配置NAT转换

NE40E-M2K V800R010C10SPC500 配置指南 - IPv6过渡技术 01

本文档是NE40E-M2K V800R010C10SPC500 配置指南 - IPv6过渡技术

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置NAT转换

介绍配置企业网NAT转换的应用环境、前置任务和数据准备。

应用场景

在配置完成NAT基本功能后，即可通过在流量入方向上应用NAT引流策略，将流量引到业务板上进行NAT转换，同时应用NAT转换策略，将用户报文中的私网IPv4地址转换成公网IPv4地址，从而使用户可以访问公网服务。

前置任务

在配置流量的NAT转换之前，需完成以下任务：

NAT基本功能

配置流程

图2-2 NAT转换的配置流程图

配置NAT入接口引流策略
通过配置NAT入接口引流策略，可以将用户流量进行NAT转换。
配置NAT出接口引流策略
配置NAT基本功能完成后，解决出接口NAT引流问题。
检查配置结果
通过相应的display命令，用户可以查看已经配置的NAT转换业务是否实现。

配置NAT入接口引流策略

通过配置NAT入接口引流策略，可以将用户流量进行NAT转换。

背景信息

当需要针对入接口的用户流量进行NAT转化时，可以通过配置NAT入接口流策略将命中流策略的报文进行NAT处理。

操作步骤

执行命令system-view，进入系统视图。
定义流分类规则。
1. 根据ACL的类型，选择以下的命令创建ACL并进入ACL视图：
  - 基本ACL，即acl-number的范围为2000～2999，请执行命令acl { name basic-acl-name { basic | [ basic ] number basic-acl-number } | [ number ] basic-acl-number } [ match-order { config | auto } ]。
  - 高级ACL，即acl-number的范围为3000～3999：请执行命令acl { name advance-acl-name [ advance | [ advance ] number advance-acl-number ] | [ number ] advance-acl-number } [ match-order { config | auto } ]。
2. 根据ACL的类型，选择以下的命令创建ACL规则：
  - 基本ACL，即acl-number的范围为2000～2999，请执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] ^*。
  - 高级ACL，即acl-number的范围为3000～3999：
    1. 对于TCP协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | tcp } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | { tcp-flag | syn-flag } { tcp-flag [ mask mask-value ] | established |{ ack [ fin | psh | rst | syn | urg ] ^* } | { fin [ ack | psh | rst | syn | urg ] ^* } | { psh [ fin | ack | rst | syn | urg ] ^* } | { rst [ fin | psh | ack | syn | urg ] ^* } | { syn [ fin | psh | rst | syn | urg ] ^* } | { urg [ fin | psh | rst | syn | urg ] ^* } } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
    2. 对于UDP协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | udp } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
    3. 对于ICMP协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | icmp } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | icmp-type { icmp-name | icmp-type [ to icmp-type-end ] [ icmp-code ] } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
    4. 对于其他协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | gre | ip | ipinip | igmp | ospf } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
  说明：
  配置ACL规则时通常匹配源IP地址，如果要在ACL中添加多条规则，可以重复执行步骤2.b。
  
  同一ACL视图下的多条规则之间的匹配顺序可以配置为按深度优先（auto）或按配置优先（config）。缺省情况下，多条规则按照配置优先（config）的顺序进行匹配。
  
  通过ACL关联实例时，ACL rule中的地址通配符不支持非连续方式的子网掩码（子网掩码中的“0”和“1”位不连续，如255.0.255.0等），必须使用连续方式的子网掩码（子网掩码中的“0”和“1”位必须连续，如255.255.255.0等）。
  
  入接口不支持强路由策略。
3. 执行命令commit，提交配置。
4. 执行命令quit，回到系统视图。
定义流分类。
1. 执行命令traffic classifier classifier-name [ operator { and | or } ]定义一个流分类并进入流分类视图。
2. 执行命令if-match acl acl-number，配置基于ACL列表进行复杂流分类的匹配规则。
  如果要配置多条基于ACL列表的匹配规则，可以重复执行该步骤。
3. 执行命令commit，提交配置。
4. 执行命令quit，回到系统视图。
定义流行为。
1. 执行命令traffic behavior behavior-name，定义一个流行为并进入流行为视图。
2. 执行命令nat bind instance instance-name，定义流量动作为绑定NAT实例。
  说明：
  不支持进行NAT转换后的同一条流量做重定向，即配置nat bind instance命令之后，不可配置redirect ip-nexthop命令。
3. 执行命令commit，提交配置。
4. 执行命令quit，回到系统视图。
定义流策略。
1. 执行命令traffic policy policy-name，定义流量策略并进入策略视图。
2. 执行命令classifier classifier-name behavior behavior-name，在流量策略中为流分类指定采用的行为。
3. 执行命令commit，提交配置。
4. 执行命令quit，回到系统视图。
应用流分类策略。
# 对于入接口NAT的用户流量，在用户侧的三层接口下应用流策略。
1. 执行命令interface interface-type interface-number，进入接口视图。
2. 执行命令traffic-policy policy-name inbound [ link-layer | all-layer | mpls-layer ]，在接口应用流量策略。
3. 执行命令commit，提交配置。
# 对于入接口NAT的用户流量，在用户侧的加入VLAN的二层以太网接口下应用流策略。
1. 执行命令interface interface-type interface-number，进入接口视图。
2. 执行命令portswitch，将端口切换为二层端口。
3. 执行命令port link-type { access | dot1q-tunnel | hybrid | trunk }，配置二层以太网端口属性。
  缺省情况下，端口属性是Hybrid。
4. 关联端口和VLAN，请根据具体情况选择相应的配置。
  - Access类型端口或QinQ类型端口
    1. 执行命令port default vlan vlan-id，将端口加入到指定的VLAN中。
      
      如果需要批量将端口加入VLAN，可在VLAN视图下执行命令port interface-type { interface-number1 [ to interface-number2 ] } &<1-10>向VLAN中添加一个或一组端口。
      
      说明：
      输入端口范围时，应保证输入的端口格式正确，关键字to之后的端口号要大于to之前的端口号，并要保证采用to形式输入的端口类型相同，且两者之间包含的端口都存在。
      
      一条port命令中，最多可以使用10次to形式输入10个端口范围。
  - Hybrid类型端口
    1. 执行命令port trunk allow-pass vlan { { vlan-id1 [ to vlan-id2 ] } &<1-10> | all }，将端口加入到指定的VLAN中。
    2. （可选）执行命令port default vlan vlan-id，配置Trunk类型接口的缺省VLAN。
5. 执行命令traffic-policy policy-name inbound [ vlan { all | vlan-id1 [ to vlan-id2 ] } ] [ link-layer | all-layer | mpls-layer ]，在二层端口应用流量策略。
6. 执行命令commit，提交配置。

配置NAT出接口引流策略

配置NAT基本功能完成后，解决出接口NAT引流问题。

背景信息

当NE40E部署在企业客户出口时，企业内部互访流量较多，并且不需做NAT转换。如果采用入接口引流，需要配置额外规则将互访流量不引入NAT实例。这种情况下，可采用出接口引流，在公网口上配置NAT策略，只有访问公网的流量才会去匹配NAT策略。

操作步骤

执行命令system-view，进入系统视图。
定义流分类规则。
1. 根据ACL的类型，选择以下的命令创建ACL并进入ACL视图：
  - 基本ACL，即acl-number的范围为2000～2999，请执行命令acl { name basic-acl-name { basic | [ basic ] number basic-acl-number } | [ number ] basic-acl-number } [ match-order { config | auto } ]。
  - 高级ACL，即acl-number的范围为3000～3999：请执行命令acl { name advance-acl-name [ advance | [ advance ] number advance-acl-number ] | [ number ] advance-acl-number } [ match-order { config | auto } ]。
2. 根据ACL的类型，选择以下的命令创建ACL规则：
  - 基本ACL，即acl-number的范围为2000～2999，请执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] ^*。
  - 高级ACL，即acl-number的范围为3000～3999：
    1. 对于TCP协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | tcp } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | { tcp-flag | syn-flag } { tcp-flag [ mask mask-value ] | established |{ ack [ fin | psh | rst | syn | urg ] ^* } | { fin [ ack | psh | rst | syn | urg ] ^* } | { psh [ fin | ack | rst | syn | urg ] ^* } | { rst [ fin | psh | ack | syn | urg ] ^* } | { syn [ fin | psh | rst | syn | urg ] ^* } | { urg [ fin | psh | rst | syn | urg ] ^* } } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
    2. 对于UDP协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | udp } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
    3. 对于ICMP协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | icmp } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | icmp-type { icmp-name | icmp-type [ to icmp-type-end ] [ icmp-code ] } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
    4. 对于其他协议，执行命令:
      
      rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | gre | ip | ipinip | igmp | ospf } [ [ dscp dscp | [ precedence precedence | tos tos ] ^* ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] ^*
  说明：
  配置ACL规则时通常匹配源IP地址。ACL规则只能根据协议号、源/目的IP地址、源/目的端口、VPN实例名、分片来匹配数据流，同时必须使用连续方式的子网掩码（子网掩码中的“0”和“1”位必须连续，如255.255.255.0等）。
  
  出接口NAT引流配置的ACL中有多条ACL规则，流量按照ACL规则的索引值从小到大按序匹配进行引流。
3. 执行命令commit，提交配置。
4. 执行命令quit，回到系统视图。
应用接口的引流策略。
1. 执行命令interface interface-type interface-number，进入接口视图。
  说明：
  支持的接口类型包括GE主接口/子接口、Eth-trunk主接口/子接口、Ethernet主接口/子接口、VLANIF接口、。
2. 执行命令nat bind acl acl-number [ mode deny-forward ] instance instance-name，配置接口下绑定NAT实例和ACL。
3. 执行命令commit，提交配置。

检查配置结果

通过相应的display命令，用户可以查看已经配置的NAT转换业务是否实现。

前提条件

已经完成流量的NAT转换的所有配置。

操作步骤

执行命令display nat instance [ instance-name ]，查看NAT实例下的配置信息。
执行命令display nat user-information { cpe ipv4 ipv4-address | session-discard } [ slot slot-id ] [ verbose ]，查看NAT业务的用户信息。

任务示例

执行命令display nat instance，可以查看到NAT实例下的配置信息。

<HUAWEI> display nat instance nat1
nat instance nat1 id 100
 nat address-group 1 group-id 1 192.168.1.1 192.168.2.1 no-pat  
 nat log session enable

执行命令display nat user-information命令，可以查看到NAT业务的用户信息。

<HUAWEI> display nat user-information slot 1 verbose
This operation will take a few minutes. Press 'Ctrl+C' to break ...                                                                 
Slot: 1                                                                                                                   
Total number:  1
  ---------------------------------------------------------------------------
  User Type                             :  NAT444
  CPE IP                                :  172.31.1.2
  User ID                               :  -
  VPN Instance                          :  -
  Address Group                         :  group1
  NoPAT Address Group                   : -
  NAT Instance                          :  nat1
  Public IP                             :  192.168.1.2
  NoPAT Public IP                       :  -
  Total/TCP/UDP/ICMP Session Limit      :  8192/10240/10240/512
  Total/TCP/UDP/ICMP Session Current    :  0/0/0/0
  Total/TCP/UDP/ICMP Session Limit      :  8192/10240/10240/512
  Total/TCP/UDP/ICMP Rev Session Current:  1100/0/800/300
  Nat ALG Enable                        :  ALL 
  Aging Time(s)                         :  -
  Left Time(s)                          :  -
  Session Limit Discard Count           :  6191
  -->Transmit Packets                   :  0
  -->Transmit Bytes                     :  0
  -->Drop Packets                       :  0
  <--Transmit Packets                   :  3990
  <--Transmit Bytes                     :  343140
  <--Drop Packets                       :  6191
  ---------------------------------------------------------------------------

下载文档

更新时间：2019-01-03

文档编号：EDOC1100058752

浏览量：10088

下载量：49

平均得分:

本文档适用于这些产品

本文档是NE40E-M2K V800R010C10SPC500 配置指南 - IPv6过渡技术

应用场景

前置任务

配置流程

配置NAT入接口引流策略

背景信息

操作步骤

配置NAT出接口引流策略

背景信息

操作步骤

检查配置结果

前提条件

操作步骤

任务示例

相关版本

相关文档