简化配置NAT功能
简化NAT配置模型,使得NAT易部署。
应用环境
- 创建VSM HA备份组并绑定业务板的CPU。
- 创建VSM HA业务实例组并绑定VSM HA备份组
- 创建NAT实例并绑定VSM HA业务实例组
普通方式配置NAT配置复杂,简化配置NAT功能,使得NAT易部署。
说明: 该特性仅在Admin-VS支持。
- 创建简化配置NAT实例
创建简化配置NAT实例后,系统将自动创建名字为_default_的VSM HA业务实例组,并自动将VSM HA业务实例组绑定VSM HA备份组,NAT实例绑定VSM HA业务实例组,无需人为配置,从而达到简化NAT配置目的。 - 创建简化配置NAT实例的地址池
创建NAT地址池,可以将可用的公网IPv4地址段分配给指定的NAT实例,以便其进行私网IPv4地址与公网IPv4地址的转换。 - 配置NAT内部服务器
配置NAT内部服务器可以实现外部用户主动访问私网服务器。 - 配置NAT出接口引流策略
当设备部署在企业客户出口时,企业内部互访流量较多,并且不需做NAT转换。如果采用入接口引流,需要配置额外规则将互访流量不引入NAT实例。这种情况下,可采用出接口引流,在公网口上配置NAT策略,只有访问公网的流量才会去匹配NAT策略。 - 检查配置结果
简化配置NAT功能配置完成后,可以查看简化配置NAT实例的地址池配置信息,内部服务器配置信息。
创建简化配置NAT实例的地址池
创建NAT地址池,可以将可用的公网IPv4地址段分配给指定的NAT实例,以便其进行私网IPv4地址与公网IPv4地址的转换。
操作步骤
- 执行命令system-view,进入系统视图。
- 采用非Easy-IP或Easy-IP的方式配置NAT地址池:
非Easy-IP方式配置NAT地址池
执行命令nat address-group address-group-name group-id id start-address { mask { address-mask-length | address-mask } | end-address } [ vpn-instance vpn-instance-name ] [ no-pat ]
Easy-IP方式配置NAT地址池
执行命令nat address-group address-group-name group-id id unnumbered interface interface-type interface-number
说明:
简化配置NAT实例的地址池不能与普通NAT实例地址、地址级server地址或DHCP服务器地址重叠,否则会报互斥信息。
- 执行命令commit,提交配置。
配置NAT内部服务器
配置NAT内部服务器可以实现外部用户主动访问私网服务器。
操作步骤
- 执行命令system-view,进入系统视图。
- 配置NAT内部服务器,请根据实际情况任选其中一种方式配置。
公网地址与内部服务器是一对多关系,建议执行命令nat server protocol { tcp | udp | protocol-number } global global-address [ global-protocol ] [ vpn-instance global-vpn-instance-name ] inside inside-address [ inside-protocol ] [ vpn-instance inside-vpn-instance-name ] [ redirect redirect-ip-address { inbound | outbound } ],配置不同报文类型的NAT内部服务器。
公网地址与内部服务器是一对一关系,建议执行命令nat server global global-address [ vpn-instance global-vpn-instance-name ] inside inside-address [ vpn-instance inside-vpn-instance-name ] [ redirect redirect-ip-address { inbound | outbound } ],配置NAT内部服务器。
为了节省公网地址,NAT内部服务器地址借用接口地址,建议执行命令nat server protocol { tcp | udp | protocol-number } global unnumbered interface interface-type interface-number global-protocol inside host-address host-protocol [ vpn-instance vpn-instance-name ] [ redirect redirect-ip-address { inbound | outbound } ],创建不同报文类型的NAT内部服务器和接口地址的复用关系。
说明:
NAT内部服务器地址不能与DHCP服务器地址重叠,否则会报互斥信息。
- 执行命令commit,提交配置。
配置NAT出接口引流策略
当设备部署在企业客户出口时,企业内部互访流量较多,并且不需做NAT转换。如果采用入接口引流,需要配置额外规则将互访流量不引入NAT实例。这种情况下,可采用出接口引流,在公网口上配置NAT策略,只有访问公网的流量才会去匹配NAT策略。
操作步骤
- 执行命令system-view,进入系统视图。
- 定义流分类规则。
- 根据ACL的类型,选择以下的命令创建ACL规则:
基本ACL,即acl-number的范围为2000~2999,请执行命令rule [ rule-id ] [ name rule-name ] { deny | permit } [ fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] ] *。
- 高级ACL,即acl-number的范围为3000~3999:
对于TCP协议,执行命令:
rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | tcp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | { tcp-flag | syn-flag } { tcp-flag [ mask mask-value ] | established |{ ack [ fin | psh | rst | syn | urg ] * } | { fin [ ack | psh | rst | syn | urg ] * } | { psh [ fin | ack | rst | syn | urg ] * } | { rst [ fin | psh | ack | syn | urg ] * } | { syn [ fin | psh | rst | syn | urg ] * } | { urg [ fin | psh | rst | syn | urg ] * } } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *
对于UDP协议,执行命令:
rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | udp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | { destination-port operator port-number | destination-port-pool destination-port-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | { source-port operator port-number | source-port-pool source-port-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *
对于ICMP协议,执行命令:
rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | icmp } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | icmp-type { icmp-name | icmp-type [ to icmp-type-end ] [ icmp-code ] } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *
对于其他协议,执行命令:
rule [ rule-id ] [ name rule-name ] { deny | permit } { protocol | gre | ip | ipinip | igmp | ospf } [ [ dscp dscp | [ precedence precedence | tos tos ] * ] | { destination { destination-ip-address { destination-wildcard | 0 | des-netmask } | any } | destination-pool destination-pool-name } | fragment-type { fragment | non-fragment | non-subseq | fragment-subseq | fragment-spe-first } | { source { source-ip-address { source-wildcard | 0 | src-netmask } | any } | source-pool source-pool-name } | time-range time-name | [ vpn-instance vpn-instance-name | vpn-instance-any ] | ttl ttl-operation ttl-value | packet-length length-operation length-value ] *
说明:
配置ACL规则时通常匹配源IP地址。ACL规则只能根据协议号、源/目的IP地址、源/目的端口、VPN实例名、分片来匹配数据流,对于目的IP地址和目的端口不生效,同时必须使用连续方式的子网掩码(子网掩码中的“0”和“1”位必须连续,如255.255.255.0等)。
出接口NAT引流配置的ACL中有多条ACL规则,流量按照ACL规则的索引值从小到大按序匹配进行引流。
- 根据ACL的类型,选择以下的命令创建ACL规则:
- 应用接口的引流策略。
- 执行命令nat bind acl acl-number [ mode deny-forward ] address-group address-group-name,配置接口下绑定简化配置NAT地址池和ACL。
说明:
接口下已经绑定简化配置NAT地址池和ACL,不能再执行命令nat bind acl acl-number [ mode deny-forward ] instance instance-name绑定NAT实例和ACL。
- 执行命令nat bind acl acl-number [ mode deny-forward ] address-group address-group-name,配置接口下绑定简化配置NAT地址池和ACL。
检查配置结果
简化配置NAT功能配置完成后,可以查看简化配置NAT实例的地址池配置信息,内部服务器配置信息。
操作步骤
- 执行命令display nat simple-configuration server,查看NAT简化配置后的内部服务器配置信息。
- 执行命令display nat simple-configuration address-group [ address-group-name ],查看简化配置NAT实例的地址池配置信息。
- 执行命令display nat simple-configuration service-instance-group,查看NAT简化配置后,默认生成的VSM HA业务实例组和VSM HA备份组信息。
任务示例
执行命令display nat simple-configuration server,查看NAT简化配置后的内部服务器配置信息。
<HUAWEI> display nat simple-configuration server
nat server protocol tcp global 10.12.12.12 inside 192.168.12.12
nat server protocol udp global 10.1.1.1 inside 192.168.12.12 redirect 192.168.1.1 inbound
执行命令display nat simple-configuration address-group,查看简化配置NAT实例的地址池配置信息。
<HUAWEI> display nat simple-configuration address-group
nat address-group 1 group-id 1 192.168.3.1 mask 32
nat address-group 2 group-id 2 192.168.3.2 mask 32
nat address-group 3 group-id 3 192.168.3.3 mask 32
<HUAWEI> display nat simple-configuration service-instance-group
service-instance-group _default_
service-location 1
