配置NAT基本功能(普通方式)
本节介绍配置NAT基本功能的主要过程。
- 配置业务板绑定到NAT实例
创建NAT实例是NAT转换的一个条件,但是还需要将NAT实例与业务板进行绑定,那么NAT转换前的报文才会进入相应的业务板进行处理。 - 创建NAT地址池
创建NAT地址池,可以将可用的公网IPv4地址段分配给指定的NAT实例,以便其进行私网IPv4地址与公网IPv4地址的转换。 - (可选)配置重定向下一跳的IP地址
介绍如何配置重定向的下一跳IP地址。 - 检查配置结果
配置NAT基本功能完成后,可以查看已经配置的NAT基本功能是否实现。
配置业务板绑定到NAT实例
创建NAT实例是NAT转换的一个条件,但是还需要将NAT实例与业务板进行绑定,那么NAT转换前的报文才会进入相应的业务板进行处理。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令service-location service-location-id,创建VSM HA备份组并进入该备份组视图。
- 执行命令location follow-forwarding-mode,配置VSM HA备份的主备信息。
- 执行命令commit,提交配置。
- 执行命令quit,回到系统视图。
- 执行命令service-instance-group service-instance-group-name,创建VSM HA业务实例组,并进入该业务实例组视图。
- 执行命令service-location service-location-id,绑定VSM HA备份组。
- 执行命令commit,提交配置。
- 执行命令quit,回到系统视图。
- 执行命令nat instance instance-name [ id id ],进入NAT实例视图。
- 执行命令service-instance-group service-instance-group-name,绑定VSM HA业务实例组。
- 执行命令commit,提交配置。
创建NAT地址池
创建NAT地址池,可以将可用的公网IPv4地址段分配给指定的NAT实例,以便其进行私网IPv4地址与公网IPv4地址的转换。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令nat instance instance-name [ id id ],进入NAT实例视图。
- 采用非Easy-IP或Easy-IP的方式配置NAT地址池:
非Easy-IP方式:创建NAT的分段地址池或进入NAT地址池。
执行命令nat address-group address-group-name [ group-id id ] [ start-address { mask { address-mask-length | address-mask } | end-address } ] [ vpn-instance vpn-instance-name ] [ no-pat ]。
创建NAT地址池,采用nat address-group的方式设置地址池时,需要设置group-id值。group-id标识地址池索引,不同的地址池索引必须不一样,查询地址池的命令需要根据地址池索引号显示回显信息,地址池索引唯一且不重复。
nat address-group命令的方式是单个公网地址池配置一段公网IP的模式,有如下两种配置情况:- 通过nat address-group的mask方式配置公网地址段。当NAT公网地址池配置为mask方式时,设备会生成跟nat address-group同等数量的跟mask值相同掩码的路由。
- 通过nat address-group的start-end方式配置公网地址段。当NAT公网地址池配置为start-end方式时,主备设备会生成跟对应公网地址同等数量的掩码为32位的UNR公网路由。
进入NAT地址池视图,执行命令section section-num start-ip-address { mask { mask-length | mask-ip } | end-ip-address }。
section命令的方式是属于单个公网地址池配置多段公网IP模式,有如下两种配置情况:- 通过section的mask方式配置公网地址段。当NAT公网地址池配置为mask方式时,设备会生成跟section同等数量的跟mask值相同掩码的路由。
- 通过section的start-end方式配置公网地址段。当NAT公网地址池配置为start-end方式时,主备设备会生成跟对应公网地址同等数量的掩码为32位的UNR公网路由。
推荐使用以mask方式配置,当NAT公网地址池配置为mask方式时,发布的路由长度与nat address-group中的掩码相同;地址池配置为start-end方式时,发布的路由长度是32位。
Easy-IP方式:创建NAT地址池和接口地址的复用关系。
执行命令nat address-group address-group-name group-id id unnumbered interface interface-name。
先执行命令nat address-group address-group-name进入NAT地址池视图,然后执行命令section section-num unnumbered interface { interface-name | interface-type interface-number }。
说明:
NAT地址池不能与DHCP服务器地址重叠,否则会报互斥信息。
- (可选)排除指定NAT地址池中的单个或者某段地址。
- 若采用nat address-group方式分配地址池,执行命令nat address-group address-group-name exclude-ip-address start-address [ end-address ]。
- 若采用section方式分配地址池,执行命令section section-id exclude-ip-address start-address [ end-address ]。
- 执行命令commit,提交配置。
(可选)配置重定向下一跳的IP地址
介绍如何配置重定向的下一跳IP地址。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令nat instance instance-name id id,创建NAT实例并进入NAT视图。
- 配置NAT重定向功能,用户可以根据实际需要选择如下方式的一种进行配置:
当用户希望对所有用户流量进行重定向时,可以执行命令redirect ip-nexthop ip-address { inbound | outbound },配置重定向下一跳的IP地址。
该场景下,每个实例下只可以配置1条inbound或者outbound方向的命令,不可以同时配置两个方向。
当用户希望对某一条精确的用户流量进行重定向时,可以执行命令redirect ip-nexthop ip-address { inbound | outbound } redirect-id [ tcp | udp | protocol-id ] [ source-ip ip-address { ip-mask | mask-length } [ source-port port-number ] [ vpn-instance vpn-instance-name ] | destination-ip ip-address { ip-mask | mask-length } [ destination-port port-number ] [ vpn-instance vpn-instance-name ] ] *,配置重定向下一跳的IP地址。
该场景下,每个实例下可以配置16条inbound或者outbound方向的命令,通过指定不同的redirect-id加以区分,并且可以同时配置两个方向。
- 执行命令commit,提交配置。
