H3C设备NAPT配置
直接打开29篇的拓扑,之前都配置好了
「模拟器、工具合集」复制整段内容
链接:https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil
现在是出口路由器可以直接访问61.128.1.1,下面的终端访问不了,需要做NAPT源NAT转换。
(1)配置
#华三出口路由器配置NAPT[MSR3600]interface Dialer 1[MSR3600-Dialer1]nat outbound
没看错,华三设备它可以不调用ACL规则,nat outbound表示就是任意内网IP都可以在这进行转换
(2)测试ICMP
测试是通的,PC1目前是192.168.10.1
通过display nat session verbose可以查看详细的会话信息,华三的NAT会话表比华为的相对要详细些,这里有一个比较有趣的事,ICMP它是IP层的一个协议,并没有端口号的,但是在网络设备里面,经过NAPT后,设备会给它加上一个端口号,这样的好处是在内网有多个终端去ping同一个地址的时候,返回能够正常的还原。
(3)测试TCP流量(用Telnet模拟)
开启抓包
互联网设备开启Telnet服务,测试TCP[internet]telnet server enable
#核心上面测试
在核心上面 telnet 互联网设备的地址,现在是登录失败,这个没事,主要看看NAT的会话信息
抓包跟看会话表信息,可以发现华三的模拟器抓包的信息与会话表信息是一致的,转换前的源端口号是7364(抓包也是7364),转换后的源端口号是1024(抓包显示1024),并且华三会比华为更加详细,华三还能显示当前的TCP state为:TCP_TIME_WAIT,Appliation为telnet,这样的状态更加方便我们排错。
有用的查询命
(1)NAT会话表查询华三:display nat session查看当前所有会话表信息,加verbose可以查看更详细的,实际中,会用display nat session 跟过滤参数,比如source-ip,destination-ip 在加上verbose,排查与查看非常方便 华为:display nat session all 查看当前所有会话表信息,加verbose可以查看更详细的,实际中,会用display nat session 跟过滤参数,比如source,destination 在加上verbose来定位查看(2)查看NAT会话表的总数量条目,用于判断是否达到了设备的性能阀值华三:display nat statistics summary华为:display nat session number (3)查看NAPT的配置华三:display nat outbound 华为:display nat outbound ,华为后面可以跟接口、ACL参数来顾虑(4)查看ACL以及接口配置 华三华为查看接口配置:display current-configuration interface华三查看ACL配置:displa current-configuration configuration acl-ipv4-adv 华为查看ACL配置:display current-configuration configuration acl-adv 华为华三查看ACL列表:display acl all 或者display acl 300