Данной командой выполняется трансляция адреса и порта получателя для трафика, удовлетворяющего заданным критериям.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
action destination-nat { off | pool <NAME> | netmap <ADDR/LEN> }
no action destination-nat
off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен;
pool <NAME> – имя пула, содержащего набор IP-адресов и/или TCP/UDP-портов. У трафика, попадающего под заданные критерии, будет изменен IP-адрес и TCP/UDP-порт получателя на значения, выбранные из пула;
netmap <ADDR/LEN> – IP-подсеть, используемая при трансляции. У трафика, попадающего под заданные критерии, будет изменен IP-адрес получателя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32].
Отсутствует.
10
CONFIG-DNAT-RULE
esr(config-dnat-rule)# action destination-nat netmap 10.10.10.0/24 |
Данной командой назначается тип действия «трансляция адреса и порта отправителя» и параметры трансляции для трафика, удовлетворяющего критериям, заданным командами «match».
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
action source-nat { off | pool <NAME> | netmap <ADDR/LEN> [static] | interface [FIRST_PORT – LAST_PORT] }
no action source-nat
off – трансляция отключена. Трафик, попадающий под заданные критерии, не будет изменен;
pool <NAME> – задаёт пул IP-адресов и/или TCP/UDP-портов. У трафика, попадающего под заданные критерии, будет изменен IP-адрес и/или TCP/UDP-порт отправителя на значения, выбранные из пула;
netmap <ADDR/LEN> – задаёт IP-подсеть для трансляции. У трафика, попадающего под заданные критерии, будет изменен IP-адрес отправителя на IP-адрес из указанной подсети. Параметр задаётся в виде AAA.BBB.CCC.DDD/EE, где каждая часть AAA – DDD принимает значения [0..255] и EE принимает значения [1..32];
static – включение статического NAT, доступно при использовании netmap;
interface [FIRST_PORT – LAST_PORT] – задаёт трансляцию в IP-адрес интерфейса. У трафика, попадающего под заданные критерии, будет изменён IP-адрес отправителя на IP-адрес интерфейса, в который трафик будет отправлен. Если дополнительно задан диапазон TCP/UDP-портов, то трансляция будет происходить ещё и для TCP/UDP-портов отправителя, они будут заменены на указанный диапазон портов.
Отсутствует.
10
CONFIG-SNAT-RULE
esr(config-snat-rule)# action source-nat netmap 10.10.10.0/24 |
Данной командой задаётся описание.
Использование отрицательной формы команды (no) удаляет описание.
description <DESCRIPTION>
no description
<DESCRIPTION> – описание, задаётся стройкой до 255 символов.
10
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
CONFIG-DNAT-POOL
CONFIG-SNAT-POOL
esr(config-snat-ruleset)# description "test ruleset" |
Данной командой активируется конфигурируемое правило.
Отрицательная форма команды (no) деактивирует использование правила.
[no] enable
Команда не содержит параметров.
Отключено.
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# enable |
Данной командой ограничивается область применения группы правил. Правила будут применяться только для трафика, идущего из определенной зоны или интерфейса.
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
from { zone <NAME> | interface <IF> | tunnel <TUN> | default }
no from
<NAME> – имя зоны изоляции;
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
default – обозначает группу правил для всего трафика, источник которого не попал под критерии других групп правил.
Группа правил со значением «default» параметра «from» может быть только одна. |
Отсутствует.
10
CONFIG-DNAT-RULESET
esr(config-dnat-ruleset)# from zone untrusted |
Данной командой устанавливается внутренний IP-адрес, на который будет заменяться IP-адрес получателя.
Использование отрицательной формы команды (no) удаляет заданный IP-адрес.
ip address <ADDR>
no ip address
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255].
10
CONFIG-DNAT-POOL
esr(config-dnat-pool)# ip address 10.10.10.10 |
Данной командой задаётся диапазон внешних IP-адресов, на которые будет заменяться IP-адрес отправителя.
Использование отрицательной формы команды (no) удаляет заданный диапазон адресов.
ip address-range <IP>[-<ENDIP>]
no ip address-range
<IP> – IP-адрес начала диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<ENDIP> – IP-адрес конца диапазона, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255]. Если не указывать IP-адрес конца диапазона, то в качестве IP-адреса для трансляции используется только IP-адрес начала диапазона.
10
CONFIG-SNAT-POOL
esr(config-snat-pool)# ip address-range 10.10.10.1-10.10.10.20 |
Данная команда позволяет маршрутизатору отвечать на ARP-запросы IP-адресов из указанного пула. Функция необходима для того, чтобы не назначать все IP-адреса из пула трансляции на интерфейсе.
ip nat proxy-arp <OBJ-GROUP-NETWORK-NAME>
no ip nat proxy-arp
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа.
Функция NAT Proxy ARP отключена.
10
CONFIG-GI
CONFIG-TE
CONFIG-SUBIF
CONFIG-QINQ-IF
CONFIG-PORT-CHANNEL
CONFIG-BRIDGE
CONFIG-CELLULAR-MODEM
CONFIG-LT
esr(config-if-gi)# ip nat proxy-arp nat-pool |
Данной командой устанавливается внутренний TCP/UDP порт, на который будет заменяться TCP/UDP-порт получателя.
Использование отрицательной формы команды (no) удаляет заданный TCP/UDP-порт.
ip port <PORT>
no ip port
<PORT> – TCP/UDP порт, принимает значения [1..65535].
10
CONFIG-DNAT-POOL
esr(config-dnat-pool)# ip port 5000 |
Данной командой задаётся диапазон внешних TCP/UDP-портов, на которые будет заменяться TCP/UDP-порт отправителя.
Использование отрицательной формы команды (no) удаляет заданный диапазон портов.
ip port-range <PORT>[-<ENDPORT>]
no ip port-range
<PORT> – TCP/UDP-порт начала диапазона, принимает значения [1..65535];
<ENDPORT> – TCP/UDP-порт конца диапазона, принимает значения [1..65535]. Если не указывать TCP/UDP-порт конца диапазона, то в качестве TCP/UDP-порта для трансляции используется только TCP/UDP-порт начала диапазона.
10
CONFIG-SNAT-POOL
esr(config-snat-pool)# ip port-range 20-100 |
Данной командой устанавливается профиль IP-адресов получателя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для IP-адресов получателя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
match [not] destination-address <OBJ-GROUP-NETWORK-NAME>
no match destination-address
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адреса, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса получателя.
any
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# match destination-address remote |
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для связок IP-адресов и TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] destination-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
no match destination-address
<OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации.
any
10
CONFIG-SNAT-RULE
esr(config-snat-rule)# match destination-address local |
Данной командой устанавливается профиль TCP/UDP-портов получателя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для TCP/UDP-портов получателя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет установленное действие.
match [not] destination-port <PORT-SET-NAME>
no match destination-port
<PORT-SET-NAME> – имя профиля порта, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта получателя.
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# match destination-port ssh |
Данная команда используется для настройки параметров протокола ICMP, если он выбран командой «match protocol». Командой устанавливается тип и код сообщений протокола ICMP, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для всех типов и кодов сообщений протокола ICMP, кроме указанных.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
match [not] icmp { <ICMP_TYPE> <ICMP_CODE> | <OPTION> }
no match icmp
<ICMP_TYPE> – тип сообщения протокола ICMP, принимает значения [0 ..255];
<ICMP_CODE> – код сообщения протокола ICMP, принимает значения [0 ..255]. При указании значения «any» правило будет срабатывать для любого кода сообщения протокола ICMP;
<OPTION> – стандартные типы ICMP-сообщений, может принимать значения:
any any
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# match icmp 2 any |
Данной командой устанавливается имя или номер IP-протокола, для которого должно срабатывать правило.
При использовании параметра «not» правило будет срабатывать для всех протоколов, кроме указанного.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] protocol <TYPE>
no match protocol
match [not] protocol-id <ID>
no match protocol-id
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre.
При указании значения «any» правило будет срабатывать для любых протоколов;
<ID> – идентификационный номер IP-протокола, принимает значения [0x00-0xFF].
any
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# match protocol udp |
Данной командой устанавливается профиль IP-адресов отправителя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для IP-адресов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет установленное действие.
match [not] source-address <OBJ-GROUP-NETWORK-NAME>
no match source-address
<OBJ-GROUP-NETWORK-NAME> – имя профиля IP-адресов, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого IP-адреса отправителя.
any
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# match source-address local |
Данной командой устанавливается профиль связок IP-адресов и TCP/UDP-портов отправителя, для которых должно срабатывать правило.
При использовании параметра «not» (match not) правило будет срабатывать для связок IP-адресов и TCP/UDP-портов отправителя, которые не входят в указанный профиль.
Использование отрицательной формы команды (no) отменяет назначение.
match [not] source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
no match source-address-port <OBJ-GROUP-ADDRESS-PORT-NAME>
<OBJ-GROUP-ADDRESS-PORT-NAME> – имя профиля связок IP-адресов и TCP/UDP-портов, задаётся строкой до 31 символа. При указании значения «any» правило не будет учитывать данный способ фильтрации.
any
10
CONFIG-SNAT-RULE
esr(config-snat-rule)# match source-address-port admin |
Данной командой устанавливается профиль TCP/UDP портов отправителя, для которых должно срабатывать правило.
При использовании команды «not» правило будет срабатывать для TCP/UDP портов отправителя, которые не входят в указанный профиль. Использование отрицательной формы команды (no) отменяет установленное действие.
match [not] source-port <PORT-SET-NAME>
no match source-port
<PORT-SET-NAME> – имя профиля порта, задаётся строкой до 31 символа. При указании значения «any» правило будет срабатывать для любого TCP/UDP-порта отправителя.
10
CONFIG-DNAT-RULE
CONFIG-SNAT-RULE
esr(config-snat-rule)# match source-port telnet |
Данная команда включает функцию трансляции IP-адресов в заголовках уровня приложений.
Использование отрицательной формы команды (no) отключает функцию трансляции IP-адресов в заголовках уровня приложений.
[no] nat alg { <PROTOCOL> }
<PROTOCOL> – протокол уровня приложений, в заголовках которого должна работать трансляция адресов, принимает значения [ftp, h323, pptp, netbios-ns, gre, sip, tftp].
Вместо имени отдельного протокола можно использовать ключ "all", который включает трансляцию IP-адресов в заголовках всех доступных протоколов.
Функцию трансляции IP-адресов в заголовках уровня приложений отключена.
10
CONFIG
esr(config)# nat alg ftp |
Данная команда позволяет войти в режим настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов получателя (DNAT, Destination NAT).
[no] nat destination
Команда не содержит параметров.
10
CONFIG
esr(config)# nat destination esr(config-dnat)# |
Данная команда позволяет войти в режим настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
Использование отрицательной формы команды (no) удаляет настройки сервиса трансляции адресов отправителя (SNAT, Source NAT).
[no] nat source
Команда не содержит параметров.
10
CONFIG
esr(config)# nat source esr(config-snat)# |
Командой выполняется включение функции NAT persistent.
NAT persist ent позволяет приложениям использовать STUN (session traversal utilities for NAT – утилиты проброса сессий для NAT) для установления соединения с устройствами, находящимися за шлюзом NAT. При этом гарантируется, что запросы от одного и того же внутреннего адреса транслируются в один и тот же внешний адрес.
Использование отрицательной формы команды (no) устанавливает значение по умолчанию.
[no] persistent
Команда не содержит параметров.
Функция NAT persistent отключена.
10
CONFIG-SNAT-POOL
esr(config-snat-pool)# persistent |
Команда создаёт и назначает пул IP-адресов и TCP/UDP-портов с определённым именем для сервиса NAT и меняет командный режим на SNAT POOL или DNAT POOL.
Если пул используется в какой-либо группе правил, то его удалять нельзя. |
Использование отрицательной формы команды (no) удаляет заданный пул NAT-адресов.
[no] pool <NAME>
<NAME> – имя пула NAT-адресов, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все пулы IP-адресов и TCP/UDP-портов.
10
CONFIG-DNAT
CONFIG-SNAT
esr(config-snat)# pool nat esr(config-snat-pool)# |
Данная команда меняет шаг между созданными правилами.
rearrange <VALUE>
<VALUE> – шаг между правилами, принимает значения [1..50].
10
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
esr(config-dnat-ruleset)# rearrange 10 |
Данная команда меняет номер правила.
renumber rule <CUR_ORDER> <NEW_ORDER>
<CUR_ORDER> – текущий номер правила, принимает значения [1..10000];
<NEW_ORDER> – новый номер правила, принимает значения [1..10000].
10
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
esr(config-dnat-ruleset)# renumber rule 13 100 |
Данной командой создается правило c определённым номером и устанавливается режим командного интерфейса SNAT RULE или DNAT RULE. Правила обрабатываются устройством в порядке возрастания номеров правил.
Использование отрицательной формы команды (no) удаляет правило по номеру либо все правила.
[no] rule <ORDER>
<ORDER> – номер правила, принимает значения [1 .. 10000]. Если использовать команду для удаления, то при указании значения «all» будут удалены все правила.
10
CONFIG-DNAT-RULESET
CONFIG-SNAT-RULESET
esr(config-snat-ruleset)# rule 10 esr(config-snat-rule)# |
Данная команда используется для создания группы правил с определённым именем и перехода в командный режим SNAT RULESET или DNAT RULESET.
Использование отрицательной формы команды (no) удаляет заданную группу правил.
[no] ruleset <NAME>
<NAME> – имя группы правил, задаётся строкой до 31 символа. Если использовать команду для удаления, то при указании значения «all» будут удалены все группы правил.
10
CONFIG-DNAT
CONFIG-SNAT
esr(config-snat)# ruleset wan esr(config-snat-ruleset)# |
Данная команда используется для просмотра информации о функционале трансляции IP-адресов в заголовках уровня приложений.
show ip nat alg
Команда не содержит параметров.
1
ROOT
esr# show ip nat alg ALG Status: FTP: Enabled H.323: Disabled GRE: Disabled PPTP: Disabled SIP: Disabled SNMP: Disabled TFTP: Disabled |
Данная команда используется для просмотра пулов внутренних и внешних IP-адресов и TCP/UDP портов.
show ip nat <TYPE> pools
<TYPE> – тип пулов, для просмотра:
1
ROOT
esr# show nat source pools Pools ~~~~~ ID Name Ip address Port Description Persi range stent ---- --------------------- ----------------- ------- ----------- ----- 0 outside 25.56.48.11 2000 – outside-poo false 3000 l |
Данной командой выполняется просмотр всех или выбранных групп правил, используемых функцией NAT.
show ip nat <TYPE> ruleset [<NAME>]
<TYPE> – тип группы правил:
[NAME] – имя группы правил, опциональный параметр. Если имя не задано – будет выведен список всех групп правил.
1
ROOT
esr# show ip nat source rulesets Rulesets ~~~~~~~~ ID Name To Description ---- -------------------------------- ------------------ ----------------- 0 factory zone 'untrusted' 1 test gigabitethernet test 1/0/1 esr# show ip nat source rulesets factory Ruleset: factory Description: To: none Rules: ------ Order: 10 Description: replace 'source ip' by outgoing interface ip address Matching pattern: Protocol: any(0) Src-addr: any Dest-addr: any Action: interface port any Status: Enabled -------------------------------------------------------------------------------- |
Данная команда используется для просмотра сессий трансляции. Для просмотра информации о статистике необходимо включить счетчики (раздел ip firewall mode).
show ip nat translations [ vrf <VRF> ] [ protocol <TYPE> ] [ inside-source-address <ADDR> ] [ outiside-source-address <ADDR> ] [ inside-destination-address <ADDR> ] [ outside-destination-address <ADDR> ] [ inside-source-port <PORT> ] [ outside-source-port <PORT> ] [ inside-destination-port <PORT> ] [ outside-destination-port <PORT> ] [ summary ]
<VRF> – имя экземпляра VRF, задаётся строкой до 31 символа. При указании данного параметра будут отображены сессии трансляций в указанном VRF;
summary – выводит суммарную статистику по сессиям трансляции;
<TYPE> – тип протокола, принимает значения: esp, icmp, ah, eigrp, ospf, igmp, ipip, tcp, pim, udp, vrrp, rdp, l2tp, gre;
<ADDR> – IP-адрес, задаётся в виде AAA.BBB.CCC.DDD, где каждая часть принимает значения [0..255];
<PORT> – TCP/UDP порт, принимает значения [1..65535];
Для Source NAT:
inside-source-port – ключ для указания TCP/UDP порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP порта назначения после трансляции.
Для Destination NAT
inside-source-port – ключ для указания TCP/UDP порта отправителя до трансляции;
outside-source-port – ключ для указания TCP/UDP порта отправителя после трансляции;
inside-destination-port – ключ для указания TCP/UDP порта назначения до трансляции;
outside-destination-port – ключ для указания TCP/UDP порта назначения после трансляции.
1
ROOT
Source NAT
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 115.0.0.10 1.1.0.2 1.1.0.24 1.1.0.2 3 252 |
Destination NAT
esr# show ip nat translations Prot Inside source Inside destination Outside source Outside destination Pkts Bytes ---- ------------ ----------------- ------------ -------------- ----- ----- icmp 1.1.0.2 115.0.0.10 1.1.0.2 1.1.0.16 -- -- |
Данная команда используется для просмотра настроек NAT Proxy ARP.
show ip nat proxy-arp
1
ROOT
esr# show nat proxy-arp Interface IP address range ----------- --------------------------------------------- gi1/0/15 115.0.0.15-115.0.0.100 |
Данной командой ограничивается область применения группы правил. Правила будут применяться только для трафика, идущего в определенную зону или интерфейс.
Использование отрицательной формы команды (no) удаляет ограничение области применения группы правил.
to { zone <NAME> | interface <IF> | tunnel <TUN> | default }
no to
<NAME> – имя зоны изоляции;
<IF> – имя интерфейса устройства, задаётся в виде, описанном в разделе Типы и порядок именования интерфейсов маршрутизатора;
<TUN> – имя туннеля устройства, задаётся в виде, описанном в разделе Типы и порядок именования туннелей маршрутизатора;
default – обозначает группу правил для всего трафика, место назначение которого не попало под критерии других групп правил.
Группа правил со значением «default» параметра «to» может быть только одна. |
None
10
CONFIG-SNAT-RULESET
esr(config-snat)# ruleset test esr(config-snat-ruleset)# to interface gigabitethernet 1/0/1 |