| Оглавление | ||
|---|---|---|
|
action destination-nat
Данной командой выполняется трансляция адреса и порта получателя для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
action destination-nat { off | pool <NAME> | netmap <ADDR/LEN> }no action destination-nat
Параметры
off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен;
...
netmap <ADDR/LEN> – IP-подсеть, используемая при трансляции. У трафика, попадающего под заданные критерии, будет изменен IP-адрес получателя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
Пример
| Блок кода |
|---|
esr(config-dnat-rule)# action destination-nat netmap 10.10.10.0/24 |
action source-nat
Данной командой назначается тип действия «трансляция адреса и порта отправителя» и параметры трансляции для трафика, удовлетворяющего критериям, заданным командами «match».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
action source-nat { off | pool <NAME> | netmap <ADDR/LEN> [static] | interface [FIRST_PORT – LAST_PORT] }no action source-nat
Параметры
off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен;
...
interface [FIRST_PORT – LAST_PORT] – задаёт трансляцию в IP-адрес интерфейса. У трафика, попадающего под заданные критерии, будет изменён IP-адрес отправителя на IP-адрес интерфейса, в который трафик будет отправлен. Если дополнительно задан диапазон TCP/UDP-портов, то трансляция будет происходить ещё и для TCP/UDP-портов отправителя, они будут заменены на указанный диапазон портов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# action source-nat netmap 10.10.10.0/24 |
description
Данной командой задаётся описание.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
...
CONFIG-DNAT-POOL
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-ruleset)# description "test ruleset" |
enable
Данной командой активируется конфигурируемое правило.
Отрицательная форма команды (no) деактивирует использование правила.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# enable |
from
Данной командой ограничивается область применения группы правил. Правила будут применяться только для трафика, идущего из определенной зоны или интерфейса.
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
Синтаксис
from { zone <NAME> | interface <IF> | tunnel <TUN> | default }no from
Параметры
<NAME> – имя зоны изоляции, задается строкой до 12 символов.
...
| Примечание |
|---|
Группа правил со значением «default» параметра «from» может быть только одна. |
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-dnat-ruleset)# from zone untrusted |
ip address
Данной командой устанавливается внутренний IP-адрес, на который будет заменяться IP-адрес получателя.
Использование отрицательной формы команды (no) удаляет заданный IP-адрес.
Синтаксис
ip address <ADDR>
no ip address
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-POOL
Пример
| Блок кода |
|---|
esr(config-dnat-pool)# ip address 10.10.10.10 |
ip address-range
Данной командой задаётся диапазон внешних IP-адресов, на которые будет заменяться IP-адрес отправителя.
Использование отрицательной формы команды (no) удаляет заданный диапазон адресов.
Синтаксис
ip address-range <IP>[-<ENDIP>]
no ip address-range
Параметры
<IP> – IP-адрес начала диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ENDIP> – IP-адрес конца диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-pool)# ip address-range 10.10.10.1-10.10.10.20 |
ip nat proxy-arp
Данная команда позволяет маршрутизатору отвечать на ARP-запросы IP-адресов из указанного пула. Функция необходима для того, чтобы не назначать все IP-адреса из пула трансляции на интерфейсе.
Синтаксис
ip nat proxy-arp <OBJ-GROUP-NETWORK-NAME>
no ip nat proxy-arp
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Значение по умолчанию
Функция NAT Proxy ARP отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
...
CONFIG-CELLULAR-MODEM
CONFIG-LT
Пример
| Блок кода |
|---|
esr(config-if-gi)# ip nat proxy-arp nat-pool |
ip port
Данной командой устанавливается внутренний TCP/UDP-порт, на который будет заменяться TCP/UDP-порт получателя.
Использование отрицательной формы команды (no) удаляет заданный TCP/UDP-порт.
Синтаксис
ip port <PORT>
no ip port
Параметры
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-POOL
Пример
| Блок кода |
|---|
esr(config-dnat-pool)# ip port 5000 |
ip port-range
Данной командой задаётся диапазон внешних TCP/UDP-портов, на которые будет заменяться TCP/UDP-порт отправителя.
Использование отрицательной формы команды (no) удаляет заданный диапазон портов.
Синтаксис
ip port-range <PORT>[-<ENDPORT>]
no ip port-range
Параметры
<PORT> – TCP/UDP-порт начала диапазона, принимает значения [1..65535];
<ENDPORT> – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/UDP-порт начала диапазона.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-pool)# ip port-range 20-100 |
match destination-address
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }no match destination-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match destination-address object-group remote |
match destination-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }no match destination-address
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535].
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match destination-address object-group local |
match destination-port
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }no match destination-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match destination-port object-group ssh |
match icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }no match icmp
Параметры
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0 ..255];
...
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Значение по умолчанию
any any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match icmp 2 any |
match protocol
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
...
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
...
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match protocol udp |
match source-address
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }no match source-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match source-address object-group local |
match source-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535].
...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match source-address-port object-group admin |
match source-port
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }no match source-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match source-port object-group telnet |
nat alg
Данная команда включает функцию трансляции IP-адресов в заголовках уровня приложений.
Использование отрицательной формы команды (no) отключает функцию трансляции IP-адресов в заголовках уровня приложений.
Синтаксис
[no] nat alg { <PROTOCOL> }Параметры
<PROTOCOL> – протокол уровня приложений, в заголовках которого должна работать трансляция адресов, принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp].
Вместо имени отдельного протокола можно использовать ключ "all", который включает трансляцию IP-адресов в заголовках всех доступных протоколов.
Значение по умолчанию
Функцию трансляции IP-адресов в заголовках уровня приложений отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# nat alg ftp |
nat destination
Данная команда позволяет войти в режим настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
Синтаксис
[no] nat destination
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# nat destination esr(config-dnat)# |
nat source
Данная команда позволяет войти в режим настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
Синтаксис
[no] nat source
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# nat source esr(config-snat)# |
persistent
Командой выполняется включение функции NAT persistent.
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] persistent
Параметры
Команда не содержит параметров.
Значение по умолчанию
Функция NAT persistent отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-pool)# persistent |
pool
Команда создаёт и назначает пул IP-адресов и TCP/UDP-портов с определённым именем для сервиса NAT и меняет командный режим на SNAT POOL или DNAT POOL.
...
Использование отрицательной формы команды (no) удаляет заданный пул NAT-адресов.
Синтаксис
[no] pool <NAME>
Параметры
<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пулы IP-адресов и TCP/UDP-портов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT
CONFIG-SNAT
Пример
| Блок кода |
|---|
esr(config-snat)# pool nat esr(config-snat-pool)# |
rearrange
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-dnat-ruleset)# rearrange 10 |
renumber rule
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-dnat-ruleset)# renumber rule 13 100 |
rule
Данной командой создается правило c определённым номером и устанавливается режим командного интерфейса SNAT RULE или DNAT RULE. Правила обрабатываются устройством в порядке возрастания номеров правил.
Использование отрицательной формы команды (no) удаляет правило по номеру либо все правила.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1 .. 10000]. Если использовать команду для удаления, то при указании значения «all» будут удалены все правила.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-snat-ruleset)# rule 10 esr(config-snat-rule)# |
ruleset
Данная команда используется для создания группы правил с определённым именем и перехода в командный режим SNAT RULESET или DNAT RULESET.
Использование отрицательной формы команды (no) удаляет заданную группу правил.
Синтаксис
[no] ruleset <NAME>
Параметры
<NAME> – имя группы правил, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все группы правил.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT
CONFIG-SNAT
Пример
| Блок кода |
|---|
esr(config-snat)# ruleset wan esr(config-snat-ruleset)# |
show ip nat alg
Данная команда используется для просмотра информации о функционале трансляции IP-адресов в заголовках уровня приложений.
Синтаксис
show ip nat alg
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip nat alg
ALG Status:
FTP: Enabled
H.323: Disabled
GRE: Disabled
PPTP: Disabled
SIP: Disabled
SNMP: Disabled
TFTP: Disabled |
show ip nat pool
Данная команда используется для просмотра пулов внутренних и внешних IP-адресов и TCP/UDP-портов.
Синтаксис
show ip nat <TYPE> pools
Параметры
<TYPE> – тип пулов, для просмотра:
- source – внешние IP-адреса и TCP/UDP-порты;
- destination – внутренние IP-адреса и TCP/UDP-порты.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show nat source pools
Pools
~~~~~
ID Name Ip address Port Description Persi
range stent
---- --------------------- ----------------- ------- ----------- -----
0 outside 25.56.48.11 2000 – outside-poo false
3000 l |
show ip nat ruleset
Данной командой выполняется просмотр всех или выбранных групп правил, используемых функцией NAT.
Синтаксис
show ip nat <TYPE> ruleset [<NAME>]
Параметры
<TYPE> – тип группы правил:
...
[NAME] – имя группы правил, опциональный параметр. Если имя не задано – будет выведен список всех групп правил.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip nat source rulesets
Rulesets
~~~~~~~~
ID Name To Description
---- -------------------------------- ------------------ -----------------
0 factory zone 'untrusted'
1 test gigabitethernet test
1/0/1
esr# show ip nat source rulesets factory
Ruleset: factory
Description:
To: none
Rules:
------
Order: 10
Description: replace 'source ip' by outgoing interface ip address
Matching pattern:
Protocol: any(0)
Src-addr: any
Dest-addr: any
Action: interface port any
Status: Enabled
-------------------------------------------------------------------------------- |
show ip nat translations
Данная команда используется для просмотра сессий трансляции. Для просмотра информации о статистике необходимо включить счетчики (раздел ip firewall mode).
Синтаксис
show ip nat translations [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены сессии трансляций в указанном VRF;
...
- inside-source-address – ключ для указания IP-адреса источника на выходе из маршрутизатора;
- inside-destination-address – ключ для указания IP-адреса назначения после трансляции;
- outiside-source-address – ключ для указания IP-адреса источника на входе в маршрутизатор;
- outside-destination-address – ключ для указания IP-адреса назначения до трансляции;
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример 1
Source NAT
| Блок кода |
|---|
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 115.0.0.10 1.1.0.2 1.1.0.24 1.1.0.2 3 252 |
Пример 2
Destination NAT
| Блок кода |
|---|
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 1.1.0.2 115.0.0.10 1.1.0.2 1.1.0.16 -- -- |
show ip nat proxy-arp
Данная команда используется для просмотра настроек NAT Proxy ARP.
Синтаксис
show ip nat proxy-arp
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show nat proxy-arp Interface IP address range ----------- --------------------------------------------- gi1/0/15 115.0.0.15-115.0.0.100 |
to
Данной командой ограничивается область применения группы правил. Правила будут применяться только для трафика, идущего в определенную зону или интерфейс.
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
Синтаксис
to { zone <NAME> | interface <IF> | tunnel <TUN> | default }no to
Параметры
<NAME> – имя зоны изоляции;
...
| Примечание |
|---|
Группа правил со значением «default» параметра «to» может быть только одна. |
Значение по умолчанию
None
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-snat)# ruleset test esr(config-snat-ruleset)# to interface gigabitethernet 1/0/1 |
...