,以及出于安全考虑等因素,在因特网中广泛采用了NAT技术。由于不同厂商实现的NAT功能不同,可能会导致使用STUN、TURN、ICE技术的应用软件无法穿越NAT,这些技术广泛应用于SIP代理等软件,因此有必要实现符合这些软件能够进行NAT穿越的NAT映射类型,以便允许多种应用能够一致性的工作。

NAT映射包含如下两种类型:

  • 外部地址和端口无关的映射:对相同的内部IP地址和端口重用相同的地址端口映射。

  • 外部地址和端口相关的映射:对相同的内部IP地址和端口号访问相同的外部IP地址和端口号重用相同的端口映射(如果此映射条目还处在活动状态)。

使用实例

# 配置TCP报文的外部地址和端口无关的映射功能。

<Huawei> system-view [Huawei] nat mapping-mode endpoint-independent tcp

# 配置TCP、UDP报文的外部地址和端口无关的映射功能。

<Huawei> system-view [Huawei] nat mapping-mode endpoint-independent

相关主题
display nat mapping-mode

port-mapping

命令功能

port-mapping命令用来配置端口和应用层协议的映射关系。

undo port-mapping命令用来清除端口和应用层协议的映射关系。

命令格式

port-mapping { dns | ftp | http | sip | rtsp | pptp } port port-number acl acl-number

undo port-mapping { all | { dns | ftp | http | sip | rtsp | pptp } port port-number acl acl-number }

参数说明

参数

参数说明

取值

all

清除所有的端口映射关系。

-

dns

指定DNS协议和端口的映射关系。

-

ftp

指定FTP协议和端口的映射关系。

-

http

指定HTTP协议和端口的映射关系。

-

sip

指定SIP协议和端口的映射关系。

-

rtsp

指定RTSP协议和端口的映射关系。

-

pptp

指定PPTP协议和端口的映射关系。

-

port port-number

指定协议对应的端口号。

port-number为整数形式,取值范围是1~65535。

acl acl-number

根据ACL来对上述协议报文使用不同的映射关系。

acl-number为整数形式,取值范围是2000~2999。

视图

系统视图

缺省级别

2:配置级

使用指南

通过端口映射,服务器可以利用非知名端口对外提供各种应用层服务。以HTTP服务为例,其知名端口号为80。通过在防火墙设备上配置端口映射,可以用一个非知名端口来提供同样的服务。

利用端口映射可以使服务器更少地受到针对某种服务的恶意攻击。

使用实例

# 配置HTTP服务映射的端口为10,当报文的特征符合ACL 2000中定义的规则时该映射关系生效。

<Huawei> system-view [Huawei] acl 2000  [Huawei-acl-basic-2000] rule  permit  [Huawei-acl-basic-2000] quit   [Huawei] port-mapping http port 10 acl 2000

相关主题
display port-mapping

reset nat session

命令功能

reset nat session命令用来删除NAT映射表项。

命令格式

reset nat session { all | transit interface interface-type interface-number[.subnumber ] }

reset nat session protocol { protocol-name | protocol-number } [ source source-address [ source-port ] ] [ destination destination-address [ destination-port ] ]

reset nat session source source-address [ source-port ] [ destination destination-address [ destination-port ] ]

reset nat session destination destination-address [ destination-port ]

V200R010C10及之后版本支持protocolsourcedestination参数。

参数说明

参数

参数说明

取值

all

删除所有的NAT映射表项。

-

transit

删除通过某一接口的NAT映射表项。

-

interface interface-type interface-number[.subnumber ]

接口或者子接口的类型和编号。

-

protocol { protocol-name | protocol-number }

删除指定协议类型或协议端口号的NAT映射表项。

  • protocol-name的取值包括:icmp、tcp和udp。

  • protocol-number是整数形式,取值范围是1~255。

source source-address [ source-port ]

NAT转换前报文的源IP地址和端口号。

  • source-address:点分十进制格式。

  • source-port:整数形式,取值范围是1~65535。

destination destination-address [ destination-port ]

NAT转换前报文的目的IP地址和端口号。

  • destination-address:点分十进制格式。

  • destination-port:整数形式,取值范围是1~65535。

视图

系统视图

缺省级别

3:管理级

使用指南

应用场景

nat algnat server nat static nat outbound等配置发生变化后,报文并不会按新配置进行转发,如果需要使变化的配置立即生效,可执行清除NAT映射表项的命令reset nat session。该命令可用于删除所有的或指定协议类型的NAT映射表项或删除某一个接口下的NAT映射表项。

注意事项

  • 执行该命令后将直接删除NAT映射表项,并快速改变NAT配置。

  • 该命令每10秒只能执行一遍,若超过1遍,则提示告警信息。

  • 清除NAT映射表项可能短时间内会影响部分报文链接的正常通信。

使用实例

# 删除所有的NAT映射表项。

<Huawei> system-view [Huawei] reset nat session all Warning:The current all NAT sessions will be deleted.  Are you sure to continue?[Y/N] y

# 删除接口GigabitEthernet0/0/1下的NAT映射表项。

<Huawei> system-view [Huawei] reset nat session transit interface gigabitethernet 0/0/1 Warning:The current all NAT sessions transiting GigabitEthernet0/0/1 will be deleted.  Are you sure to continue?[Y/N] y

# 删除TCP协议的所有NAT映射表项。

<Huawei> system-view [Huawei] reset nat session protocol tcp Warning:The current NAT sessions (protocol: tcp) will be deleted.                Are you sure to continue?[Y/N] y

相关主题
display nat session

set nat-session self-healing enable

命令功能

set nat-session self-healing enable命令用来使能NAT模块定时器自愈功能。

set nat-session self-healing disable命令用来去使能NAT模块定时器自愈功能。

缺省情况下,设备的NAT模块定时器自愈功能处于未使能状态。

命令格式

set nat-session self-healing enable

set nat-session self-healing disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

如果NAT模块的定时器在运行过程中发生异常,会导致NAT业务失效,设备不可用。执行set nat-session self-healing enable命令,使能NAT模块定时器自愈功能后,可以自动检测NAT模块定时器的使用情况。当发现定时器出现异常时,通过复位设备消除定时器的异常,保证设备正常运行。

使用实例

# 使能NAT模块定时器自愈功能。

<Huawei> system [Huawei] set nat-session self-healing enable

tcp proxy

命令功能

tcp proxy命令用来使能TCP代理功能。

undo tcp proxy命令用来去使能TCP代理功能。

缺省情况下,设备没有使能TCP代理功能。

命令格式

tcp proxy ip-address port-number [ acl acl-number ]

undo tcp proxy

参数说明

参数

参数说明

取值

ip-address

指定TCP代理绑定的IP地址。

点分十进制形式。只能为本机单播地址。

port-number

指定TCP代理的侦听端口。

整数形式,取值范围是1024~65000。

此端口号不能是被其他模块占用的端口号。

acl acl-number

指定ACL编号。

整数形式,取值范围是3000~3999。

建议对TCP连接发起端的IP地址做ACL过滤。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在SIP ALG场景下,如果SIP客户端发送的SIP数据包过大,无法一次性发送到SIP服务器上时,客户端会将过大的SIP数据包分成多个小的数据包发送给SIP服务器。此时,需要使能设备的TCP代理功能,将收到的多个小的数据包重组成原始的SIP数据包,做NAT转换之后,转发到SIP服务器。

使能TCP代理功能后,设备会根据用户指定的IP地址和端口进行侦听,然后与发起TCP连接的主机A建立TCP连接。同时连接成功后,设备会主动与主机A对应的目的主机B建立TCP连接,最终保证了主机A和主机B能够正常会话。

注意事项

去使能TCP代理后,设备会删除与所有主机建立的TCP连接,并删除保留在本地的会话表。另外请用户执行命令reset nat session all删除所有流表信息。

使用实例

# 使能TCP代理功能。

<Huawei> system-view [Huawei] tcp proxy 10.1.1.1 3333

相关主题
reset nat session

tcp proxy aging-time

命令功能

tcp proxy aging-time命令用来配置TCP代理连接的老化时间。

undo tcp proxy aging-time命令用来恢复TCP代理连接的老化时间为缺省值。

缺省情况下,TCP代理连接的老化时间为120秒。

命令格式

tcp proxy aging-time aging-time

undo tcp proxy aging-time

参数说明

参数

参数说明

取值

aging-time

指定TCP代理连接的老化时间。

整数形式,取值范围是10~3600,单位为秒。

视图

系统视图

缺省级别

2:配置级

使用指南

在SIP ALG场景下,如果SIP客户端发送的SIP数据包过大,无法一次性发送到SIP服务器上时,客户端会将过大的SIP数据包分成多个小的数据包发送给SIP服务器。此时,需要使能设备的TCP代理功能,将收到的多个小的数据包重组成原始的SIP数据包,做NAT转换之后,转发到SIP服务器。

使能TCP代理功能后,设备会与主机间存在TCP保活报文,如果在3倍的TCP代理连接的老化时间内,设备没有收到TCP保活报文,就会自动删除TCP连接,并删除对应的会话连接表。

使用实例

# 配置TCP代理连接的老化时间为240秒。

<Huawei> system-view [Huawei] tcp proxy aging-time 240




推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

本文链接:https://www.hqyman.cn/post/8203.html 非本站原创文章欢迎转载,原创文章需保留本站地址!

分享到:
打赏





休息一下~~


« 上一篇 下一篇 »

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

请先 登录 再评论,若不是会员请先 注册

您的IP地址是: