NAT及NAT用户日志配置

1、4 NAT及NAT用户日志配置4-14.1 NAT及NAT用户日志概述4-24.1.1 NAT 简介4-24.1.2多对多地址转换及地址池4-44.1.3应用级网关ALG4-54.1.4 NAT在VRP上的实现4-54.1.5 NAT用户日志简介4-74.2 配置 NAT4-84.2.1建立配置任务4-84.2.2配置地址池4-94.2.3配置ACL和地址池关联4-94.2.4配置内部服务器4-94.2.5 使能NATALG功能4-104.2.6检查配置结果4-104.3配置NAT用户日志4-104.3.1建立配置任务4-104.3.2启动NAT用户日志功能4-114.3.3设置日志输出至控制

2、台4-114.3.4设置使用的日志服务器4-124.3.5设置日志报文的源IP地址4-124.3.6设置日志报文的版本号4-124.3.7设置在创建流时进行日志的记录4-124.3.8设置对长时间活跃的流定时记录4-124.3.9检查配置结果4-134.4 维护4-134.4.1 淸除4-134.4.2 调试4-144.5 NAT及NAT用户日志典型配置举例4-144.5.1 NAT典型配置举例4-144.5.2 NAT用户日志典型配置举例4-164.5.3 NAT内部服务器多实例配置举例4-18插图目录图4-1地址转换示意图4-3图4-2通过路由器访问Internet4-3图4-3用户日志信

3、息输出示意图4-7图4-4地址转换典型配置组网图4-15图4-5NAT用户日志典型配置组网图4-17图4-6 NAT内部服务器的多实例4-18NAT及NAT用户日志配置关于本章本章描述内容如下表所示。标题内容4.1 NAT及NAT用户日志概 述了解NAT基本原理和NAT用户日志4.2配置NAT配置NAT举例：NAT典型配置举例4.3配置NAT用户日志配置NAT用户日志举例：NAT用户日志典型配置举例4.4维护清除运行信息，调试NAT4.5 NAT及NAT用户日志典 型配置举例介绍NAT的各种组网举例。4.1 NAT及NAT用户日志概述本节介绍配置NAT及NAT用户日志所需要理解的知识，具体包插

4、： NAT简介 多对多地址转换及地址池 应用级网关ALG NAT在VRP上的实现 NAT用户日志简介4.1.1 NAT 简介网络地址转换NAT又称地址代理，它实现了私有网络访问公有网络的功能。在 Internet的发展过程中，NAT的提出是为了解决IP地址短缺所可能引起的问题。私有网络地址和公有网络地址私有网络地址是指内部网络或主机的IP地址，公有网络地址是指在Internet 全球唯 一的IP地址。Liternet地址分配组织规定将下列的IP地址保留用作私有网络地址。 55 55 1

5、92.16&255.255也就是说这三个范围内的地址不会在Internet上被分配，只能在一个单位或公司内部使 用。各企业在预见未来内部主机和网络的数量后，选择合适的内部网络地址。不同企 业的内部网络地址可以相同。如果一个公司选择上述三个范围之外的其它网段作为内 部网络地址，那么与其他网络互通时有可能会造成混乱。网络地址转换如图4-1所示，当内部网络的主机访问Intemet或与公有网络的主机通信时，需要进行 网络地址转换。图4-1地址转换示意图0/248/24PCWWW clientPC内部网络的地址是/24网段，而对外的公有网络IP地址是203

6、.196.3.23/24。内 部的主机8/24以www方式访问外部网络的服务器51/24o主机8/24发出一个数据报文，源端口为6084,目的端门为80。在通过路由器 后，该报文的源地址和端口可能改为3:32814,目的地址与端I 1不做改变。路由器中维护着一张地址端口对应表。当外部网络的www服务器返回结果时，路由器 会将结果数据报文中的目的IP地址及端I I转化为8:6084。这样，内部主机 8/24就可以访问外部的服务器了。NAT的作用如图4-2所示，PC1与PC2可以使用内部网

7、络地址，通过网络地址转换后访问Intemet 上的资源。图4-2通过路由器访问InternetNAT的机制地址转换的机制是将内部网络主机的ip地址和端I】替换为路由器的外部网络地址和端 口，以及从路由器的外部网络地址和端口转换为内部网络主机的ip地址和端口。也就 是 私有地址+端口与 instance vpn-instance- name global global-address inside host-address,配置内部服务器-结束注意global-port和hosf-port只要有一个定义了 any,则另一个要么不定爻，要么是any。 配置FTP服务器时，必须同时配置FTP DAT

8、A服务器（一般为端口 20）。CQ说明该命令是在连接公有网络的接口上进行配置的。425使能NAT ALG功能请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤 2 执行命令 nat alg enable dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp | qq , 使能NAT ALG功能。结束4.2.6检查配置结果完成上述配置后，请执行卞面的命令检查配置结果。操作命令查看地址转换的状况display nat all | address-group | outbound | server |a

9、lg4.3配置NAT用户日志应用环境前置任务数据准备4.3.1建立配置任务在配置NAT用户口志之前，需要：完成配置NAT。NAT用户口志可以记录NAT数据流信息，从而使管理员能够了解NAT转换前的地址 信息，进而查询、跟踪网络活动和操作，提高网络的可用性和安全性。在配置NAT用户口志之前，需准备以下数据。序号数据1确定启动日志功能的槽位号及ACL规则组号2确定日志输出方式是UDP报文方式还是系统日志方式（Syslog）3如果使用UDP报文方式，需要确定口志服务器的IP地址和UDP端口号， 报文源IP地址可选序号数据4如果对长时间活跃的流定时记录，需要确定记录的时间间隔配置过程要完成配置NAT用

10、户口志的任务，需要执行如卞的配置过程。序号过程1启动NAT用户日志功能2设置日志输出至控制台（用于Syslog方式）3设置使用的日志服务器（用于UDP报文方式）4设置日志报文的源IP地址（用于UDP报文方式，可选）5设置日志报文的版本号（用于UDP报文方式，可选）6设置在创建流时进行日志的记录（可选）7设置对长时间活跃的流定时记录（可选）8检查配置结果4.3.2启动NAT用户日志功能请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤 2 执行命令 ip userlog nat slot slot-id acl acl-number ,启动 NAT 用户口志功能。

11、结束4.3.3设置日志输出至控制台请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤2执行命令ip userlog nat syslog,设置口志输出至控制台。-结束CQ说明以syslog方式输出时，日志信息的优先级为informational,即一般提示信息。434设置使用的日志服务器请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤 2 执行命令 ip userlog nat export slot slot-id host ip-address udp-port,设置使用的日志 服务器。结束4.3.5设置日志报文的源IP地址

12、请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤2执行命令ip userlog nat export source-ip ip-address，设置口志报文的源IP地址。结束436设置日志报文的版本号请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤2执行命令ip userlog nat export version version-number,设置口志报文的版本号。结束4.3.7设置在创建流时进行日志的记录请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤2执行命令ip userlog nat

13、 mode flow-begin,设置在创建流时进行口志的记录。结束CD说明通常悄况下，通过流的老化来记录日志信息，因此，在删除流时会记录日志信息。根据需 要，用户可以配莊系统在数据流创建时也进行日志记录。这种情况下，由于记录的流并没有 结束，日志记录中的结束时间为0。连接创建时是否生成日志记录并不影响昭除连接时生成的日志记录。4.3.8设置对长时间活跃的流定时记录请在路由器上进行以下配置。步骤1执行命令system-view,进入系统视图。步骤2执行命令ip userlog nat active-time minutes，设置对长时间活跃的流定时记录。-结束CQ说明如上一节所述，通常悄况下，

14、通过流的老化来记录日志信息。这样，对于那些长时间处于激活状 态的流，就会发生不能记录日志的情况，所以需要对这种连接定时进行记录。4.3.9检查配置结果完成上述配置后，请执行卞面的命令检查配置结果。操作命令查看指定接11板用户日志统计输 出报文的各种信息display ip userlog export slot slot-id4.4维护本节包含如下的内容。 清除 调试4.4.1清除注意清除统计信息后，以前的统计信息将无法恢复，务必仔细确认。在确认需要清除运行信息后，请在用户视图下执行以下命令操作命令清除用户日志缓存中的记录reset ip userlog nat logbuffer slot

15、slot-id清除用户日志记录统计信息reset ip userlog export slot slot-idCQ说明清除用户日志缓存中的记录会造成日志信息的去失，正常情况下，建议不要进行以上操作。4.4.2调试注意打开调试开关将影响系统的性能。调试完毕后，应及时执行undo debugging all命令关 闭调试开关。在出现NAT及NAT用户口志运行故障时，请在用户视图卞执行下表中的debugging 命令对其进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作 步骤请参见VRP配置指南系统管理中“维护与调试”的内容。有关debugging 命令的解释请参见VRP命令参考。操

16、作命令打开NAT的调试开关debugging nat alg event | packet tcp udp icmp | h323 | ftp | ils | hwcc | dns nisn netbios | PPtp I qq 打开用户日志信息调试开关debugging ip userlog nat4.5 NAT及NAT用户日志典型配置举例本节包含如下配置举例。 NAT典型配置举例 NAT用户日志典型配置举例 NAT内部服务器多实例配置举例4.5.1 NAT典型配置举例组网需求如图4-4所示，一个公司通过Quidway路由器的地址转换功能连接到广域网。要求该 公司能够通过Quidway路由

17、器POS3/0/0访问Internet,公司内部对外提供WWW、FTP 和SMTP服务，而且提供两台WWW服务器。公司内部网址为/16。其中， 内部FTP服务器地址为/16,内部WWW服务器1地址为/24, 内部WWW服务器2地址为/24,内部SMTP服务器地址为 /24,并且希望可以对外提供统一的服务器IP地址。内部/24网 段可以访问Internet,其它网段的PC机则不能访问Interneto外部的PC机可以访问内 部的服务器。公司具有

18、00/24至05/24六个合法的IP地址。选用00/24做为公司对外的IP地址，WWW服务器2对外采用8080端图44地址转换典型配置组网图FTPserverWWWserverWWWsever2 SMTPserver/24 /24/24 /24配置思路 首先配置地址池和访问列表，并在接口上应用。 配置内部服务器。数据准备NAT的地址池号为1,该地址池有从00/24至05/24六个地 址。配置步骤步骤1配置地址池和

19、访问控制列表，并关联地址池与/24网段。Quidway nat address-group 1 00 05Quidway acl number 2001Quidx-?ay-acl-basic-2001 rule permit source 55Quidx-?ay-acl-basic-2001 quitQuidway interface Pos3/0/0Quidway-Pos3/0/0 nat outbound 2001 address-group 1步骤2配置内部服务器。#配置内部FTP

20、服务器Quidx-?ay-Pos3/0/0 nat server protocol tcp global 00 inside ftpQuidx-?ay-Pos3/0/0 nat server protocol tcp global 00 inside 20#配置内部WWW服务器1。Quidway-Pos3/0/0 nat server protocol tcp global 00 inside 10110.10.2WWW#配置内部WWW服务器2。Quidv?ay-Pos3/0

21、/0 nat server protocol tcp global 00 8080 inside www#配置内部SMTP服务器。Quidv?ay-Pos3/0/0 nat server protocol tcp global 00 inside smtp步骤3检查配置结果此时，在内部网络上的可以ping通外部网络，外部网络不能ping通内部网络(内部服 务器除外)。在路由器上执行命令display nat all町以观察到地址池的地址为from00to 202.3&160.

22、105,NAT server的配置情况为：Interface:pos3/0/00021(ftp)21(ftp)6(tcp)(1)002020 6i (tcp)(1)0080(www)8Q(www)6(tcp)(1)00808080(www)6(tcp)(1)0025(smtp)25(smtp)6(tcp)(1)Total 5 NAT servers-结束配置文件nat

23、 address-group 1 00 05acl number 2001rule 5 permit source 55interface Pos3/0/0ip address 00 nat outbound 2001 address-group 1nat server nat server nat server nat server nat serverprotocol protocol protocol protocol protocoltcp globa

24、l tcp global tcp global tcp global tcp global00 ftp inside ftp00 20 inside 2000 www inside www00 8080 inside www00 smtp inside smtpreturn4.5.2 NAT用户日志典型配置举例组网需求内部网络用户通过路由器Router的NA

25、T访问Internet。要求记录NAT日志信息，日志 信息输出至日志服务器进行分析。如图4-5所示，内部用户通过以太网与路由器的GE1/0/0接II相连，路由器通过 POS2/0/0接口连接至Interneto在启动NAT的接I I POS2/0/0所在的槽位2 （通往 Intemet的出接口）上启动NAT日志。日志服务器的IP地址为101.10丄1/24。在配置前，需要保证NAT己正确配置，用户可以正常访问Interneto图4-5 NAT用户日志典型配置组网图Enable NAT log途 RouterGE 1/0/0Log i information JEthernetInternalu

26、serInternaluser配置步骤步骤1启动NAT日志功能。Router ip userlog nat slot 2步骤2设置日志输出报文的目的服务器地址及端口号。Router ip userlog nat export host 1500步骤3设置日志输出报文的源IP地址。Router interface loopback 1Router-LoopBackl ip address 55Router-LoopBackl quitRouter ip userlog nat export source-ip 步骤4检

27、查配置结果在路由器上执行display ip userlog export slot命令后，可以观察到类似以下的内容。NAT:Version 1 export is enabledExport logs to (Port: 1500)Export using source address 0 logs exported in 0 udp datagrams0 logs in 0 udp datagrams failed to output0 entries buffered currently-结束配置文件ip userlog nat slot 2ip us

28、erlog nat export host 1500 ip userlog nat export source-ip interface LoopBacklip address 554.5.3 NAT内部服务器多实例配置举例组网需求如图4-6所示，CE和Server属于某VPN (vpna), Router属于公网设备，要求Router 能够访问vpna中的Server。配置思路 搭建MPLS VPN坏境。 在PE上配置NAT转换。 配置访问VPN Instance所需的静态路由。数据准备vpna 中 Server

29、的外部地址是 202.3& 160.100/24。配置步骤步骤1配置基本BGP/MPLS IP VPN具体过程请参见VRP配置指南VPN。完成此步后，PE 可以 piiig 通 。在 PE 上执行 ping vpn-instance vpna ,可以 ping 通。但 Router 上不能 ping 通 202.3&160.100。步骤2在PE上进行NAT转换#配置地址池和访问控制列表，在接口上配置地址池关联以及内部服务器。 system-viewPE interface Pos6/0/0 PE-Pos6/0/0 nat server vpn-instanc

30、e vpna global 00 inside 步骤3配置访问VPN Instance需要的静态路由#在PE上配置从公网到/24的静态路由，配置从私网回到Router的静态路 由PE ip route-static vpn-instance vpna PE ip route-static vpn-instance vpna public#在CE上配置到Router的静态路由，CE ip route-static

31、 Pos6/0/0#在Router上配置到/24的静态路由Router ip route-static Pos6/0/0步骤4检查配置结果在 Router 上 piiig server 转换后的地址 202.3& 160.100,可以 piiig 通。-结束配置文件 PE的配置文件sysname PEip vpn-instance vpnaroute-disringuisher 100:1vpn-target 1:1 export-extcommunityvpn-target 1:1 import-exccommunicympls lsr-id mplslsp-trigger allmpls ldpinterface Po