...
| Блок кода |
|---|
esr(config-snat-rule)# action source-nat netmap 10.10.10.0/24 |
check output-interface
Данной командой разрешается очистка SNAT-сессий, в случае если выходной интерфейс изменен.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
check output-interface
no check output-interface
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# check output-interface |
description
Данной командой задаётся описание.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
...
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
...
CONFIG-DNAT-POOL
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-ruleset)# description "test ruleset" |
...
Отрицательная форма команды (no) деактивирует использование правила.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# enable |
...
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
Синтаксис
from { zone <NAME> | interface <IF> | tunnel <TUN> | default }...
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-dnat-ruleset)# from zone untrusted |
...
Использование отрицательной формы команды (no) удаляет заданный IP-адрес.
Синтаксис
ip address <ADDR>
no ip address
...
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-POOL
Пример
| Блок кода |
|---|
esr(config-dnat-pool)# ip address 10.10.10.10 |
...
Использование отрицательной формы команды (no) удаляет заданный диапазон адресов.
Синтаксис
ip address-range <IP>[-<ENDIP>]
...
<ENDIP> – IP-адрес конца диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-pool)# ip address-range 10.10.10.1-10.10.10.20 |
...
Данная команда позволяет маршрутизатору отвечать на ARP-запросы IP-адресов из указанного пула. Функция необходима для того, чтобы не назначать все IP-адреса из пула трансляции на интерфейсе.
Синтаксис
ip nat proxy-arp <OBJ-GROUP-NETWORK-NAME>
...
Функция NAT Proxy ARP отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-GIIF-IG
CONFIG-IF-TE
CONFIG-SUBIFIF-TWE
CONFIG-QINQIF-FO
CONFIG-IF-HU
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-IF-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-CELLULAR-MODEM
CONFIG-LT
Пример
| Блок кода |
|---|
esr(config-if-gi)# ip nat proxy-arp nat-pool |
...
Использование отрицательной формы команды (no) удаляет заданный TCP/UDP-порт.
Синтаксис
ip port <PORT>
no ip port
Параметры
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-POOL
Пример
| Блок кода |
|---|
esr(config-dnat-pool)# ip port 5000 |
...
Использование отрицательной формы команды (no) удаляет заданный диапазон портов.
Синтаксис
ip port-range <PORT>[-<ENDPORT>]
...
<ENDPORT> – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/UDP-порт начала диапазона.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-pool)# ip port-range 20-100 |
...
При использовании команды «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match destination-address object-group remote |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match destination-address object-group local |
...
Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match destination-port object-group ssh |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }...
Значение по умолчанию
any any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match icmp 2 any |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
...
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match protocol udp |
...
Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }...
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match source-address object-group local |
...
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>...
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match source-address-port object-group admin |
...
При использовании команды «not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }...
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
| Блок кода |
|---|
esr(config-snat-rule)# match source-port object-group telnet |
...
Использование отрицательной формы команды (no) отключает функцию трансляции IP-адресов в заголовках уровня приложений.
Синтаксис
[no] nat alg { <PROTOCOL> }...
Функцию трансляции IP-адресов в заголовках уровня приложений отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# nat alg ftp |
...
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
Синтаксис
[no] nat destination
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# nat destination esr(config-dnat)# |
...
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
Синтаксис
[no] nat source
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
| Блок кода |
|---|
esr(config)# nat source esr(config-snat)# |
...
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] persistent
Параметры
Команда не содержит параметров.
...
Функция NAT persistent отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
| Блок кода |
|---|
esr(config-snat-pool)# persistent |
...
Использование отрицательной формы команды (no) удаляет заданный пул NAT-адресов.
Синтаксис
[no] pool <NAME>
Параметры
<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пулы IP-адресов и TCP/UDP-портов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT
CONFIG-SNAT
Пример
| Блок кода |
|---|
esr(config-snat)# pool nat esr(config-snat-pool)# |
...
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-dnat-ruleset)# rearrange 10 |
...
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
...
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-dnat-ruleset)# renumber rule 13 100 |
...
Использование отрицательной формы команды (no) удаляет правило по номеру либо все правила.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1 .. 10000]. Если использовать команду для удаления, то при указании значения «all» будут удалены все правила.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-snat-ruleset)# rule 10 esr(config-snat-rule)# |
...
Использование отрицательной формы команды (no) удаляет заданную группу правил.
Синтаксис
[no] ruleset <NAME>
Параметры
<NAME> – имя группы правил, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все группы правил.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT
CONFIG-SNAT
Пример
| Блок кода |
|---|
esr(config-snat)# ruleset wan esr(config-snat-ruleset)# |
...
Данная команда используется для просмотра информации о функционале трансляции IP-адресов в заголовках уровня приложений.
Синтаксис
show ip nat alg
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip nat alg
ALG Status:
FTP: Enabled
H.323: Disabled
GRE: Disabled
PPTP: Disabled
SIP: Disabled
SNMP: Disabled
TFTP: Disabled |
...
Данная команда используется для просмотра пулов внутренних и внешних IP-адресов и TCP/UDP-портов.
Синтаксис
show ip nat <TYPE> pools
Параметры
...
- source – внешние IP-адреса и TCP/UDP-порты;
- destination – внутренние IP-адреса и TCP/UDP-порты.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show nat source pools
Pools
~~~~~
ID Name Ip address Port Description Persi
range stent
---- --------------------- ----------------- ------- ----------- -----
0 outside 25.56.48.11 2000 – outside-poo false
3000 l |
...
Данной командой выполняется просмотр всех или выбранных групп правил, используемых функцией NAT.
Синтаксис
show ip nat <TYPE> ruleset [<NAME>]
...
[NAME] – имя группы правил, опциональный параметр. Если имя не задано – будет выведен список всех групп правил.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show ip nat source rulesets
Rulesets
~~~~~~~~
ID Name To Description
---- -------------------------------- ------------------ -----------------
0 factory zone 'untrusted'
1 test gigabitethernet test
1/0/1
esr# show ip nat source rulesets factory
Ruleset: factory
Description:
To: none
Rules:
------
Order: 10
Description: replace 'source ip' by outgoing interface ip address
Matching pattern:
Protocol: any(0)
Src-addr: any
Dest-addr: any
Action: interface port any
Status: Enabled
-------------------------------------------------------------------------------- |
...
Данная команда используется для просмотра сессий трансляции. Для просмотра информации о статистике необходимо включить счетчики (раздел ip firewall mode).
Синтаксис
show ip nat translations [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ]
...
- inside-source-address – ключ для указания IP-адреса источника на выходе из маршрутизатора;
- inside-destination-address – ключ для указания IP-адреса назначения после трансляции;
- outiside-source-address – ключ для указания IP-адреса источника на входе в маршрутизатор;
- outside-destination-address – ключ для указания IP-адреса назначения до трансляции;
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример 1
Source NAT
| Блок кода |
|---|
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 115.0.0.10 1.1.0.2 1.1.0.24 1.1.0.2 3 252 |
...
Данная команда используется для просмотра настроек NAT Proxy ARP.
Синтаксис
show ip nat proxy-arp
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
| Блок кода |
|---|
esr# show nat proxy-arp Interface IP address range ----------- --------------------------------------------- gi1/0/15 115.0.0.15-115.0.0.100 |
...
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
Синтаксис
to { zone <NAME> | interface <IF> | tunnel <TUN> | default }...
Значение по умолчанию
None
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULESET
Пример
| Блок кода |
|---|
esr(config-snat)# ruleset test esr(config-snat-ruleset)# to interface gigabitethernet 1/0/1 |
...