action destination-nat
Данной командой выполняется трансляция адреса и порта получателя для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
action destination-nat { off | pool <NAME> | netmap <ADDR/LEN> }no action destination-nat
Параметры
off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен;
pool <NAME> – имя пула, содержащего набор IP-адресов и/или TCP/UDP-портов. У трафика, попадающего под заданные критерии, будет изменен IP-адрес и TCP/UDP-порт получателя на значения, выбранные из пула;
netmap <ADDR/LEN> – IP-подсеть, используемая при трансляции. У трафика, попадающего под заданные критерии, будет изменен IP-адрес получателя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
Пример
esr(config-dnat-rule)# action destination-nat netmap 10.10.10.0/24
action source-nat
Данной командой назначается тип действия «трансляция адреса и порта отправителя» и параметры трансляции для трафика, удовлетворяющего критериям, заданным командами «match».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
action source-nat { off | pool <NAME> | netmap <ADDR/LEN> [static] | interface [FIRST_PORT – LAST_PORT] }no action source-nat
Параметры
off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен;
pool <NAME> – задаёт пул IP-адресов и/или TCP/UDP-портов. У трафика, попадающего под заданные критерии, будет изменен IP-адрес и/или TCP/UDP-порт отправителя на значения, выбранные из пула;
netmap <ADDR/LEN> – задаёт IP-подсеть для трансляции. У трафика, попадающего под заданные критерии, будет изменен IP-адрес отправителя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
static – включение статического NAT, доступно при использовании netmap;
interface [FIRST_PORT – LAST_PORT] – задаёт трансляцию в IP-адрес интерфейса. У трафика, попадающего под заданные критерии, будет изменён IP-адрес отправителя на IP-адрес интерфейса, в который трафик будет отправлен. Если дополнительно задан диапазон TCP/UDP-портов, то трансляция будет происходить ещё и для TCP/UDP-портов отправителя, они будут заменены на указанный диапазон портов.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# action source-nat netmap 10.10.10.0/24
check output-interface
Данной командой разрешается очистка SNAT сессий, в случае если выходной интерфейс изменен.
Использование отрицательной формы команды (no) удаляет назначенное действие.
Синтаксис
check output-interface
no check output-interface
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# check output-interface
description
Данной командой задаётся описание.
Использование отрицательной формы команды (no) удаляет описание.
Синтаксис
description <DESCRIPTION>
no description
Параметры
<DESCRIPTION> – описание, задаётся строкой до 255 символов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
CONFIG-DNAT-POOL
CONFIG-SNAT-POOL
Пример
esr(config-snat-ruleset)# description "test ruleset"
enable
Данной командой активируется конфигурируемое правило.
Отрицательная форма команды (no) деактивирует использование правила.
Синтаксис
[no] enable
Параметры
Команда не содержит параметров.
Значение по умолчанию
Отключено.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# enable
from
Данной командой ограничивается область применения группы правил. Правила будут применяться только для трафика, идущего из определенной зоны или интерфейса.
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
Синтаксис
from { zone <NAME> | interface <IF> | tunnel <TUN> | default }no from
Параметры
<NAME> – имя зоны изоляции, задается строкой до 12 символов.
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил.
Группа правил со значением «default» параметра «from» может быть только одна.
Значение по умолчанию
Отсутствует.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
Пример
esr(config-dnat-ruleset)# from zone untrusted
ip address
Данной командой устанавливается внутренний IP-адрес, на который будет заменяться IP-адрес получателя.
Использование отрицательной формы команды (no) удаляет заданный IP-адрес.
Синтаксис
ip address <ADDR>
no ip address
Параметры
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-POOL
Пример
esr(config-dnat-pool)# ip address 10.10.10.10
ip address-range
Данной командой задаётся диапазон внешних IP-адресов, на которые будет заменяться IP-адрес отправителя.
Использование отрицательной формы команды (no) удаляет заданный диапазон адресов.
Синтаксис
ip address-range <IP>[-<ENDIP>]
no ip address-range
Параметры
<IP> – IP-адрес начала диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ENDIP> – IP-адрес конца диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
esr(config-snat-pool)# ip address-range 10.10.10.1-10.10.10.20
ip nat proxy-arp
Данная команда позволяет маршрутизатору отвечать на ARP-запросы IP-адресов из указанного пула. Функция необходима для того, чтобы не назначать все IP-адреса из пула трансляции на интерфейсе.
Синтаксис
ip nat proxy-arp <OBJ-GROUP-NETWORK-NAME>
no ip nat proxy-arp
Параметры
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Значение по умолчанию
Функция NAT Proxy ARP отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-IF-GI
CONFIG-TE
CONFIG-IF-SUB
CONFIG-IF-QINQ
CONFIG-IF-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-CELLULAR-MODEM
CONFIG-LT
Пример
esr(config-if-gi)# ip nat proxy-arp nat-pool
ip port
Данной командой устанавливается внутренний TCP/UDP-порт, на который будет заменяться TCP/UDP-порт получателя.
Использование отрицательной формы команды (no) удаляет заданный TCP/UDP-порт.
Синтаксис
ip port <PORT>
no ip port
Параметры
<PORT> – TCP/UDP-порт, принимает значения [1..65535].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-POOL
Пример
esr(config-dnat-pool)# ip port 5000
ip port-range
Данной командой задаётся диапазон внешних TCP/UDP-портов, на которые будет заменяться TCP/UDP-порт отправителя.
Использование отрицательной формы команды (no) удаляет заданный диапазон портов.
Синтаксис
ip port-range <PORT>[-<ENDPORT>]
no ip port-range
Параметры
<PORT> – TCP/UDP-порт начала диапазона, принимает значения [1..65535];
<ENDPORT> – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/UDP-порт начала диапазона.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
esr(config-snat-pool)# ip port-range 20-100
match destination-address
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] destination-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }no match destination-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match destination-address object-group remote
match destination-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] destination-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }no match destination-address
Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535].
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match destination-address object-group local
match destination-port
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] destination-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }no match destination-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match destination-port object-group ssh
match icmp
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP, кроме указанных.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }no match icmp
Параметры
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0 ..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0 ..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP;
<OPTION> – стандартные типы ICMP-сообщений, может принимать значения:
- administratively-prohibited;
- alternate-address;
- conversion-error;
- dod-host-prohibited;
- dod-network-prohibited;
- echo;
- echo-reply;
- host-isolated;
- host-precedence;
- host-redirect;
- host-tos-redirect;
- host-tos-unreachable;
- host-unknown;
- host-unreachable;
- information-reply;
- information-request;
- mask-reply;
- mask-request;
- network-redirect;
- network-tos-redirect;
- network-tos-unreachable;
- network-unknown;
- network-unreachable;
- option-missing;
- packet-too-big;
- parameter-problem;
- port-unreachable;
- precedence;
- protocol-unreachable;
- reassembly-timeout;
- router-advertisement;
- router-solicitation;
- source-quench;
- source-route-failed;
- time-exceeded;
- timestamp-reply;
- timestamp-request;
- traceroute.
Значение по умолчанию
any any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match icmp 2 any
match protocol
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех протоколов, кроме указанного.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] protocol <TYPE>
no match protocol
match [not] protocol-id <ID>
no match protocol-id
Параметры
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match protocol udp
match source-address
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для IP-адресов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] source-address { address-range { <ADDR>[-<ADDR>] | <IPV6-ADDR>[-<IPV6-ADDR>] } | prefix { <ADDR/LEN> | <IPv6-ADDR/LEN> } | object-group <OBJ-GROUP-NETWORK-NAME> | any }no match source-address
Параметры
address-range <ADDR>[-<ADDR>] – диапазон IP-адресов для правил firewall. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для срабатывания правила используется только IP-адрес начала диапазона.
Параметр задаётся в виде A.B.C.D, где каждая часть принимает значения [0..255]; <IPV6-ADDR> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF];
prefix <ADDR/LEN> – IP-подсеть, используемая для срабатывания правила фильтрации firewall. Параметр задаётся в виде A.B.C.D/E, где каждая часть A – D принимает значения [0..255] и E принимает значения [1..32]; <IPv6-ADDR/LEN> – IPv6-адрес, задаётся в виде X:X:X:X::X/E, где каждая часть X принимает значения в шестнадцатеричном формате [0..FFFF] и E принимает значения [1..128];
object-group <OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match source-address object-group local
match source-address-port
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для связок IP-адресов и TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
Синтаксис
match [not] source-address-port { address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } | object-group <OBJ-GROUP-ADDRESS-PORT-NAME> | any }
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>Параметры
address-port { <ADDR>:<PORT> | <IPV6-ADDR>:<PORT> } – связка IP-адресов и TCP/UDP-портов. IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255], номер порта, принимает значение [1..65535]. <IPV6-ADDR>:<PORT> – IPv6-адрес, задаётся в виде X:X:X:X::X, где каждая часть принимает значения в шестнадцатеричном формате [0..FFFF], номер порта, принимает значение [1..65535].
object-group <OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа.
При указании значения «any» правило не будет учитывать данный способ фильтрации.
Значение по умолчанию
any
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match source-address-port object-group admin
match source-port
Данной командой устанавливается профиль TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для TCP/UDP-портов отправителя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
Синтаксис
match [not] source-port { port-range <PORT>[-<PORT>] | object-group <PORT-SET-NAME> | any }no match source-port
Параметры
port-range <PORT>[-<PORT>] – address-port <PORT>[-<PORT>] – диапазон TCP/UDP-портов для правил firewall. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для срабатывания правила используется только порт начала диапазона.
<PORT-SET-NAME> – имя профиля TCP/UDP-портов, задаётся строка до 31 символа.
При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
Пример
esr(config-snat-rule)# match source-port object-group telnet
nat alg
Данная команда включает функцию трансляции IP-адресов в заголовках уровня приложений.
Использование отрицательной формы команды (no) отключает функцию трансляции IP-адресов в заголовках уровня приложений.
Синтаксис
[no] nat alg { <PROTOCOL> }Параметры
<PROTOCOL> – протокол уровня приложений, в заголовках которого должна работать трансляция адресов, принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp].
Вместо имени отдельного протокола можно использовать ключ "all", который включает трансляцию IP-адресов в заголовках всех доступных протоколов.
Значение по умолчанию
Функцию трансляции IP-адресов в заголовках уровня приложений отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# nat alg ftp
nat destination
Данная команда позволяет войти в режим настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
Синтаксис
[no] nat destination
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# nat destination esr(config-dnat)#
nat source
Данная команда позволяет войти в режим настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
Синтаксис
[no] nat source
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
10
Командный режим
CONFIG
Пример
esr(config)# nat source esr(config-snat)#
persistent
Командой выполняется включение функции NAT persistent.
NAT persistent позволяет приложениям использовать STUN (session traversal utilities for NAT – утилиты проброса сессий для NAT) для установления соединения с устройствами, находящимися за шлюзом NAT. При этом гарантируется, что запросы от одного и того же внутреннего адреса транслируются в один и тот же внешний адрес.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
Синтаксис
[no] persistent
Параметры
Команда не содержит параметров.
Значение по умолчанию
Функция NAT persistent отключена.
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-POOL
Пример
esr(config-snat-pool)# persistent
pool
Команда создаёт и назначает пул IP-адресов и TCP/UDP-портов с определённым именем для сервиса NAT и меняет командный режим на SNAT POOL или DNAT POOL.
Если пул используется в какой-либо группе правил, то его удалять нельзя.
Использование отрицательной формы команды (no) удаляет заданный пул NAT-адресов.
Синтаксис
[no] pool <NAME>
Параметры
<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пулы IP-адресов и TCP/UDP-портов.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT
CONFIG-SNAT
Пример
esr(config-snat)# pool nat esr(config-snat-pool)#
rearrange
Данная команда меняет шаг между созданными правилами.
Синтаксис
rearrange <VALUE>
Параметры
<VALUE> – шаг между правилами, принимает значения [1..50].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
esr(config-dnat-ruleset)# rearrange 10
renumber rule
Данная команда меняет номер правила.
Синтаксис
renumber rule <CUR_ORDER> <NEW_ORDER>
Параметры
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
esr(config-dnat-ruleset)# renumber rule 13 100
rule
Данной командой создается правило c определённым номером и устанавливается режим командного интерфейса SNAT RULE или DNAT RULE. Правила обрабатываются устройством в порядке возрастания номеров правил.
Использование отрицательной формы команды (no) удаляет правило по номеру либо все правила.
Синтаксис
[no] rule <ORDER>
Параметры
<ORDER> – номер правила, принимает значения [1 .. 10000]. Если использовать команду для удаления, то при указании значения «all» будут удалены все правила.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
Пример
esr(config-snat-ruleset)# rule 10 esr(config-snat-rule)#
ruleset
Данная команда используется для создания группы правил с определённым именем и перехода в командный режим SNAT RULESET или DNAT RULESET.
Использование отрицательной формы команды (no) удаляет заданную группу правил.
Синтаксис
[no] ruleset <NAME>
Параметры
<NAME> – имя группы правил, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все группы правил.
Необходимый уровень привилегий
10
Командный режим
CONFIG-DNAT
CONFIG-SNAT
Пример
esr(config-snat)# ruleset wan esr(config-snat-ruleset)#
show ip nat alg
Данная команда используется для просмотра информации о функционале трансляции IP-адресов в заголовках уровня приложений.
Синтаксис
show ip nat alg
Параметры
Команда не содержит параметров.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip nat alg
ALG Status:
FTP: Enabled
H.323: Disabled
GRE: Disabled
PPTP: Disabled
SIP: Disabled
SNMP: Disabled
TFTP: Disabled
show ip nat pool
Данная команда используется для просмотра пулов внутренних и внешних IP-адресов и TCP/UDP-портов.
Синтаксис
show ip nat <TYPE> pools
Параметры
<TYPE> – тип пулов, для просмотра:
- source – внешние IP-адреса и TCP/UDP-порты;
- destination – внутренние IP-адреса и TCP/UDP-порты.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show nat source pools
Pools
~~~~~
ID Name Ip address Port Description Persi
range stent
---- --------------------- ----------------- ------- ----------- -----
0 outside 25.56.48.11 2000 – outside-poo false
3000 l
show ip nat ruleset
Данной командой выполняется просмотр всех или выбранных групп правил, используемых функцией NAT.
Синтаксис
show ip nat <TYPE> ruleset [<NAME>]
Параметры
<TYPE> – тип группы правил:
- source – группа правил для трансляции IP-адреса и TCP/UDP-порта отправителя;
- destination – группа правил для трансляции IP-адреса и TCP/UDP-порта получателя.
[NAME] – имя группы правил, опциональный параметр. Если имя не задано – будет выведен список всех групп правил.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show ip nat source rulesets
Rulesets
~~~~~~~~
ID Name To Description
---- -------------------------------- ------------------ -----------------
0 factory zone 'untrusted'
1 test gigabitethernet test
1/0/1
esr# show ip nat source rulesets factory
Ruleset: factory
Description:
To: none
Rules:
------
Order: 10
Description: replace 'source ip' by outgoing interface ip address
Matching pattern:
Protocol: any(0)
Src-addr: any
Dest-addr: any
Action: interface port any
Status: Enabled
--------------------------------------------------------------------------------
show ip nat translations
Данная команда используется для просмотра сессий трансляции. Для просмотра информации о статистике необходимо включить счетчики (раздел ip firewall mode).
Синтаксис
show ip nat translations [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ]
Параметры
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены сессии трансляций в указанном VRF;
summary – выводит суммарную статистику по сессиям трансляции;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP-порт, принимает значения [1..65535];
Для Source NAT:
- inside-source-address – ключ для указания IP-адреса источника до трансляции;
- inside-destination-address – ключ для указания IP-адреса назначения на входе в маршрутизатор;
- outiside-source-address – ключ для указания IP-адреса источника после трансляции;
- outside-destination-address – ключ для указания IP-адреса назначения на выходе из маршрутизатора.
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Для Destination NAT:
- inside-source-address – ключ для указания IP-адреса источника на выходе из маршрутизатора;
- inside-destination-address – ключ для указания IP-адреса назначения после трансляции;
- outiside-source-address – ключ для указания IP-адреса источника на входе в маршрутизатор;
- outside-destination-address – ключ для указания IP-адреса назначения до трансляции;
inside-source-port – ключ для указания TCP/UDP-порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP-порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP-порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP-порта назначения после трансляции.
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример 1
Source NAT
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 115.0.0.10 1.1.0.2 1.1.0.24 1.1.0.2 3 252
Пример 2
Destination NAT
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 1.1.0.2 115.0.0.10 1.1.0.2 1.1.0.16 -- --
show ip nat proxy-arp
Данная команда используется для просмотра настроек NAT Proxy ARP.
Синтаксис
show ip nat proxy-arp
Необходимый уровень привилегий
1
Командный режим
ROOT
Пример
esr# show nat proxy-arp Interface IP address range ----------- --------------------------------------------- gi1/0/15 115.0.0.15-115.0.0.100
to
Данной командой ограничивается область применения группы правил. Правила будут применяться только для трафика, идущего в определенную зону или интерфейс.
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
Синтаксис
to { zone <NAME> | interface <IF> | tunnel <TUN> | default }no to
Параметры
<NAME> – имя зоны изоляции;
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
default – обозначает группу правил для всего трафика, место назначение которого не попало под критерии других групп правил.
Группа правил со значением «default» параметра «to» может быть только одна.
Значение по умолчанию
None
Необходимый уровень привилегий
10
Командный режим
CONFIG-SNAT-RULESET
Пример
esr(config-snat)# ruleset test esr(config-snat-ruleset)# to interface gigabitethernet 1/0/1