04-网络协议配置命令 空间中分配。(多遵从RFC1918) local-port 设置本地 TCP/UDP端口号,范围为1~65535。 设置TCP端口翻译 设置UDP端口翻译 network globak-network设置全局网段翻译 local-network 设置本地网段翻译 mask 设置网段翻译的网络掩码 缺省 不存在来自外部网络的源地址到内部网络地址的翻译。 命令模式 全局配置态 使用说明 可能你用了不是合法的、正式分配得到的伊P地址。可能你选择了已经被正式分配给其他 网络的P地址。这种|P地址既被合法的使用了(外部网)又被非法的使用着(内部网络) 的情况叫做“地址重叠”( overlapping你可以用NAT来翻译和外部地址重叠的内部地址 如果你的单连接网络中的P地址碰巧和分配给其他网络的合法|P地址相同,并且你需要 和这些主机或路由器通信,那么你可以用这个功能 这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态地址翻 译。来自和标准访问列表相匹配的地址的报文,将用指定的地址池中分配的本地地址来 进行地址翻译,这个地址池是用 ip nat pool命令所指定的。 作为可以替代的方法,带有关键字 STATIC的语法格式创建一条单独的静态翻译。 示例 下面的例子把来自9.114.110网络的内部主机间进行通信的P地址翻译为 17169233208/28网络中全局唯一的|P地址。更进一步地,来自9114.110网络(真 实存在的9114110网络)编址的外部主机的报文,被翻译为以来自10.010/24网络的 面目出现。 ip nat pool net2081716923320817169233223255255255240 ip nat pool net-1010.0.1010.0.12552552552550 ip nat inside source list a1 pool net-208 ip nat outside source list a1 pool net-10 interface ethernet o ip address171.69.232182255255255240
04-网络协议配置命令 空间中分配。(多遵从RFC 1918) local-port 设置本地TCP/UDP端口号,范围为1~65535。 tcp 设置TCP端口翻译 udp 设置UDP端口翻译 network global-network 设置全局网段翻译 local-network 设置本地网段翻译 mask 设置网段翻译的网络掩码 缺省 不存在来自外部网络的源地址到内部网络地址的翻译。 命令模式 全局配置态 使用说明 可能你用了不是合法的、正式分配得到的 IP 地址。可能你选择了已经被正式分配给其他 网络的 IP 地址。这种 IP 地址既被合法的使用了(外部网)又被非法的使用着(内部网络) 的情况叫做“地址重叠(” overlapping)。你可以用 NAT 来翻译和外部地址重叠的内部地址。 如果你的单连接网络中的 IP 地址碰巧和分配给其他网络的合法 IP 地址相同,并且你需要 和这些主机或路由器通信,那么你可以用这个功能。 这个命令有两种形式:动态的和静态的地址翻译。带有访问列表的格式建立动态地址翻 译。来自和标准访问列表相匹配的地址的报文,将用指定的地址池中分配的本地地址来 进行地址翻译,这个地址池是用 ip nat pool 命令所指定的。 作为可以替代的方法,带有关键字 STATIC 的语法格式创建一条单独的静态翻译。 示例 下面的例子 把来自 9.114.11.0 网 络 的内部主机 间进行通信 的 IP 地址翻译为 171.69.233.208/28 网络中全局唯一的 IP 地址。更进一步地,来自 9.114.11.0 网络(真 实存在的 9.114.11.0 网络)编址的外部主机的报文,被翻译为以来自 10.0.1.0/24 网络的 面目出现。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat pool net-10 10.0.1.0 10.0.1.255 255.255.255.0 ip nat inside source list a1 pool net-208 ip nat outside source list a1 pool net-10 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 - 22 -
04-网络协议配置命令 ip nat outside ip address9.11.1139255255255.0 ip nat inside pemt9.11411.0255255255.0 2.1.6 ip nat pool 用 ip nat pool全局配置命令,定义一个用于NAT的P地址池。用这个命令的NO形式, 可以删除指定名字的P地址池,可以配置相同名字的地址池来覆盖已配置的地址池 ip nat pool name start-ip end-ip netmask [rotary] no ip nat pool name 参数 数说明 name 也的名字 start-ip 定义地址池的范围:起始地址。 nd-ip 定义地址池的范围:结束地址。 子网掩码。子网掩码表明地址中的那些位是属于网络和子网部分,而哪些位 属于主机部分。指定|P池中地址所属的网络的子网掩码。 轮循地址池。 缺省 没有定义IP池 命令模式 全局配置态 使用说明 这个命令用起始地址,结束地址以及子网掩码来定义一个地址池。注意,在PAT规则下, 地址池的轮循规则只有当一个地址使用完结时(即关于这个地址的所有连接都老化后)才 去取下一个地址,即同一使用时间内,内部全局地址始终只有一个
04-网络协议配置命令 ip nat outside ! interface ethernet 1 ip address 9.114.11.39 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 9.114.11.0 255.255.255.0 ! 2.1.6 ip nat pool 用 ip nat pool 全局配置命令,定义一个用于 NAT 的 IP 地址池。用这个命令的 NO 形式, 可以删除指定名字的 IP 地址池,可以配置相同名字的地址池来覆盖已配置的地址池 ip nat pool name start-ip end-ip netmask [rotary] no ip nat pool name 参数 参数 参数说明 name 池的名字。 start-ip 定义IP地址池的范围:起始地址。 end-ip 定义IP地址池的范围:结束地址。 netmask 子网掩码。子网掩码表明地址中的那些位是属于网络和子网部分,而哪些位 属于主机部分。指定IP池中地址所属的网络的子网掩码。 rotary 轮循地址池 。 缺省 没有定义 IP 池。 命令模式 全局配置态 使用说明 这个命令用起始地址,结束地址以及子网掩码来定义一个地址池。注意,在 PAT 规则下, 地址池的轮循规则:只有当一个地址使用完结时(即关于这个地址的所有连接都老化后),才 去取下一个地址,即同一使用时间内,内部全局地址始终只有一个。 - 23 -
04-网络协议配置命令 示例 下面的例子把来自192168.1.0或192.1682.0网络的内部主机间进行通信的P地址翻 译为1716923320828网络中全局唯一的P地址。 ip nat pool net208171.69233208171.69233223255.255.255.240 interface ethernet o ip address17169232182255.255.255240 ip nat outside interface ethernet 1 ip address192168194255.255.2550 ip nat inside ip access-list standard a1 pemt192168.1.0255255255.0 permit19216820255255255.0 2.1.7 nat service 此命令是为Nat支持的各种服务提供的一个入口函数,目前支持三类的服务。缺省各种 服务都为关闭状态 ip nat service[ h323 privateservice I peek 1 no ip nat service[ h323 privateservice I peek 参数 无 缺省 关闭 命令模式 全局配置态 使用说明 h323对voip的支持,它用来控制Nat对h323的支持
04-网络协议配置命令 示例 下面的例子把来自 192.168.1.0 或 192.168.2.0 网络的内部主机间进行通信的 IP 地址翻 译为 171.69.233.208/28 网络中全局唯一的 IP 地址。 ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240 ip nat inside source list a1 pool net-208 ! interface ethernet 0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface ethernet 1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! ip access-list standard a1 permit 192.168.1.0 255.255.255.0 permit 192.168.2.0 255.255.255.0 2.1.7 ip nat service 此命令是为 Nat 支持的各种服务提供的一个入口函数,目前支持三类的服务。缺省各种 服务都为关闭状态。 ip nat service { h323 | privateservice | peek } no ip nat service { h323 | privateservice | peek } 参数 无 缺省 关闭 命令模式 全局配置态 使用说明 h323 对 voip 的支持,它用来控制 Nat 对 h323 的支持; - 24 -
04-网络协议配置命令 privateservice是Nat对网吧设置内部游戏服务器的支持,如:传奇等;它可以控制Nat 对于私服的支持 peek是Nat对网吧内部监控游戏服务器的支持,通过搭配公司的客户端软家,可以对内 部用户出网的情况进行监控 no方式可以关闭相应的功能 示例 ip nat service privateservice ip nat service peek ip nat service h323 no ip nat service peek 2.1.8 ip nat translation ip nat translation全局配置命令,主要有以下两种用途: 其一,改变NAT翻译超时的时间值,用这个命令的NO形式,可以关闭超时。 ip nat translation ( timeout udp-timeout I dns-timeout I tcp-timeout I finrst-timeout icmp-timeout I syn-timeout seconds no ip nat translation (timeout I udp-timeout I dns-timeout I tcp-timeout I finrst-timeout icmp-timeout I syn-timeout y 其二,改变针对NAT翻译表项的一些参数值,用此命令的NO形式,可以去掉配置,有 默认值的恢复默认值 ip nat translation( max-entries max-links( A.B.C. D I all]) seconds no ip nat translation max-entries I max-links( A B.C. D I all] 参数 参数 timeout 指定用于除 OVERLOAD翻译之外的动态翻译的超时值。缺省值是3600秒(1 udp-timeout 指定用于UDP端口的超时值。缺省值是300秒(5分钟) dns-timeout 指定用于连到DNS的超时值。缺省值是60秒 指定用于TCP端口的超时值。缺省值是3600秒(1小时) 指定用于 Finish and reset tcp报文的超时值,这个值用于终止一个翻译表 项。缺省值使60秒 设置CMP的NAT超时时间,缺省值是60秒 max-entries 设置NAT的最大翻译条目数缺省值是4000
04-网络协议配置命令 privateservice 是 Nat 对网吧设置内部游戏服务器的支持,如:传奇等;它可以控制 Nat 对于私服的支持; peek 是 Nat 对网吧内部监控游戏服务器的支持,通过搭配公司的客户端软家,可以对内 部用户出网的情况进行监控。 no 方式可以关闭相应的功能; 示例 ip nat service privateservice ip nat service peek ip nat service h323 no ip nat service peek 2.1.8 ip nat translation ip nat translation 全局配置命令,主要有以下两种用途: 其一,改变 NAT 翻译超时的时间值,用这个命令的 NO 形式,可以关闭超时。 ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | syn-timeout } seconds no ip nat translation {timeout | udp-timeout | dns-timeout | tcp-timeout | finrst-timeout | icmp-timeout | syn-timeout } 其二,改变针对 NAT 翻译表项的一些参数值,用此命令的 NO 形式,可以去掉配置,有 默认值的恢复默认值。 ip nat translation { max-entries | max-links{A.B.C.D | all} } seconds no ip nat translation { max-entries | max-links{A.B.C.D | all} } 参数 参数 参数说明 timeout 指定用于除OVERLOAD翻译之外的动态翻译的超时值。缺省值是3600秒(1 小时) udp-timeout 指定用于UDP端口的超时值。缺省值是300秒(5分钟) dns-timeout 指定用于连到DNS的超时值。缺省值是60秒 tcp-timeout 指定用于TCP端口的超时值。缺省值是3600秒(1小时) finrst-timeout 指定用于Finish and Reset TCP报文的超时值,这个值用于终止一个翻译表 项。缺省值使60秒 icmp-timeout 设置ICMP的NAT超时时间,缺省值是60秒 max-entries 设置NAT的最大翻译条目数,缺省值是4000 - 25 -
04-网络协议配置命令 syn-timeout 设置 TCP SYN状态的NAT超时时间缺省值是60秒 seconds 指定端口翻译的超时值。缺省值是在缺省部分所罗列出来的值 max-links A.B.C. D针对指定的内部P地址,限制该P地址能建立NAT翻译表项的最大数目,无 缺省值,当用该命令的no形式时,即不在限制该P地址建立NAT翻译表项的 数目 max-links all 针对所有的内部P地址,限制单个P地址能建立NAT翻译表项的最大数目。 缺省值与 max-entries相同 缺省 timeout is 3600 seconds(1 hours) udp-timeout is 300 seconds(5 minutes) dns timeout is 60 seconds(1 minute) tcp-timeout is 3600 seconds(1 hours) finrst-timeout is 60 seconds(1 minute) 命令模式 全局配置态 使用说明 当配置了端口翻译之后,因为每个翻译条目包含了有关正在使用它的通信量更多的上下 文信息,因此可以对翻译条目进行更好的控制。非域名系统(DNS)的∪DP翻译在5分 钟后超时,而域名系统的UDP翻译在1分钟后超时。如果数据流中没有RST或F|N, TcP翻译在1个小时后超时;而在有RST或F|N的情况下,将在1分钟后超时。 示例 例1 下面的例子在10分钟之后使UDP端口翻译条目超时: ip nat translation udp-timeout 600 例2 下面的例子限制P地址192168201建立的NAT翻译表项的最大数目为100: ip nat translation max-links 192 168 20.1 100
04-网络协议配置命令 syn-timeout 设置TCP SYN状态的NAT超时时间,缺省值是60秒 seconds 指定端口翻译的超时值。缺省值是在缺省部分所罗列出来的值 max-links A.B.C.D 针对指定的内部IP地址,限制该IP地址能建立NAT翻译表项的最大数目,无 缺省值,当用该命令的no形式时,即不在限制该IP地址建立NAT翻译表项的 数目 max-links all 针对所有的内部IP地址,限制单个IP地址能建立NAT翻译表项的最大数目。 缺省值与max-entries相同 缺省 timeout is 3600 seconds (1 hours) udp-timeout is 300 seconds (5 minutes) dns-timeout is 60 seconds (1 minute) tcp-timeout is 3600 seconds (1 hours) finrst-timeout is 60 seconds (1 minute) 命令模式 全局配置态 使用说明 当配置了端口翻译之后,因为每个翻译条目包含了有关正在使用它的通信量更多的上下 文信息,因此可以对翻译条目进行更好的控制。非域名系统(DNS)的 UDP 翻译在 5 分 钟后超时,而域名系统的 UDP 翻译在 1 分钟后超时。如果数据流中没有 RST 或 FIN, TCP 翻译在 1 个小时后超时;而在有 RST 或 FIN 的情况下,将在 1 分钟后超时。 示例 例 1: 下面的例子在 10 分钟之后使 UDP 端口翻译条目超时: ip nat translation udp-timeout 600 例 2: 下面的例子限制 IP 地址 192.168.20.1 建立的 NAT 翻译表项的最大数目为 100: ip nat translation max-links 192.168.20.1 100 - 26 -