烽火2640路由器命令列手冊-04-網路協議配置命令
網路協議配置命令
目 錄
第1章 IP定址配置命令... 1
1.1 IP定址配置命令... 1
1.1.1 arp. 1
1.1.2 arp timeout 2
1.1.3 clear arp-cache. 3
1.1.4 ip address. 4
1.1.5 ip directed-broadcast 5
1.1.6 ip forward-protocol udp. 6
1.1.7 ip helper-address. 7
1.1.8 ip host 7
1.1.9 ip proxy-arp. 8
1.1.10 ip unnumbered. 9
1.1.11 keepalive. 10
1.1.12 show arp. 11
1.1.13 show hosts. 12
1.1.14 show ip interface. 12
第2章 NAT配置命令... 15
2.1 NAT配置命令... 15
2.1.1 ip nat 15
2.1.2 ip nat local-service. 17
2.1.3 ip fastaccess. 17
2.1.4 ip fastnat 1to1. 18
2.1.5 ip nat inside destination. 19
2.1.6 ip nat inside source. 20
2.1.7 ip nat outside source. 22
2.1.8 ip nat pool 24
2.1.9 ip nat service. 26
2.1.10 ip nat translation. 27
2.1.11 ip nat translation max-users[不再支援] 28
2.1.12 clear ip nat statistics. 29
2.1.13 clear ip nat translation. 31
2.1.14 show ip nat statistics. 32
2.1.15 show ip nat translations. 33
2.1.16 show ip nat users[不再支援] 35
2.1.17 debug ip nat 36
第3章 DHCP Client配置命令... 38
3.1 DHCP Client配置命令... 38
3.1.1 ip address dhcp. 38
3.1.2 ip dhcp client 39
3.1.3 ip dhcp-server 41
3.1.4 show dhcp lease. 42
3.1.5 show dhcp server 43
3.1.6 debug dhcp. 44
第4章 DHCP Sever配置命令... 45
4.1 DHCPD配置命令... 45
4.1.1 ip dhcpd ping packet 45
4.1.2 ip dhcpd ping timeout 46
4.1.3 ip dhcpd write-time. 46
4.1.4 ip dhcpd database-agent 47
4.1.5 ip dhcp snooping arp. 48
4.1.6 ip dhcp snooping information option [ format snmp-ifindex ] 48
4.1.7 ip dhcpd pool 49
4.1.8 ip dhcpd enable. 50
4.2 DHCPD地址池的配置命令... 50
4.2.1 network. 51
4.2.2 range. 51
4.2.3 default-router 52
4.2.4 dns-server 53
4.2.5 domain-name. 53
4.2.6 lease. 54
4.2.7 netbios-name-server 55
4.2.8 ip-bind. 55
4.2.9 hardware-address. 56
4.2.10 client-identifier 57
4.2.11 client-name. 57
4.3 DHCPD的除錯命令... 58
4.3.1 debug ip dhcpd packet 58
4.3.2 debug ip dhcpd event 59
4.4 DHCPD的管理命令... 59
4.4.1 show ip dhcpd statistic. 60
4.4.2 show ip dhcpd binding. 60
4.4.3 show ip dhcpd pool 61
4.4.4 clear ip dhcpd statistic. 61
4.4.5 clear ip dhcpd binding. 62
4.4.6 clear ip dhcpd abandoned. 63
第5章 IP服務配置命令... 64
5.1 IP Server配置命令... 64
5.1.1 clear tcp. 65
5.1.2 clear tcp statistics. 66
5.1.3 debug arp. 67
5.1.4 debug ip icmp. 68
5.1.5 debug ip packet 71
5.1.6 debug ip raw.. 75
5.1.7 debug ip rtp. 77
5.1.8 debug ip tcp packet 80
5.1.9 debug ip tcp transactions. 82
5.1.10 debug ip udp. 84
5.1.11 ip mask-reply. 85
5.1.12 ip mtu. 85
5.1.13 ip redirects. 86
5.1.14 ip route-cache. 87
5.1.15 ip source-route. 88
5.1.16 ip tcp synwait-time. 89
5.1.17 ip tcp window-size. 90
5.1.18 ip unreachables. 91
5.1.19 show ip cache. 91
5.1.20 show ip irdp. 92
5.1.21 show ip sockets. 93
5.1.22 show ip traffic. 94
5.1.23 show tcp. 95
5.1.24 show tcp brief 99
5.1.25 show tcp statistics. 100
5.1.26 show tcp tcb. 102
5.2 訪問列表配置命令... 103
5.2.1 deny. 103
5.2.2 ip access-group. 107
5.2.3 ip access-list 108
5.2.4 permit 109
5.2.5 show ip access-list 112
第1章 IP定址配置命令
1.1 IP定址配置命令
IP定址配置命令包括:
l arp
l arp timeout
l clear arp-cache
l ip address
l ip directed-broadcast
l ip forward-protocol udp
l ip helper-address
l ip host
l ip proxy-arp
l ip unnumbered
l keepalive
l show arp
l show hosts
l show ip interface
1.1.1 arp
配置靜態ARP對映,靜態ARP對映會永久保留在ARP快取中。如果要刪除配置的靜態ARP對映的話,使用 no arp 命令。
arp [vrf vrf-name] ip-address hardware-address [alias]
no arp [vrf vrf-name] ip-address
引數
| 引數 |
引數說明 |
| Vrf-name |
(支援VRF的版本可選)VRF名稱。 |
| ip-address |
本地資料鏈路介面的IP地址。 |
| hardware-address |
本地資料鏈路介面的實體地址。 |
| alias |
(可選)路由器回答對這一IP地址的ARP請求,就象是本身擁有這個IP地址。 |
預設
ARP快取中不存在永久的靜態ARP對映。
命令模式
全域性配置態
使用說明
一般的主機都可以支援動態ARP解析,所以一般不需要使用者特地為主機配置靜態ARP對映。VRF子命令指明該arp表項屬於哪個VRF。
示例
下面的這條命令配置IP地址為1.1.1.1的主機的MAC地址為00:12:34:56:78:90。
arp 1.1.1.1 00:12:34:56:78:90
相關命令
clear arp-cache
1.1.2 arp timeout
配置ARP快取中動態ARP表項的存在時間。如果要恢復到預設值的話,使用 no arp timeout 或default arp timeout命令。
arp timeout seconds
no arp timeout
default arp timeout
引數
| 引數 |
引數說明 |
| seconds |
ARP快取中動態ARP表項的存在時間(秒)。0 表示在這個介面動態解析得到的ARP快取不會被超時釋放。 |
預設
180 秒 (3分鐘)
命令模式
介面配置態
使用說明
如果在不使用ARP的介面上進行配置,則配置無效。show interface命令將顯示在這個介面上配置的ARP表項超時時間,顯示如下:
ARP type: ARPA, ARP timeout 00:03:00
示例
下面這條命令在介面Ethernet 1/0上配置動態ARP對映的生存時間是900秒,以便使ARP快取更快地重新整理。
!
interface ethernet 1/0
arp timeout 900
!
相關命令
show interface
1.1.3 clear arp-cache
清除所有動態ARP快取。
clear arp-cache
引數
命令沒有引數或關鍵字。
命令模式
管理態
示例
下面的命令清除所有的動態ARP快取。
clear arp-cache
相關命令
arp
1.1.4 ip address
配置介面IP地址,同時設定網路掩碼。目前已經不再嚴格區分A,B,C類IP地址,但是,不能使用多播地址和廣播地址(主機部分全“1”)。除了乙太網,其它型別的多個介面可以在同一個網段上。但是,乙太網介面所配置的網段不能和其它任意型別的介面相同,除了無編號介面。一個介面上一般都可以配置一個主地址和無限多個從屬地址。從屬地址只能在配置了主地址後才可以配置,從屬地址全部刪除之後才可以刪除主地址。系統本身生成的IP報文,如果上層應用沒有指定源地址,路由器將使用發出介面上配置的與閘道器在同一網段上的IP地址作為報文的源地址,如果不能確定這個IP地址(例如介面路由),則採用發出介面的主地址。如果一個介面沒有配置IP地址,而且也不是無編號介面(unnumbered 介面),則這個介面不處理IP報文。
如果要刪除IP地址,或者停止某個介面對IP報文的處理,可以使用no ip address命令清除介面上的某個或所有IP地址。
ip address ip-address mask [secondary]
no ip address ip-address mask
no ip address
引數
| 引數 |
引數說明 |
| ip-address |
IP 地址。 |
| mask |
IP 網路掩碼。 |
| secondary |
(可選) 指明配置的是IP從屬地址,如果沒有指明,則配置的是IP主地址。 |
預設
介面上不配置任何IP地址。
命令模式
介面配置態
使用說明
如果路由器在某個物理網段上配置了從屬IP地址,其它同一物理網段上的系統也必須配置相同邏輯網段的從屬地址,否則容易很快就引起路由迴圈。
當使用OSPF協議時,要確保一個介面上的從屬地址和它的主地址在同一個OSPF area中。
示例
下列命令在ethernet1/0介面上配置主地址202.0.0.1,網路掩碼255.255.255.0,另外配置了兩個IP從屬地址203.0.0.1和204.0.0.1。
interface ethernet1/0
ip address 202.0.0.1 255.255.255.0
ip address 203.0.0.1 255.255.255.0 secondary
ip address 204.0.0.1 255.255.255.0 secondary
1.1.5 ip directed-broadcast
轉發IP定向廣播,並將報文以物理廣播的形式傳送。
ip directed-broadcast [access-list-namer]
no ip directed-broadcast
引數
| 引數 |
引數說明 |
| access-list-name |
(可選)訪問表名稱。如果定義了訪問表,只有訪問表允許的廣播報文被轉發。 |
預設
預設情況下,不轉發IP定向廣播。
命令模式
介面配置態
示例
下面的例子在介面ethernet1/0上配置轉發IP定向廣播。
!
interface ethernet 1/0
ip directed-broadcast
!
1.1.6 ip forward-protocol udp
當介面上配置了ip helper-address後,用於指定對哪些 UDP 協議有限廣播報文進行轉發。
ip forward-protocol udp [port]
no ip forward-protocol udp [port]
default ip forward-protocol udp
引數
| 引數 |
引數說明 |
| port |
(可選)需要被轉發的UDP報文的目的埠。 |
預設
轉發NETBIOS名字服務(Name Service)報文。
命令模式
全域性配置態
使用說明
目前預設轉發NETBIOS名字服務報文,如果要求不轉發NETBIOS名字服務報文,可以使用下列任一命令:
no ip forward-protocol udp netbios-ns
no ip forward-protocol udp 137
使用下面的命令停止轉發所有UDP有限廣播報文:
no ip forward-protocol udp
示例
Router_config#ip forward-protocol udp 137
相關命令
ip helper-address
1.1.7 ip helper-address
將IP定向廣播報文轉發到命令指定的IP幫助地址,可以是單目或者是廣播地址。每個介面可以配置多個幫助地址。ip helper-address address
no ip helper-address [address]
引數
| 引數 |
引數說明 |
| address |
IP 幫助地址。 |
預設
未配置IP幫助地址。
命令模式
介面配置態
使用說明
該命令在X.25介面上不起作用,因為路由器不能辨別出物理廣播。
示例
下面的命令在介面ethernet1/0上配置IP幫助地址1.0.0.1。
!
interface ethernet 1/0
ip helper-address 1.0.0.1
!
相關命令
ip forward-protocol udp
1.1.8 ip host
定義靜態主機名稱—地址對映。如果要刪除主機名稱—地址對映,使用no ip host命令。
ip host name address
no ip host name
引數
| 引數 |
引數說明 |
| name |
主機名稱。 |
| Address |
IP地址。 |
預設
沒有配置任何對映。
命令模式
全域性配置態
示例
下面的例子配置IP地址為202.96.1.3的主機名稱是dns-server。
ip host dns-server 202.96.1.3
1.1.9 ip proxy-arp
在介面上進行代理ARP。如果要關閉這項功能,使用no ip proxy arp命令。
ip proxy-arp
no ip proxy-arp
引數
命令沒有引數或關鍵字。
預設
進行代理ARP。
命令模式
介面配置態
使用說明
當路由器收到ARP請求時,如果路由器有到被請求IP地址的路由,且路由介面和收到請求的介面不同,路由器將以自己的MAC地址發出ARP響應,然後,在收到實際資料報文時,進行轉發。這樣,即使一臺主機不完全瞭解網路的拓撲結構,或者沒有配置準確的路由,也能和遠端通訊。對它來說,遠端主機就和它直接連線在同一個物理子網中。
如果主機需要路由器提供這項服務,它和路由器必須在同一個IP網路中,或者,至少它的IP地址必須能夠使路由器認為它們在同一個IP子網中,也就是說,可以使用不同的掩碼。否則,路由器將不提供這項服務。
示例
下面的例子在介面ethernet1/0上開啟代理ARP功能:
!
interface ethernet 1/0
ip proxy-arp
!
1.1.10 ip unnumbered
配置一個介面為無編號介面,可以不配置IP地址就開啟IP處理功能。要停止這個介面上的IP處理,使用no ip unnumbered命令。
ip unnumbered type number
no ip unnumbered
引數
| 引數 |
引數說明 |
| type number |
另一個配置了IP地址的介面的型別和編號。這個介面不可以是使用其它介面IP地址的無編號介面。 |
預設
不啟動這項功能。
命令模式
介面配置態
使用說明
對於點到點鏈路介面來說,可以不配置獨有的IP地址,而是使用這條命令在這個介面上啟動IP處理,並指定借用其它介面上的有效IP地址作為這個介面發出報文的源地址,以便節省IP地址。這樣的點到點介面稱為無編號(unnumbered)介面。無編號介面上生成的IP報文,例如路由更新報文,將使用命令中指定的介面上配置的有效IP地址。它還用這一地址確定哪些路由程序在該介面上傳送更新報文。但是,有下列限制:
(1) 使用HDLC,PPP, LAPB,SLIP和幀中繼封裝的序列介面和隧道介面可以使用該條命令配置成無編號介面。但是,X.25和SMDS介面不能使用這條命令。
(2) 無法通過ping命令檢測這個介面是否正常工作。可以使用SNMP遠端檢測這個介面的狀態。
這條命令根據RFC 1195中關於介面可以不配置有效IP地址的規定實現。
在不同的主網之間的使用其它介面IP地址的序列鏈路,必須小心對待:任何執行在這條鏈路上的路由協議不能廣播任何有關各自子網的資訊。
示例
下面的命令將介面serial0/0配置成無編號介面,使用介面ethernet0/1上配置的有效IP地址1.0.0.1作為這個介面上發出報文的源地址:
!
interface ethernet 0/1
ip address 1.0.0.1 255.255.255.0
!
interface serial 0/0
ip unnumbered ethernet 1/0
!
1.1.11 keepalive
測試主機的可到達性和網路的連通性。通過傳送ICMP迴應請求報文給對方,但不等待對方的ICMP迴應應答報文。
keepalive [ group group-id ] [ source source-address ] [interval interval-time] [number number] destination destination-address
引數
| 引數 |
引數說明 |
| group group-id |
可以配置多條 keepalive 命令,命令之間以group-id區分。預設:0 |
| source source-address |
設定報文采用的源IP地址。 預設:傳送介面的主IP地址。 |
| interval interval-time |
每次報文傳送之間的間隔,以秒為單位。預設:1秒 |
| number number |
每次報文傳送的個數。預設:5。 |
| destination destination-address |
目的主機。 |
命令模式
管理態和全域性配置態
使用說明
keepalive 命令支援廣播地址和多播地址。如果是有限廣播(255.255.255.255)或者是多播地址,將在所有支援廣播或者是多播的可用介面上傳送ICMP迴應請求報文。
該命令不等待ICMP報文的應答,它只是定時向目的地址傳送指定數目的ICMP報文。
示例
以下配置了兩條keepalive 命令。
配置每 10 秒鐘以源地址192.168.20.230 向目的地址 192.168.20.1 傳送 10 個 ICMP request 報文。報文的傳送埠由目的地址 192.168.20.1 和路由協議共同決定。
keepalive group 1 destination 192.168.20.1 source 192.168.20.230 interval 10 number 10
配置每 1 秒鐘(預設值)以源地址172.16.20.232 向目的地址 172.16.20.5 傳送 5個(預設值) ICMP request 報文。報文的傳送埠由目的地址 172.16.20.2 和路由協議共同決定。
keepalive group 2 destination 172.16.20.2 source 172.16.20.232
1.1.12 show arp
顯示所有ARP表項,包括介面IP地址的ARP對映,使用者配置的靜態ARP對映,動態ARP對映。者為恐的are Address wu。
show arp [vrf vrf-name]
引數
| 引數 |
引數說明 |
| Vrf-name |
(支援VRF版本可選)指定顯示哪個vrf的arp表項。 |
命令模式
管理態
使用說明
顯示的資訊包括:
| 引數 |
引數說明 |
| Protocol |
協議,與實體地址對映的網路地址的型別,例如IP。 |
| Address |
地址,與實體地址相對映的網路地址,如IP地址。 |
| Age |
生存時間,ARP表項從生成到現在的時間,以分鐘為單位。路由器使用這條ARP表項不會影響這個值。 |
| Hardware Address |
實體地址,與網路地址對應的實體地址,對於尚未解析完成的表項為空。 |
| Type |
型別,表示介面使用的報文封裝型別,包括ARPA,SNAP等。 |
| Interface |
介面,與這個網路地址相關聯的介面。 |
示例
下面的命令顯示ARP快取:
router#show arp
Protocol IP Address Age(min) Hardware Address Type Interface
IP 192.168.20.77 11 00:30:80:d5:37:e0 ARPA Ethernet1/0
IP 192.168.20.33 0 Incomplete
IP 192.168.20.22 - 08:00:3e:33:33:8a ARPA Ethernet1/0
IP 192.168.20.124 0 00:a0:24:9e:53:36 ARPA Ethernet1/0
IP 192.168.0.22 - 08:00:3e:33:33:8b ARPA Ethernet1/1
1.1.13 show hosts
顯示主機名—地址快取中的所有表項。
show hosts
引數
命令沒有引數或關鍵字。
命令模式
管理態
示例
下面的命令顯示所有主機名稱/地址對映:
show hosts
相關命令
clear host
1.1.14 show ip interface
顯示介面上的IP配置。
show ip interface [type number]
引數
| 引數 |
引數說明 |
| type |
(可選) 介面型別。 |
| number |
(可選) 介面編號。 |
命令模式
管理態
使用說明
如果介面的鏈路層可以有效收發資料,它就是一個可用介面,狀態是“Protocol Up”。如果在這個介面上配置IP地址,路由器將在路由表中新增一條直連路由。如果鏈路層協議斷開,也就是“Protocol Down”,這條直連路由將被刪除。如果指定介面型別和編號,只顯示指定介面資訊。否則,顯示所有介面的IP配置資訊。
示例
下面的命令顯示介面e0/1上的IP配置:
Router#show ip interface e0/1
Ethernet1/0 is up, line protocol is up
IP address : 192.168.20.167/24
Broadcast address : 192.168.20.255
Helper address : not set
MTU : 1500(byte)
Forward Directed broadcast : OFF
Multicast reserved groups joined:
224.0.0.9 224.0.0.6 224.0.0.5 224.0.0.2
224.0.0.1
Outgoing ACL : not set
Incoming ACL : not set
IP fast switching : ON
IP fast switching on the same interface : OFF
ICMP unreachables : ON
ICMP mask replies : OFF
ICMP redirects : ON
顯示說明:
| 域 |
描述 |
| Ethernet1/0 is up |
如果介面硬體可用,介面被標為“up”。 如果介面可用,它的硬體和線路協議都必須是up的。 |
| line protocol is up |
如果介面可以提供雙向通訊,它的線路協議被標為“up”。如果介面可用,介面硬體和線路協議都必須是up的。 |
| IP address |
介面IP地址和網路掩碼。 |
| Broadcast address |
顯示廣播地址。 |
| MTU |
顯示介面設定的IP MTU。 |
| Helper address |
顯示幫助地址。 |
| Directed broadcast forwarding |
介面是否轉發定向廣播報文。 |
| Multicast reserved groups joined |
介面加入的多播組。 |
| Outgoing ACL |
介面使用的輸出訪問控制表。 |
| Incoming ACL |
介面使用的輸入訪問控制表。 |
| IP fast switching |
路由器在該埠上是否啟動快速轉發 |
| Proxy ARP |
介面是否支援代理ARP。 |
| ICMP redirects |
介面是否發出ICMP重定向報文。 |
| ICMP unreachables |
介面是否發出ICMP不可到達報文。 |
| ICMP mask replies |
介面是否發出ICMP掩碼應答報文。 |
第2章 NAT配置命令
2.1 NAT配置命令
NAT配置命令包括:
l ip nat
l ip nat local-service
l ip nat enable-peek
l ip nat inside destination
l ip nat inside source
l ip nat outside source
l ip nat pool
l ip nat translation
l clear ip nat statistics
l clear ip nat translation
l show ip nat statistics
l show ip nat translations
l debug ip nat
2.1.1 ip nat
ip nat {inside | outside | mss }
no ip nat {inside | outside | mss MSS-value}
引數
| 引數 |
引數說明 |
| inside |
表明介面連線到內部網路(網路服從NAT翻譯) |
| outside |
表明介面連線到外部網路(網路服從NAT翻譯) |
| mss MSS-value |
設定MSS值為MSS-value(必須先配有ip nat outside) |
預設
離開或到達這個介面的通訊量不服從NAT。
命令模式
介面配置態
使用說明
只有那些在“內部”和“外部”介面之間傳送的報文才可以被翻譯。必須為每個想使用NAT的邊界路由器至少指定一個內部介面和一個外部介面。
使用IP NAT介面配置命令來指定來自介面的或發往介面的通訊量服從NAT(網路地址翻譯),如果想禁止介面的翻譯功能,使用這個命令的NO形式。
注意:
ip nat mss命令只能配在ip nat outside的介面下,它的作用是修改從內部網出去的帶有SYN標誌的TCP報文選項中的MSS(Maximum Segment Size)值。如果想禁止該介面修改MSS值的功能,使用這個命令的NO形式。
示例
下面的例子把來自192.168.1.0或192.168.2.0網路編址的內部主機間進行通訊的IP地址翻譯為171.69.233.208/28 網路中全域性唯一的IP地址,並且修改MSS為1432值。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
ip nat mss 1432
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
.permit 192.168.2.0 255.255.255.0
!
2.1.2 ip nat local-service
ip nat local-service {icmp | udp | tcp } disable
no ip nat local-service {icmp | udp | tcp } disable
引數
| 引數 |
引數說明 |
| icmp |
Icmp 報文。 |
| udp |
udp報文。 |
| tcp |
tcp報文。 |
預設
無
命令模式
介面配置態
使用說明
此命令應用於PAT規則。預設情況下,在標記為NAT外部埠的路由器介面,允許所有訪問路由器本地的icmp/udp/tcp報文。該命令可以有限的防止外部網路使用者對路由器的, 惡意攻擊,當然也丟棄了正常的訪問路由器的報文。
如果想某標記為NAT外部埠的路由器介面禁止接收訪問本地的icmp/udp/tcp報文,可以在埠狀態下配置如下命令,使用這個命令的NO形式可以恢復預設狀態。
注意:
此命令只能配置標記為NAT外部埠所在的路由器介面下,並只能使本介面禁止接收icmp/udp/tcp本地報文。
2.1.3 ip fastaccess
ip fastaccess deny {tcp | udp | icmp} {port number}
no ip fastnat deny {tcp | udp | icmp} {port number}
引數
| 引數 |
引數說明 |
| deny |
定義阻止包的規則 |
| tcp |
定義阻止TCP包的規則 |
| udp |
定義阻止UDP包的規則 |
| icmp |
定義阻止ICMP包的規則 |
| Port number |
TCP/UDP埠號, 範圍為1~10000 |
預設
無
命令模式
介面配置態
使用說明
由於ip fastaccess只能基於傳輸層限制報文轉發,如果需要基於IP地址限制,則需要用到一般訪問列表
建議:如果需要使用一般訪問列表限制內網使用者,如果使用到動態NAT規則,則強烈建議利用NAT所用的訪問列表。特別對於那些需要定義非常多規則的訪問列表,這樣可以顯著提高效能。
2.1.4 ip fastnat 1to1
ip fastnat 1to1 outside {interface-type number} [backup-outside {interface-type number}] inside {interface-type number} [privateservices] [extend]
no ip fastnat
引數
| 引數 |
引數說明 |
| outside interface-type number |
指定的標記為NAT OUTSIDE的網路介面,該網路介面是主線路的出口。 |
| backup-outside interface-type number |
[可選]指定的標記為NAT OUTSIDE的網路介面,該網路介面是備份線路的出口。 |
| inside interface type number |
指定的標記為NAT INSIDE的網路介面,該網路介面是備份線路的入口。 |
| privateservices |
[可選]開啟私服功能 |
| extend |
[可選]開啟支援擴充套件訪問列表功能 |
預設
無
命令模式
全域性配置態
使用說明
該命令的使用對網路環境有限制,具體資訊請參考配置說明書。
如果不使用私服或者擴充套件訪問列表,則建議不要配置選項privateservices和extend。
2.1.5 ip nat inside destination
用ip nat inside destination全域性配置命令,開啟內部目的地址的NAT.用這個命令的NO形式,刪除和地址池的動態關聯,注意,該規則正在使用時,不能刪除。
ip nat inside destination list access-list-name pool name
no ip nat inside destination list access-list-name
引數
| 引數 |
引數說明 |
| list name |
標準IP訪問列表的名字。 用來自被指定的池中的全域性地址對帶有目的地址的報文進行翻譯,這些包用來發送訪問列表。 |
| pool name |
地址池的名字,在動態翻譯的過程中,從這個池中分配內部本地的IP地址。 |
預設
內部目的地址不被翻譯。
命令模式
全域性配置態
使用說明
這個命令用訪問列表的格式來建立動態地址翻譯。來自和標準訪問列表相匹配的地址的報文,將用指定的地址池中分配的全域性地址來進行地址翻譯,這個地址池是用ip nat pool命令所指定的。
示例
下面的例子把發往171.69.233.208 網路通訊的報文翻譯為目的地址位於192.168.2.208網段的內部主機地址。
!
ip nat pool net-208 192.168.2.208 192.168.2.223 255.255.255.240
ip nat inside destination list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standar a1
permit 171.69.233.208 255.255.255.240
!
2.1.6 ip nat inside source
使用ip nat inside source全域性配置命令,開啟內部源地址的NAT。用這個命令的NO形式可以刪除靜態翻譯或刪除和池的動態關聯,注意:動態翻譯規則和靜態網段翻譯規則在使用時,不能刪除。
動態NAT:
ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload]
no ip nat inside source {list access-list-name} {interface type number | pool pool-name} [overload]
靜態單個地址NAT:
ip nat inside source {static {local-ip global-ip}
no ip nat inside source {static {local-ip global-ip}
靜態埠NAT:
ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port}
no ip nat inside source {static {tcp | udp local-ip local-port {global-ip | interface type number} global-port}
靜態網段NAT:
ip nat inside source {static {network local-network global-network mask}
no ip nat inside source {static {network local-network global-network mask}
引數
| 引數 |
引數說明 |
| List access-list-name |
IP訪問列表的名字。源地址符合訪問列表的報文將被用地址池中的全域性地址來翻譯。 |
| pool name |
地址池的名字,從這個池中動態地分配全域性IP地址。 |
| interface type number |
指定網路介面 |
| overload |
(可選)使路由器對多個本地地址使用一個全域性的地址。當OVERLOAD被設定後,相同或者不同主機的多個會話將用TCP或UDP埠號來區分。 |
| static local-ip |
建立一條獨立的靜態地址翻譯;引數為分配給內部網主機的本地IP地址。這個地址可以自由的選擇,或從RFC 1918中分配。 |
| local-port |
設定本地TCP/UDP埠號,範圍為1~65535。 |
| static global-ip |
建立一條獨立的靜態地址翻譯;這個引數為內部主機建立一個外部的網路可以唯一訪問的IP地址。 |
| global-port |
設定全域性TCP/UDP埠號,範圍為1~65535。 |
| tcp |
設定TCP埠翻譯 |
| udp |
設定UDP埠翻譯 |
| network local-network |
設定本地網段翻譯 |
| global-network |
設定全域性網段翻譯 |
| mask |
設定網段翻譯的網路掩碼 |
預設
任何內部源地址的NAT都不存在。
命令模式
全域性配置態
使用說明
這個命令有兩種形式:動態的和靜態的地址翻譯。帶有訪問列表的格式建立動態翻譯。來自和標準訪問列表相匹配的地址的報文,將用指定的池中分配的全域性地址來進行地址翻譯,這個池是用ip nat pool命令所指定的。
可以作為替代方法,帶有關鍵字STATIC的語法格式建立一條獨立的靜態地址翻譯。
靜態NAT對於FTP的PASV模式的支援需要配合overload型別的命令使用,既:當設定一個NAT的靜態FTP對映時,如果也需要使用FTP的PASV模式,也應該同時使用一個overload型別的轉換,且pat規則中的外網介面地址中應該有一個和靜態ftp的外網地址相同。
示例
下面的例子把來自192.168.1.0或192.168.2.0網路的內部主機間進行通訊的IP地址翻譯為171.69.233.208/28 網路中全域性唯一的IP地址。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
permit 192.168.2.0 255.255.255.0
!
靜態FTP的PASV模式使用示例。
ip nat inside source static tcp 10.1.1.1 21 204.112.1.2 8021
ip nat inside source static tcp 10.1.1.1 20 204.112.1.2 8020
ip nat inside source list test1 interface f0/0
2.1.7 ip nat outside source
使用ip nat outside source全域性配置命令,開啟外部源地址的NAT。用這個命令的NO形式,可以刪除靜態條目或動態關聯,注意:動態翻譯規則和靜態網段翻譯規則在使用時,不能刪除。
動態NAT:
ip nat outside source {list access-list-name} pool pool-name
no ip nat outside source {list access-list-name} pool pool-name
靜態單個地址NAT:
ip nat outside source static {global-ip local-ip}
no ip nat outside source static {global-ip local-ip}
靜態埠 NAT:
ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port}
no ip nat outside source {static {tcp | udp global-ip global-port local-ip local-port}
靜態網段 NAT:
ip nat outside source {static networkglobal-network local-network mask}
no ip nat outside source {static network global-network local-network mask}
引數
| 引數 |
引數說明 |
| List access-list-name |
標準IP訪問列表的名字。目的地址符合訪問列表的報文將被用地址池中的全域性地址來翻譯。。 |
| pool name |
池的名字,從這個池重動態地分配全域性IP地址。 |
| Static global-ip |
建立一條獨立的靜態地址翻譯;引數為建立外部網路的主機所分配的全域性IP地址。這個地址可以從全域性可路由的網路地址空間中分配。 |
| global-port |
設定全域性TCP/UDP埠號,範圍為1~65535。 |
| Static local-ip |
建立一條獨立的靜態地址翻譯;這個引數為內部主機建立一個內部網路可以唯一訪問的外部主機的本地IP地址。這個地址可以從內部網路可路由的地址空間中分配。(多遵從RFC 1918) |
| local-port |
設定本地TCP/UDP埠號,範圍為1~65535。 |
| tcp |
設定TCP埠翻譯 |
| udp |
設定UDP埠翻譯 |
| network global-network |
設定全域性網段翻譯 |
| local-network |
設定本地網段翻譯 |
| mask |
設定網段翻譯的網路掩碼 |
預設
不存在來自外部網路的源地址到內部網路地址的翻譯。
命令模式
全域性配置態
使用說明
可能你用了不是合法的、正式分配得到的IP地址。可能你選擇了已經被正式分配給其他網路的IP地址。這種IP地址既被合法的使用了(外部網)又被非法的使用著(內部網路)的情況叫做“地址重疊”(overlapping)。你可以用NAT來翻譯和外部地址重疊的內部地址。如果你的單連線網路中的IP地址碰巧和分配給其他網路的合法IP地址相同,並且你需要和這些主機或路由器通訊,那麼你可以用這個功能。
這個命令有兩種形式:動態的和靜態的地址翻譯。帶有訪問列表的格式建立動態地址翻譯。來自和標準訪問列表相匹配的地址的報文,將用指定的地址池中分配的本地地址來進行地址翻譯,這個地址池是用ip nat pool命令所指定的。
作為可以替代的方法,帶有關鍵字STATIC的語法格式建立一條單獨的靜態翻譯。
示例
下面的例子把來自9.114.11.0網路的內部主機間進行通訊的IP地址翻譯為171.69.233.208/28 網路中全域性唯一的IP地址。更進一步地,來自9.114.11.0網路(真實存在的9.114.11.0網路)編址的外部主機的報文,被翻譯為以來自10.0.1.0/24網路的面目出現。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat pool net-10 10.0.1.0 10.0.1.255 255.255.255.0
ip nat inside source list a1 pool net-208
ip nat outside source list a1 pool net-10
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 9.114.11.39 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 9.114.11.0 255.255.255.0
!
2.1.8 ip nat pool
用ip nat pool全域性配置命令,定義一個用於NAT的IP地址池。用這個命令的NO形式,可以刪除指定名字的IP地址池,可以配置相同名字的地址池來覆蓋已配置的地址池。
ip nat pool name start-ip end-ip netmask [rotary]
no ip nat pool name
引數
| 引數 |
引數說明 |
| name |
池的名字。 |
| start-ip |
定義IP地址池的範圍:起始地址。 |
| end-ip |
定義IP地址池的範圍:結束地址。 |
| netmask |
子網掩碼。子網掩碼錶明地址中的那些位是屬於網路和子網部分,而哪些位屬於主機部分。指定IP池中地址所屬的網路的子網掩碼。 |
| rotary |
輪循地址池 。 |
預設
沒有定義IP池。
命令模式
全域性配置態
使用說明
這個命令用起始地址,結束地址以及子網掩碼來定義一個地址池。
注意:在PAT規則下,地址池的輪循規則:只有當一個地址使用完結時(即關於這個地址的所有連線都老化後),才去取下一個地址,即同一使用時間內,內部全域性地址始終只有一個。
示例
下面的例子把來自192.168.1.0或192.168.2.0網路的內部主機間進行通訊的IP地址翻譯為171.69.233.208/28 網路中全域性唯一的IP地址。
!
ip nat pool net-208 171.69.233.208 171.69.233.223 255.255.255.240
ip nat inside source list a1 pool net-208
!
interface ethernet 0
ip address 171.69.232.182 255.255.255.240
ip nat outside
!
interface ethernet 1
ip address 192.168.1.94 255.255.255.0
ip nat inside
!
ip access-list standard a1
permit 192.168.1.0 255.255.255.0
permit 192.168.2.0 255.255.255.0
!
2.1.9 ip nat service
此命令是為Nat支援的各種服務提供的一個入口函式,目前支援三類的服務。預設各種服務都為關閉狀態。
ip nat service { h323 | privateservice | peek }
no ip nat service { h323 | pri