目 录
目 录
第3章 NAT及NAT用户日志配置..........................................................................................3-1
3.1 NAT及NAT用户日志概述.................................................................................................3-1
3.1.1 NAT简介.................................................................................................................3-1 3.1.2 多对多地址转换及地址池.........................................................................................3-4 3.1.3 应用级网关ALG......................................................................................................3-4 3.1.4 NAT在VRP上的实现.............................................................................................3-5 3.1.5 NAT用户日志简介...................................................................................................3-6 3.2 配置NAT............................................................................................................................3-8
3.2.1 建立配置任务...........................................................................................................3-8 3.2.2 配置地址池..............................................................................................................3-8 3.2.3 配置ACL和地址池关联...........................................................................................3-9 3.2.4 配置内部服务器.......................................................................................................3-9 3.2.5 使能NAT ALG功能...............................................................................................3-10 3.2.6 检查配置结果.........................................................................................................3-10 3.3 配置NAT用户日志..........................................................................................................3-10
3.3.1 建立配置任务.........................................................................................................3-10 3.3.2 启动NAT用户日志功能.........................................................................................3-11 3.3.3 设置日志输出至控制台..........................................................................................3-11 3.3.4 设置使用的日志服务器..........................................................................................3-12 3.3.5 设置日志报文的源IP地址.....................................................................................3-12 3.3.6 设置日志报文的版本号..........................................................................................3-12 3.3.7 设置在创建流时进行日志的记录............................................................................3-12 3.3.8 设置对长时间活跃的流定时记录............................................................................3-13 3.3.9 检查配置结果.........................................................................................................3-13 3.4 维护..................................................................................................................................3-13
3.4.1 清除.......................................................................................................................3-13 3.4.2 调试.......................................................................................................................3-14 3.5 NAT及NAT用户日志典型配置举例................................................................................3-14
3.5.1 NAT典型配置举例.................................................................................................3-14 3.5.2 NAT用户日志典型配置举例..................................................................................3-17 3.5.3 NAT内部服务器多实例配置举例...........................................................................3-18
i
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
第3章 NAT及NAT用户日志配置
NAT(Network Address Translation)可以使一个局域网中的多台主机使用少量合法地址访问外部资源。 下表列出了本章所包含的内容。
如果您需要……
了解NAT基本原理和NAT用户日志 配置NAT
请阅读……
NAT及NAT用户日志概述 配置任务:配置NAT 配置举例:NAT典型配置举例
配置NAT用户日志
配置任务:配置NAT用户日志 配置举例:NAT用户日志典型配置举例
清除或调试配置信息
维护
3.1 NAT及NAT用户日志概述
本节介绍配置NAT及NAT用户日志所需要理解的知识,具体包括:
z z z z z
NAT简介
多对多地址转换及地址池 应用级网关ALG NAT在VRP上的实现 NAT用户日志简介
3.1.1 NAT简介
网络地址转换NAT又称地址代理,它实现了私有网络访问公有网络的功能。在Internet的发展过程中,NAT的提出是为了解决IP地址短缺所可能引起的问题。 1. 私有网络地址和公有网络地址
私有网络地址是指内部网络或主机的IP地址,公有网络地址是指在Internet上全球唯一的IP地址。Internet地址分配组织规定将下列的IP地址保留用作私有网络地址。
z
10.0.0.0~10.255.255.255
3-1
通用路由平台 VRP 操作手册 安全分册
z z
第3章 NAT及NAT用户日志配置
172.16.0.0~172.31.255.255 192.168.0.0~192.168.255.255
也就是说这三个范围内的地址不会在Internet上被分配,只能在一个单位或公司内部使用。各企业在预见未来内部主机和网络的数量后,选择合适的内部网络地址。不同企业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内部网络地址,那么与其他网络互通时有可能会造成混乱。 2. 网络地址转换
如图3-1所示,当内部网络的主机访问Internet或与公有网络的主机通信时,需要进行网络地址转换。
10.1.1.10/24
PC
10.1.1.48/24WWW client
........
PC
GE1/0/0Router203.196.3.23/24WWW ServerPos2/0/0InternalnetworkExternalnetworkInternet202.18.245.251/24
图3-1 地址转换示意图
内部网络的地址是10.0.0.0网段,而对外的公有网络IP地址是203.196.3.23/24。内部的主机10.1.1.48/24以www方式访问外部网络的服务器202.18.245.251/24。 主机10.1.1.48/24发出一个数据报文,源端口为6084,目的端口为80。在通过路由器后,该报文的源地址和端口可能改为203.196.3.23:32814,目的地址与端口不做改变。
路由器中维护着一张地址端口对应表。当外部网络的www服务器返回结果时,路由器会将结果数据报文中的目的IP地址及端口转化为10.1.1.48:6084。这样,内部主机10.1.1.48/24就可以访问外部的服务器了。 3. NAT的作用
如图3-2所示,PC1与PC2可以使用内部网络地址,通过网络地址转换后访问Internet上的资源。
3-2
通用路由平台 VRP 操作手册 安全分册
model2第3章 NAT及NAT用户日志配置
PC1
InternetEthernetRouterPC2model1
图3-2 通过路由器访问Internet
4. NAT的机制
地址转换的机制是将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口,以及从路由器的外部网络地址和端口转换为内部网络主机的IP地址和端口。也就是<私有地址+端口>与<公有地址+端口>之间的转换。 5. NAT的特征
z z
对用户透明的地址分配(指对外部地址的分配)。
可以达到一种“透明路由”的效果。这里的路由是指转发IP报文的能力,而不是一种交换路由信息的技术。
6. NAT的优缺点 地址转换的优点如下:
z z
内部网络的主机可以通过该功能访问外部网络资源。 为内部主机提供了“隐私”(Privacy)保护。
地址转换的缺点如下:
z
由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报的报头不能被加密。在应用层协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。
z
网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟是哪一台机器是恶意的,因为主机的IP地址被屏蔽了。
7. NAT的性能
在链路的带宽低于10Mbit/s时,地址转换对网络性能基本不构成影响,此时,网络传输的瓶颈在传输线路上;当链路的带宽高于10Mbit/s时,地址转换将对路由器性能产生一些影响。
3-3
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
3.1.2 多对多地址转换及地址池
从地址转换的示意图3-1可见,当主机从内部网络访问外部网络时,地址转换将会选择一个合法的外部地址,以替代内部网络数据报文的源地址,即在图3-1中选择路由器地址池提供的外部IP地址。这样所有内部网络的主机访问外部网络时,只能共同拥有一个外部IP地址。当内部网络的主机非常多时,地址转换可能就会显得有些吃力。解决这个问题需要一个私有网络拥有多个外部地址,此 时,为充分而有效地利用这些外部地址,可利用地址池来实现多对多地址转换。
顾名思义,地址池就是一些合法IP地址(公有网络IP地址)的集合。用户可根据自己拥有的合法IP地址的多少、内部网络主机的多少、以及实际应用情况,配置合适的IP地址池。当主机从内部网络访问外部网络时,将会从地址池中挑选一个IP地址做为转换后的报文源地址。
3.1.3 应用级网关ALG
NAT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,这就可能导致问题。
例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。外部网络主机接收了这个私有地址并使用它,这时FTP服务器将表现为不可达。
解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用级网关ALG(Application Level Gateway)功能。ALG是特定的应用协议的转换代理,它和NAT交互以建立状态,使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据,并完成其他必需的工作以使应用协议可以跨越不同范围运行。
例如,考虑一个“目的站点不可达”的ICMP报文,该报文数据部分包含了造成错误的数据报A的首部(注意,NAT发送A之前进行了地址转换,所以源地址不是内部主机的真实地址)。如果开启了ICMP ALG功能,在NAT转发ICMP报文之前,它将与NAT交互,打开ICMP报文并转换其数据部分的报文A首部的地址,使这些地址表现为内部主机的确切地址形式,并完成其他一些必需工作后,由NAT将这个ICMP报文转发出去。
3-4
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
3.1.4 NAT在VRP上的实现
1. VRP支持NAT ALG
VRP的NAT平台模块不仅实现了一般的地址转换功能,还提供了完善的地址转换应用级网关机制,使其在流程上可以支持各种特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。可支持的特殊协议包括:DNS、FTP、TFTP、H.323、HWCC、ICMP、ILS(Internet Locator Service)、MSN、NetBIOS(Network Basic Input/Output System)、PPTP(Point-to-Point Tunneling Protocol)、QQ。
2. VRP地址转换支持MPLS VPN
VRP的NAT不仅可以使内部网络的用户访问外部网络,还允许分属于不同MPLS(Multi-Protocol Label Switching) VPN(Virtual Private Network)的用户通过同一个出口访问外部网络。
当MPLS VPN用户访问Internet时,VRP的NAT将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口,同时还记录了用户的MPLS VPN信息。报文还原时,NAT将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时获得了MPLS VPN用户信息。 3. 利用访问控制列表控制地址转换
在实际应用中,我们可能希望某些内部的主机具有访问Internet的权利,而某些主机不允许访问。
在地址转换中,我们可以利用访问控制列表地址转换。也就是说,只有满足访问控制列表条件的数据报文才可以进行地址转换。这样就能有效地控制地址转换的使用范围,使特定主机能够有权利访问Internet。
访问控制列表是由命令acl生成的,它依据IP数据包报头及其承载的上层协议数据包头的格式定义了一定的规则,表示允许或是禁止具有某些特征的数据包。 地址转换按照这样的规则判定哪些包是被允许转换或者是被禁止转换,这样可以禁止一些内部的主机访问外部网络,保证具有一定特征的数据包才可以被允许进行地址转换,提高网络的安全性。
“转换关联”就是将一个地址池和一个访问控制列表关联起来,这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址”。当内部网络有数据包要发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到与之对应的地址池,这样就把源地址转换成这个地址池中的某一个地址,完成了地址转换。
3-5
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
在转换时,根据“转换关联”可以找到与数据包对应的地址池,就可以将内部网络主机的IP地址和端口替换为路由器的外部网络地址和端口。在还原时,根据数据包的目的地址,就可以把路由器的外部网络地址和端口转换为内部网络主机的IP地址和端口。 4. Easy IP
Easy IP就是当进行地址转换时,直接使用接口的公有IP地址作为转换后的源地址。同样,它也利用访问控制列表控制哪些内部地址可以进行地址转换。 5. 内部服务器
地址转换具有“屏蔽”内部主机的作用,但是在实际应用中,可能我们需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW服务器,或是一台FTP服务器。
使用地址转换可以灵活地添加内部服务器,例如可以使用202.110.10.10作为WEB服务器的外部地址,使用202.110.10.11作为FTP服务器的外部地址,甚至还可以使用202.110.10.12:8080这样的地址作为WEB的外部地址,还可为外部用户提供多台同样的服务器,如提供多台WEB服务器。
通过配置内部服务器,可将相应的外部地址、端口等映射到内部的服务器上,提供了外部网络主机访问内部服务器的功能。在还原时,根据用户的配置查找外部数据包的目的地址,如果要访问的是内部服务器,则转换成相应的内部服务器的私有地址和端口,达到访问内部服务器的目的;在转换时,对源地址进行查找,判断是否是从内部服务器发出去的报文,如果是则将源地址转换成相应的外部地址。 6. 内部服务器的多实例
VRP的地址转换支持内部服务器的多实例,提供给外部访问MPLS VPN内主机的机会。例如,VPN1内提供WWW服务的主机地址是 10.110.1.1,可以使用202.110.10.20做为WEB服务器的外部地址,Internet的用户使用202.110.10.20的地址就可以访问到MPLS VPN1提供的WWW服务。
3.1.5 NAT用户日志简介
1. NAT用户日志的作用
对于通过NAT设备接入的用户,由于源IP地址经过地址转换,难以精确定位某次访问网络的操作是从哪台主机、哪个用户发起的,这使得网络的安全性降低。
3-6
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
NAT用户日志(UserLog)就是为了解决这一安全问题而实现的。它可以记录NAT数据流信息,从而使管理员能够了解NAT转换前的地址信息,进而查询、跟踪网络活动和操作,提高网络的可用性和安全性。
NAT用户日志功能只用于NAT的出方向,不记录外部用户对内部服务器的访问。 2. NAT用户日志的实现
对于通过NAT访问Internet的私网用户,NAT日志信息通过以下步骤输出:
z
路由器按照IP报文的源IP地址、源端口、目的IP地址、转换后的源IP地址、转换后的源端口、目的端口和协议号来对IP报文进行分类;
z z
每一类IP报文作为一条NAT流,缓存在NAT的HASH表中;
当HASH表中的流老化时(采用定时老化或和强制老化等方式),将HASH表中的流输出到日志缓存(logbuffer)中;
z
日志缓存中的老化流到达一定数目后,系统输出记录的日志信息。
3. NAT用户日志的输出
用户日志有两种输出方式:UDP报文方式、系统日志方式(Syslog)。
如图3-3所示,系统统计每一条老化的流,当统计到一定数量后,将统计信息生成一条UDP报文发送出去,供网上的日志服务器接收处理。
UDP报文中包含多条NAT数据流的原始信息,由一个报文头和若干条记录组成,每条记录分别对应一条被记录的数据流。输出的UDP报文可以有多种格式,目前使用版本1。
userRouterInternetLog informationLog server 图3-3 用户日志信息输出示意图
如果采用系统日志方式,系统将定期检查日志缓存,如果日志缓存中有记录,将被输出。这种方式下,一次最多可以输出10条记录。
3-7
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
3.2 配置NAT
3.2.1 建立配置任务
1. 应用环境
在私有网络和公有网络的边界处配置NAT。 2. 前置任务
在配置NAT之前,需完成创建ACL并配置ACL规则。 3. 数据准备
在配置之前,需准备以下数据:
序号
数据
确定地址池编号、地址池的起始和结束IP地址 确定接口类型和编号 确定是否使用端口信息
配置内部服务器需要提供的信息包括:VPN实例名称(可选)、外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型 确定需要ALG处理的协议类型
1 2 3 4 5
4. 配置过程
序号
过程 配置地址池
配置ACL和地址池关联 配置内部服务器(可选) 使能NAT ALG功能(可选) 检查配置结果
1 2 3 4 5
3.2.2 配置地址池
步骤
操作 进入系统视图
命令 system-view
1
3-8
通用路由平台 VRP 操作手册 安全分册
步骤
操作 配置地址池
命令
第3章 NAT及NAT用户日志配置
2
nat address-group group-number start-address end-address
3.2.3 配置ACL和地址池关联
步骤
操作 进入系统视图 进入接口视图
配置ACL和地址池关联
命令 system-view
interface interface-type interface-number
nat outbound acl-number [ address-group group-number [ no-pat ] ]
1 2 3
说明:
该命令是在连接公有网络的接口上进行配置的。
3.2.4 配置内部服务器
步骤
操作 进入系统视图 进入接口视图 配置内部服务器
命令 system-view
interface interface-type interface-number nat server [ -instance -instance-name ] protocol protocol-type global global-address [ global-port ] inside host-address [ host- port] nat server [ -instance -instance-name ] protocol protocol-type global global-address global-port1 global-port2 inside host-address1 host-address2 host-port
nat server [ -instance -instance-name ] global global-address inside host-address
1 2 3
注意:
global-portocol和host-portocol只要有一个定义了any,则另一个要么不定义,要么是any。
配置FTP服务器时,必须同时配置FTP DATA服务器(一般为端口20)。
3-9
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
说明:
该命令是在连接公有网络的接口上进行配置的。
3.2.5 使能NAT ALG功能
步骤
操作 进入系统视图 使能NAT ALG功能
命令 system-view
nat alg enable { dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp | qq }
1 2
3.2.6 检查配置结果
步骤
操作
查看地址转换的状况
命令
display nat { all | address-group | outbound | server | alg }
1
3.3 配置NAT用户日志
3.3.1 建立配置任务
1. 应用环境
NAT用户日志可以记录NAT数据流信息,从而使管理员能够了解NAT转换前的地址信息,进而查询、跟踪网络活动和操作,提高网络的可用性和安全性。 2. 前置任务
在配置NAT用户日志之前,需要:完成配置NAT。 3. 数据准备
在配置之前,需准备以下数据:
序号
数据
确定启动日志功能的槽位号及ACL规则组号
确定日志输出方式是UDP报文方式还是系统日志方式(Syslog)
1 2
3-10
通用路由平台 VRP 操作手册 安全分册
序号
数据
第3章 NAT及NAT用户日志配置
3 4
如果使用UDP报文方式,需要确定日志服务器的IP地址和UDP端口号,报文源IP地址可选
如果对长时间活跃的流定时记录,需要确定记录的时间间隔
4. 配置过程
序号
过程
启动NAT用户日志功能
设置日志输出至控制台(用于Syslog方式) 设置使用的日志服务器(用于UDP报文方式)
设置日志报文的源IP地址(用于UDP报文方式,可选) 设置日志报文的版本号(用于UDP报文方式,可选) 设置在创建流时进行日志的记录(可选) 设置对长时间活跃的流定时记录(可选) 检查配置结果
1 2 3 4 5 6 7 8
3.3.2 启动NAT用户日志功能
步骤
操作 进入系统视图
启动NAT用户日志功能
命令 system-view
ip userlog nat slot slot-id [ acl acl-number ]
1 2
3.3.3 设置日志输出至控制台
步骤
操作 进入系统视图 设置日志输出至控制台
命令 system-view
ip userlog nat syslog
1 2
说明:
以syslog方式输出时,日志信息的优先级为informational,即一般提示信息。
3-11
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
3.3.4 设置使用的日志服务器
步骤
操作 进入系统视图 设置使用的日志服务器
命令 system-view
ip userlog nat export [ slot slot-id ] host ip-address udp-port
1 2
3.3.5 设置日志报文的源IP地址
步骤
操作 进入系统视图
设置日志报文的源IP地址
命令 system-view
ip userlog nat export source-ip ip-address
1 2
3.3.6 设置日志报文的版本号
步骤
操作 进入系统视图 设置日志报文的版本号
命令 system-view
ip userlog nat export version version-number
1 2
3.3.7 设置在创建流时进行日志的记录
步骤
操作 进入系统视图
设置在创建流时进行日志的记录
命令 system-view
ip userlog nat mode flow-begin
1 2
说明:
z
z
通常情况下,通过流的老化来记录日志信息,因此,在删除流时会记录日志信息。根据需要,用户可以配置系统在数据流创建时也进行日志记录。这种情况下,由于记录的流并没有结束,日志记录中的结束时间为0。
连接创建时是否生成日志记录并不影响删除连接时生成的日志记录。
3-12
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
3.3.8 设置对长时间活跃的流定时记录
步骤
操作 进入系统视图
设置对长时间活跃的流定时记录
命令 system-view
ip userlog nat active-time minutes
1 2
说明:
如上一节所述,通常情况下,通过流的老化来记录日志信息。这样,对于那些长时间处于激活状态的流,就会发生不能记录日志的情况,所以需要对这种连接定时进行记录。
3.3.9 检查配置结果
步骤
操作
查看指定接口板用户日志统计输出报文的各种信息
命令
display ip userlog export slot slot-id
1
3.4 维护
本节包含如下的内容:
z z
清除 调试
3.4.1 清除
注意:
清除统计信息后,以前的统计信息将无法恢复,务必仔细确认。
在确认需要清除运行信息后,请在用户视图下执行以下命令
操作
清除用户日志缓存中的记录 清除用户日志记录统计信息
命令
reset ip userlog nat logbuffer slot slot-id reset ip userlog export slot slot-id
3-13
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
说明:
清除用户日志缓存中的记录会造成日志信息的丢失,正常情况下,建议不要进行以上操作。
3.4.2 调试
注意:
打开调试开关将影响系统的性能。调试完毕后,应及时执行undo debugging all命令关闭调试开关。
在出现NAT及NAT用户日志运行故障时,请在用户视图下执行下表中的debugging命令对其进行调试,查看调试信息,定位故障并分析故障原因。打开调试开关的操作步骤请参考《通用路由平台VRP 操作手册 系统管理分册》中“系统维护”的内容。有关debugging命令的解释请参考《通用路由平台VRP 命令手册》。。
操作
打开NAT的调试开关
命令
debugging nat { alg | event | packet } [ tcp | udp | icmp |
h323 | ftp | ils | ras | hwcc | dns | msn | netbios | pptp | qq ]
debugging ip userlog nat
打开用户日志信息调试开关
3.5 NAT及NAT用户日志典型配置举例
本节包含如下配置举例:
z z z
NAT典型配置举例 NAT用户日志典型配置举例 NAT内部服务器多实例配置举例
3.5.1 NAT典型配置举例
1. 组网需求
如图3-4所示,一个公司通过Quidway路由器的地址转换功能连接到广域网。要求该公司能够通过Quidway路由器POS3/0/0访问Internet,公司内部对外提供WWW、FTP和SMTP服务,而且提供两台WWW服务器。公司内部网址为10.110.0.0/16。
3-14
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
其中,内部FTP服务器地址为10.110.10.1/16,内部WWW服务器1地址为10.110.10.2/24,内部WWW服务器2地址为10.110.10.3/24,内部SMTP服务器地址为10.110.10.4/24,并且希望可以对外提供统一的服务器IP地址。内部10.110.10.0/24网段可以访问Internet,其它网段的PC机则不能访问Internet。外部的PC机可以访问内部的服务器。公司具有202.38.160.100/24至 202.38.160.105/24六个合法的IP地址。
选用202.38.160.100/24做为公司对外的IP地址,WWW服务器2对外采用8080端口。
FTPserver10.110.10.1/24
WWWserver10.110.10.2/24
WWWsever2SMTPserver10.110.10.3/2410.110.10.4/24
Enterprise internalEthernetRourterInternal PC10.110.10.100/24Internal PC10.110.12.100/24ExternalPCDDN
图3-4 地址转换典型配置组网图
2. 配置思路
(1) 首先配置地址池和访问列表,并在接口上应用。 (2) 配置内部服务器。 3. 数据准备
NAT的地址池号为1,该地址池有从202.38.160.100/24至 202.38.160.105/24六个地址。 4. 配置步骤
(1) 配置地址池和访问控制列表,并关联地址池与10.110.10.0/24网段。
[Quidway] nat address-group 1 202.38.160.100 202.38.160.105 [Quidway] acl number 2001
[Quidway-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Quidway-acl-basic-2001] quit
3-15
通用路由平台 VRP 操作手册 安全分册
[Quidway] interface Pos3/0/0
第3章 NAT及NAT用户日志配置
[Quidway-Pos3/0/0] nat outbound 2001 address-group 1
(2) 配置内部服务器。 #配置内部FTP服务器
[Quidway-Pos3/0/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.1 ftp
[Quidway-Pos3/0/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.1 20
# 配置内部WWW服务器1。
[Quidway-Pos3/0/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.2 www
# 配置内部WWW服务器2。
[Quidway-Pos3/0/0] nat server protocol tcp global 202.38.160.100 8080 inside 10.110.10.3 www
# 配置内部SMTP服务器。
[Quidway-Pos3/0/0] nat server protocol tcp global 202.38.160.100 inside 10.110.10.4 smtp
(3) 检查配置结果
此时,在内部网络上的可以ping通外部网络,外部网络不能ping通内部网络(内部服务器除外)。
在路由器上执行命令display nat all可以观察到地址池的地址为from 202.38.160.100 to 202.38.160.105,NAT server的配置情况为:
Interface:pos3/0/0
202.38.160.100 21(ftp) 10.110.10.1 21(ftp) 6(tcp) (1) 202.38.160.100 20 10.110.10.1 20 6(tcp) (1) 202.38.160.100 80(www) 10.110.10.2 80(www) 6(tcp) (1) 202.38.160.100 8080 10.110.10.3 80(www) 6(tcp) (1) 202.38.160.100 25(smtp) 10.110.10.4 25(smtp) 6(tcp) (1) Total 5 NAT servers
5. 配置文件
#
nat address-group 1 202.38.160.100 202.38.160.100 #
acl number 2001
rule 5 permit source 10.110.10.0 0.0.0.255 #
interface Pos3/0/0
3-16
通用路由平台 VRP 操作手册 安全分册
ip address 202.38.160.100 255.255.255.0 nat outbound 2001 address-group 1
第3章 NAT及NAT用户日志配置
nat server protocol tcp global 202.38.160.100 ftp inside 10.110.10.1 ftp nat server protocol tcp global 202.38.160.100 20 inside 10.110.10.1 20 nat server protocol tcp global 202.38.160.100 www inside 10.110.10.2 www nat server protocol tcp global 202.38.160.100 8080 inside 10.110.10.3 www nat server protocol tcp global 202.38.160.100 smtp inside 10.110.10.4 smtp #
return
3.5.2 NAT用户日志典型配置举例
1. 组网需求
内部网络用户通过路由器Router的NAT访问Internet。要求记录NAT日志信息,日志信息输出至日志服务器进行分析。
如图3-5所示,内部用户通过以太网与路由器的GE1/0/0接口相连,路由器通过POS2/0/0接口连接至Internet。在启动NAT的接口POS2/0/0所在的槽位2(通往Internet的出接口)上启动NAT日志。日志服务器的IP地址为101.10.1.1/24。 在配置前,需要保证NAT已正确配置,用户可以正常访问Internet。
Enable NAT logInternaluser
EthernetPOS 2/0/0LoginformationGE 1/0/0Internaluser
RouterInternet
图3-5 NAT用户日志典型配置组网图
2. 配置步骤
# 启动NAT日志功能。
[Quidway] ip userlog nat slot 2
# 设置日志输出报文的目的服务器地址及端口号。
[Quidway] ip userlog nat export host 101.10.1.1 1500
3-17
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
# 设置日志输出报文的源IP地址。
[Quidway] interface loopback 1
[Quidway-LoopBack1] ip address 1.1.1.1 255.255.255.255 [Quidway-LoopBack1] quit
[Quidway] ip userlog nat export source-ip 1.1.1.1
3. 检查配置结果
在路由器上执行display ip userlog export slot 命令后,可以观察到类似以下的内容。
NAT:
Version 1 export is enabled
Export logs to 101.10.1.1 (Port: 1500) Export using source address 1.1.1.1 0 logs exported in 0 udp datagrams
0 logs in 0 udp datagrams failed to output
0 entries buffered currently
4. 配置文件
#
ip userlog nat slot 5
ip userlog nat export host 101.10.1.1 1500 ip userlog nat export source-ip 1.1.1.1 #
interface LoopBack1
ip address 1.1.1.1 255.255.255.255 #
3.5.3 NAT内部服务器多实例配置举例
1. 组网需求
如图3-6所示, CE和Server属于某VPN (a),Router属于公网设备,要求Router能够访问a 中的Server。
3-18
通用路由平台 VRP 操作手册 安全分册
第3章 NAT及NAT用户日志配置
ServerGE1/0/010.3.1.2/2410.3.1.1/32POS6/0/010.1.1.2/24POS6/0/010.1.1.1/24PEPOS6/0/1100.1.1.2/24CEPOS6/0/1100.1.1.1/24 RouteraMPLS VPN backbone
图3-6 NAT内部服务器的多实例
2. 配置思路
(1) 搭建MPLS VPN环境。 (2) 在PE上配置NAT转换。
(3) 配置访问VPN Instance 所需的静态路由。 3. 数据准备
a中Server的外部地址是202.38.160.100/24。 4. 配置步骤
(1) 配置基本BGP/MPLS IP VPN
具体过程请参见《通用路由平台 VRP 操作手册 VPN分册》。
完成此步后,PE可以ping通100.1.1.2。在PE上执行ping --instance a 10.3.1.1 ,可以ping通。
但Router上不能ping 通202.38.160.100。 (2) 在PE上进行NAT转换
# 配置地址池和访问控制列表,在接口上配置地址池关联以及内部服务器。
[PE] interface Pos6/0/0 [PE-Pos6/0/0] nat server -instance a global 202.38.160.100 inside 10.3.1.1 (3) 配置访问VPN Instance需要的静态路由 #在PE上配置从公网到10.3.1.1/24的静态路由,配置从私网回到Router的静态路由。 [PE] ip route-static 10.3.1.0 255.255.255.0 -instance a 10.1.1.1 [PE] ip route-static -instance a 0.0.0.0 0.0.0.0 100.1.1.2 public 3-19 通用路由平台 VRP 操作手册 安全分册 第3章 NAT及NAT用户日志配置 # 在CE上配置到Router的静态路由, [CE] ip route-static 0.0.0.0 0.0.0.0 Pos6/0/0 # 在Router上配置到202.38.160.0/24的静态路由 [Router] ip route-static 202.38.160.0 255.255.255.0 Pos6/0/0 (4) 检查配置结果 在Router上ping server转换后的地址202.38.160.100,可以ping通。 5. 配置文件 (1) PE的配置文件 # sysname PE # ip -instance a route-distinguisher 100:1 -target 1:1 export-extcommunity -target 1:1 import-extcommunity # mpls lsr-id 1.1.1.1 mpls lsp-trigger all # mpls ldp # interface Pos6/0/0 link-protocol ppp ip binding -instance a ip address 10.1.1.2 255.255.255.0 nat server -instance a global 202.38.160.100 inside 10.3.1.1 # interface Pos6/0/1 link-protocol ppp ip address 100.1.1.1 255.255.255.0 mpls mpls ldp # interface LoopBack1 ip address 1.1.1.1 255.255.255.255 # bgp 100 # ipv4-family -instance a 3-20 通用路由平台 VRP 操作手册 安全分册 peer 10.1.1.1 as-number 65410 import-route direct # ospf 1 area 0.0.0.0 network 100.1.1.0 0.0.0.255 network 1.1.1.1 0.0.0.0 # 第3章 NAT及NAT用户日志配置 ip route-static 10.3.1.0 255.255.255.0 -instance a 10.1.1.1 ip route-static -instance a 0.0.0.0 0.0.0.0 100.1.1.2 public # return (2) CE的配置文件 # sysname CE # interface Pos6/0/0 link-protocol ppp ip address 10.1.1.1 255.255.255.0 # bgp 65410 peer 10.1.1.2 as-number 100 # ipv4-family unicast undo synchronization import-route direct peer 10.1.1.2 enable # ip route-static 0.0.0.0 0.0.0.0 Pos6/0/0 # return (3) Router的配置文件 # sysname Router # interface Pos6/0/1 link-protocol ppp ip address 100.1.1.2 255.255.255.0 # ospf 1 area 0.0.0.0 network 2.2.2.2 0.0.0.0 3-21 通用路由平台 VRP 操作手册 安全分册 network 100.1.1.0 0.0.0.255 # 第3章 NAT及NAT用户日志配置 ip route-static 202.38.160.0 255.255.255.0 Pos6/0/0 # return 3-22
因篇幅问题不能全部显示,请点此查看更多更全内容