NAT与NAT用户日志配置

目 录4 NAT与NAT用户日志配置4-14.1 NAT与NAT用户日志概述4-24.1.1 NAT简介4-24.1.2 多对多地址转换与地址池4-44.1.3 应用级网关ALG4-54.1.4 NAT在VRP上的实现4-54.1.5 NAT用户日志简介4-74.2 配置NAT4-84.2.1 建立配置任务4-84.2.2 配置地址池4-94.2.3 配置ACL和地址池关联4-94.2.4 配置部服务器4-94.2.5 使能NAT ALG功能4-104.2.6 检查配置结果4-104.3 配置NAT用户日志4-104.3.1 建立配置任务4-104.3.2 启动NAT用户日志功能4-114.3.3 设置日志输出至控制台4-114.3.4 设置使用的日志服务器4-124.3.5 设置日志报文的源IP地址4-124.3.6 设置日志报文的版本号4-124.3.7 设置在创建流时进行日志的记录4-124.3.8 设置对长时间活跃的流定时记录4-124.3.9 检查配置结果4-134.4 维护4-134.4.1 清除4-134.4.2 调试4-144.5 NAT与NAT用户日志典型配置举例4-144.5.1 NAT典型配置举例4-144.5.2 NAT用户日志典型配置举例4-164.5.3 NAT部服务器多实例配置举例4-184-19 / 24插图目录图4-1 地址转换示意图4-3图4-2 通过路由器访问Internet4-3图4-3 用户日志信息输出示意图4-7图4-4 地址转换典型配置组网图4-15图4-5 NAT用户日志典型配置组网图4-17图4-6 NAT部服务器的多实例4-184 NAT与NAT用户日志配置关于本章本章描述容如下表所示。标题容4.1 NAT与NAT用户日志概述了解NAT基本原理和NAT用户日志4.2 配置NAT配置NAT举例：NAT典型配置举例4.3 配置NAT用户日志配置NAT用户日志举例：NAT用户日志典型配置举例4.4 维护清除运行信息，调试NAT4.5 NAT与NAT用户日志典型配置举例介绍NAT的各种组网举例。4.1 NAT与NAT用户日志概述本节介绍配置NAT与NAT用户日志所需要理解的知识，具体包括：l NAT简介l 多对多地址转换与地址池l 应用级网关ALGl NAT在VRP上的实现l NAT用户日志简介4.1.1 NAT简介网络地址转换NAT又称地址代理，它实现了私有网络访问公有网络的功能。在Internet的发展过程中，NAT的提出是为了解决IP地址短缺所可能引起的问题。私有网络地址和公有网络地址私有网络地址是指部网络或主机的IP地址，公有网络地址是指在Internet上全球唯一的IP地址。Internet地址分配组织规定将下列的IP地址保留用作私有网络地址。l 10.0.0.010.255.255.255l 172.16.0.0172.31.255.255l 192.168.0.0192.168.255.255也就是说这三个围的地址不会在Internet上被分配，只能在一个单位或公司部使用。各企业在预见未来部主机和网络的数量后，选择合适的部网络地址。不同企业的部网络地址可以一样。如果一个公司选择上述三个围之外的其它网段作为部网络地址，那么与其他网络互通时有可能会造成混乱。网络地址转换如图4-1所示，当部网络的主机访问Internet或与公有网络的主机通信时，需要进行网络地址转换。图4-1 地址转换示意图部网络的地址是10.1.1.0/24网段，而对外的公有网络IP地址是203.196.3.23/24。部的主机10.1.1.48/24以www方式访问外部网络的服务器202.18.245.251/24。主机10.1.1.48/24发出一个数据报文，源端口为6084，目的端口为80。在通过路由器后，该报文的源地址和端口可能改为203.196.3.23:32814，目的地址与端口不做改变。路由器中维护着一地址端口对应表。当外部网络的www服务器返回结果时，路由器会将结果数据报文中的目的IP地址与端口转化为10.1.1.48:6084。这样，部主机10.1.1.48/24就可以访问外部的服务器了。NAT的作用如图4-2所示，PC1与PC2可以使用部网络地址，通过网络地址转换后访问Internet上的资源。图4-2 通过路由器访问InternetNAT的机制地址转换的机制是将部网络主机的IP地址和端口替换为路由器的外部网络地址和端口，以与从路由器的外部网络地址和端口转换为部网络主机的IP地址和端口。也就是与之间的转换。NAT的特征l 对用户透明的地址分配（指对外部地址的分配）。l 可以达到一种“透明路由”的效果。这里的路由是指转发IP报文的能力，而不是一种交换路由信息的技术。NAT的优缺点地址转换的优点如下。l 部网络的主机可以通过该功能访问外部网络资源。l 为部主机提供了“隐私”（Privacy）保护。l 地址转换的缺点如下：l 由于需要对数据报文进行IP地址的转换，涉与IP地址的数据报的报头不能被加密。在应用层协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的FTP连接，否则FTP的port命令不能被正确转换。l 网络调试变得更加困难。比如，部网络的某一台主机在攻击其它网络，网络安全人员很难指出究竟哪一台主机是恶意的，因为该主机的IP地址被屏蔽了。NAT的性能在链路的带宽低于10Mbit/s时，地址转换对网络性能基本不构成影响，此时，网络传输的瓶颈在传输线路上；当链路的带宽高于10Mbit/s时，地址转换将对路由器性能产生一些影响。4.1.2 多对多地址转换与地址池从地址转换的示意图4-1可见，当主机从部网络访问外部网络时，地址转换将会选择一个合法的外部地址，以替代部网络数据报文的源地址，即在图4-1中选择路由器地址池提供的外部IP地址。这样所有部网络的主机访问外部网络时，只能共同拥有一个外部IP地址。当部网络的主机非常多时，地址转换可能就会显得有些吃力。解决这个问题需要一个私有网络拥有多个外部地址，此 时，为充分而有效地利用这些外部地址，可利用地址池来实现多对多地址转换。顾名思义，地址池就是一些合法IP地址（公有网络IP地址）的集合。用户可根据自己拥有的合法IP地址的多少、部网络主机的多少、以与实际应用情况，配置合适的IP地址池。当主机从部网络访问外部网络时，将会从地址池中挑选一个IP地址做为转换后的报文源地址。4.1.3 应用级网关ALGNAT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议，例如ICMP、FTP等，它们报文的数据部分可能包含IP地址或端口信息，这些容不能被NAT有效的转换，这就可能导致问题。例如，一个使用部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分，NAT无法对它进行转换。外部网络主机接收了这个私有地址并使用它，这时FTP服务器将表现为不可达。解决这些特殊协议的NAT转换问题的方法就是在NAT实现中使用应用级网关ALG（Application Level Gateway）功能。ALG是特定的应用协议的转换代理，它和NAT交互以建立状态，使用NAT的状态信息来改变封装在IP报文数据部分中的特定数据，这样应用协议可以跨越不同围运行。例如，考虑一个“目的站点不可达”的ICMP报文，该报文数据部分包含了造成错误的数据报A的首部（注意，NAT发送A之前进行了地址转换，所以源地址不是部主机的真实地址）。如果开启了ICMP ALG功能，在NAT转发ICMP报文之前，它将与NAT交互，打开ICMP报文并转换其数据部分的报文A首部的地址，使这些地址表现为部主机的确切地址形式，由NAT将这个ICMP报文转发出去。4.1.4 NAT在VRP上的实现VRP支持NAT ALGVRP的NAT平台模块不仅实现了一般的地址转换功能，还提供了完善的地址转换应用级网关机制，使其在流程上可以支持各种特殊的应用协议，而不需要对NAT平台进行任何的修改，具有良好的可扩充性。可支持的特殊协议包括：DNS、FTP、TFTP、H.323、HWCC、ICMP、ILS（Internet Locator Service）、MSN、NetBIOS（Network Basic Input/Output System）、PPTP（Point-to-Point Tunneling Protocol）、 。VRP地址转换支持MPLS VPNVRP的NAT不仅可以使部网络的用户访问外部网络，还允许分属于不同MPLS（Multi-Protocol Label Switching） VPN（Virtual Private Network）的用户通过同一个出口访问外部网络。当MPLS VPN用户访问Internet时，VRP的NAT将部网络主机的IP地址和端口替换为路由器的外部网络地址和端口，同时还记录了用户的MPLS VPN信息。报文还原时，NAT将外部网络地址和端口还原为部网络主机的IP地址和端口，同时获得了MPLS VPN用户信息。利用访问控制列表控制地址转换在实际应用中，我们可能希望某些部的主机具有访问Internet的权利，而某些主机不允许访问。在地址转换中，我们可以利用访问控制列表限制地址转换。也就是说，只有满足访问控制列表条件的数据报文才可以进行地址转换。这样就能有效地控制地址转换的使用围，使特定主机能够有权利访问Internet。访问控制列表是由命令acl生成的，它依据IP数据包报头与其承载的上层协议数据的格式定义了一定的规则，表示允许或是禁止具有某些特征的数据包。地址转换按照这样的规则判定哪些包是被允许转换或者是被禁止转换，这样可以禁止一些部的主机访问外部网络，保证具有一定特征的数据包才可以被允许进行地址转换，提高网络的安全性。“转换关联”就是将一个地址池和一个访问控制列表关联起来，这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址”。当部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池，这样就把源地址转换成这个地址池中的某一个地址，完成了地址转换。在转换时，根据“转换关联”可以找到与数据包对应的地址池，就可以将部网络主机的IP地址和端口替换为路由器的外部网络地址和端口。在还原时，根据数据包的目的地址，就可以把路由器的外部网络地址和端口转换为部网络主机的IP地址和端口。Easy IPEasy IP就是当进行地址转换时，直接使用接口的公有IP地址作为转换后的源地址。同样，它也利用访问控制列表控制哪些部地址可以进行地址转换。部服务器地址转换具有“屏蔽”部主机的作用，但是在实际应用中，可能我们需要提供给外部一个访问部主机的机会，如提供给外部一个WWW服务器，或是一台FTP服务器。使用地址转换可以灵活地添加部服务器，例如可以使用202.110.10.10作为WEB服务器的外部地址，使用202.110.10.11作为FTP服务器的外部地址，甚至还可以使用202.110.10.12:8080这样的地址作为WEB的外部地址，还可为外部用户提供多台同样的服务器，如提供多台WEB服务器。通过配置部服务器，可将相应的外部地址、端口等映射到部的服务器上，提供了外部网络主机访问部服务器的功能。在还原时，根据用户的配置查找外部数据包的目的地址，如果要访问的是部服务器，则转换成相应的部服务器的私有地址和端口，达到访问部服务器的目的；在转换时，对源地址进行查找，判断是否是从部服务器发出去的报文，如果是则将源地址转换成相应的外部地址。部服务器的多实例VRP的地址转换支持部服务器的多实例，提供给外部访问MPLS VPN主机的机会。例如，VPN1提供WWW服务的主机地址是 10.110.1.1，可以使用202.110.10.20做为WEB服务器的外部地址，Internet的用户使用202.110.10.20的地址就可以访问到MPLS VPN1提供的WWW服务。4.1.5 NAT用户日志简介NAT用户日志的作用对于通过NAT设备接入的用户，由于源IP地址经过地址转换，难以精确定位某次访问网络的操作是从哪台主机、哪个用户发起的，这使得网络的安全性降低。NAT用户日志（UserLog）就是为了解决这一安全问题而实现的。它可以记录NAT数据流信息，从而使管理员能够了解NAT转换前的地址信息，进而查询、跟踪网络活动和操作，提高网络的可用性和安全性。NAT用户日志功能只用于NAT的出方向，不记录外部用户对部服务器的访问。NAT用户日志的实现对于通过NAT访问Internet的私网用户，NAT日志信息通过以下步骤输出。l 路由器按照IP报文的源IP地址、源端口、目的IP地址、转换后的源IP地址、转换后的源端口、目的端口和协议号来对IP报文进行分类；l 每一类IP报文作为一条NAT流，缓存在NAT的HASH表中；l 当HASH表中的流老化时（采用定时老化或强制老化等方式），将HASH表中的流输出到日志缓存（logbuffer）中；l 日志缓存中的老化流到达一定数目后，系统输出记录的日志信息。NAT用户日志的输出用户日志有两种输出方式：UDP报文方式、系统日志方式（Syslog）。如图4-3所示，系统统计每一条老化的流，当统计到一定数量后，将统计信息生成一条UDP报文发送出去，供网上的日志服务器接收处理。UDP报文中包含多条NAT数据流的原始信息，由一个报文头和若干条记录组成，每条记录分别对应一条被记录的数据流。输出的UDP报文可以有多种格式，目前使用版本1。图4-3 用户日志信息输出示意图如果采用系统日志方式，系统将定期检查日志缓存，如果日志缓存中有记录，将被输出。这种方式下，一次最多可以输出10条记录。4.2 配置NAT4.2.1 建立配置任务应用环境在私有网络和公有网络的边界处配置NAT。前置任务在配置NAT之前，需完成创建ACL并配置ACL规则。数据准备在配置NAT之前，需准备以下数据。序号数据1确定地址池编号、地址池的起始和结束IP地址2确定接口类型和编号3确定是否使用端口信息4配置部服务器需要提供的信息包括：VPN实例名称（可选）、外部地址、外部端口、部服务器地址、部服务器端口以与服务协议类型5确定需要ALG处理的协议类型配置过程要完成配置NAT的任务，需要执行如下的配置过程。序号过程1配置地址池2配置ACL和地址池关联3配置部服务器4使能NAT ALG功能5检查配置结果4.2.2 配置地址池请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令nat address-groupgroup-numberstart-address end-address，配置地址池。-结束4.2.3 配置ACL和地址池关联请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interfaceinterface-type interface-number，进入接口视图。步骤 3 执行命令nat outboundacl-number ad dress-groupgroup-number no-pat ，配置ACL和地址池关联。-结束该命令是在连接公有网络的接口上进行配置的。4.2.4 配置部服务器请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令interfaceinterface-type interface-number，进入接口视图。步骤 3 执行命令nat server vpn-instancevpn-instance-name protocol protocol-type globalglobal-address global-port insidehost-address host- port，nat server vpn-instancevpn-instance-name protocol protocol-type globalglobal-addressglobal-port1global-port2insidehost-address1 host-address2 host-port或者nat server vpn-instancevpn-instance-name globalglobal-addressinsidehost-address，配置部服务器-结束global-port和host-port只要有一个定义了any，则另一个要么不定义，要么是any。配置FTP服务器时，必须同时配置FTP DATA服务器（一般为端口20）。该命令是在连接公有网络的接口上进行配置的。4.2.5 使能NAT ALG功能请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令nat alg enable dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp| ，使能NAT ALG功能。-结束4.2.6 检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看地址转换的状况displaynat all | address-group |outbound| server| alg 4.3 配置NAT用户日志4.3.1 建立配置任务应用环境NAT用户日志可以记录NAT数据流信息，从而使管理员能够了解NAT转换前的地址信息，进而查询、跟踪网络活动和操作，提高网络的可用性和安全性。前置任务在配置NAT用户日志之前，需要：完成配置NAT。数据准备在配置NAT用户日志之前，需准备以下数据。序号数据1确定启动日志功能的槽位号与ACL规则组号2确定日志输出方式是UDP报文方式还是系统日志方式（Syslog）3如果使用UDP报文方式，需要确定日志服务器的IP地址和UDP端口号，报文源IP地址可选4如果对长时间活跃的流定时记录，需要确定记录的时间间隔配置过程要完成配置NAT用户日志的任务，需要执行如下的配置过程。序号过程1启动NAT用户日志功能2设置日志输出至控制台（用于Syslog方式）3设置使用的日志服务器（用于UDP报文方式）4设置日志报文的源IP地址（用于UDP报文方式，可选）5设置日志报文的版本号（用于UDP报文方式，可选）6设置在创建流时进行日志的记录（可选）7设置对长时间活跃的流定时记录（可选）8检查配置结果4.3.2 启动NAT用户日志功能请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ip userlog natslotslot-id aclacl-number ，启动NAT用户日志功能。-结束4.3.3 设置日志输出至控制台请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ipuserlognatsyslog，设置日志输出至控制台。-结束以syslog方式输出时，日志信息的优先级为informational，即一般提示信息。4.3.4 设置使用的日志服务器请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ip userlognatexport slotslot-id host ip-address udp-port，设置使用的日志服务器。-结束4.3.5 设置日志报文的源IP地址请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ipuserlognatexportsource-ipip-address，设置日志报文的源IP地址。-结束4.3.6 设置日志报文的版本号请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ipuserlognatexportversionversion-number，设置日志报文的版本号。-结束4.3.7 设置在创建流时进行日志的记录请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ip userlog nat mode flow-begin，设置在创建流时进行日志的记录。-结束l 通常情况下，通过流的老化来记录日志信息，因此，在删除流时会记录日志信息。根据需要，用户可以配置系统在数据流创建时也进行日志记录。这种情况下，由于记录的流并没有结束，日志记录中的结束时间为0。l 连接创建时是否生成日志记录并不影响删除连接时生成的日志记录。4.3.8 设置对长时间活跃的流定时记录请在路由器上进行以下配置。步骤 1 执行命令system-view，进入系统视图。步骤 2 执行命令ipuserlognatactive-timeminutes，设置对长时间活跃的流定时记录。-结束如上一节所述，通常情况下，通过流的老化来记录日志信息。这样，对于那些长时间处于激活状态的流，就会发生不能记录日志的情况，所以需要对这种连接定时进行记录。4.3.9 检查配置结果完成上述配置后，请执行下面的命令检查配置结果。操作命令查看指定接口板用户日志统计输出报文的各种信息display ipuserlogexportslotslot-id4.4 维护本节包含如下的容。l 清除l 调试4.4.1 清除清除统计信息后，以前的统计信息将无法恢复，务必仔细确认。在确认需要清除运行信息后，请在用户视图下执行以下命令操作命令清除用户日志缓存中的记录reset ip userlognatlogbufferslotslot-id清除用户日志记录统计信息reset ip userlog export slotslot-id清除用户日志缓存中的记录会造成日志信息的丢失，正常情况下，建议不要进行以上操作。4.4.2 调试打开调试开关将影响系统的性能。调试完毕后，应与时执行undo debugging all命令关闭调试开关。在出现NAT与NAT用户日志运行故障时，请在用户视图下执行下表中的debugging命令对其进行调试，查看调试信息，定位故障并分析故障原因。打开调试开关的操作步骤请参见VRP配置指南-系统管理中“维护与调试”的容。有关debugging命令的解释请参见VRP命令参考。操作命令打开NAT的调试开关debuggingnat alg | event | packet tcp | udp | icmp | h323 | ftp | ils | hwcc | dns | msn | netbios |pptp| 打开用户日志信息调试开关debuggingipuserlognat4.5 NAT与NAT用户日志典型配置举例本节包含如下配置举例。l NAT典型配置举例l NAT用户日志典型配置举例l NAT部服务器多实例配置举例4.5.1 NAT典型配置举例组网需求如图4-4所示，一个公司通过Quidway路由器的地址转换功能连接到广域网。要求该公司能够通过Quidway路由器POS3/0/0访问Internet，公司部对外提供WWW、FTP和SMTP服务，而且提供两台WWW服务器。公司部网址为10.110.0.0/16。其中，部FTP服务器地址为10.110.10.1/16，部WWW服务器1地址为10.110.10.2/24，部WWW服务器2地址为10.110.10.3/24，部SMTP服务器地址为10.110.10.4/24，并且希望可以对外提供统一的服务器IP地址。部10.110.10.0/24网段可以访问Internet，其它网段的PC机则不能访问Internet。外部的PC机可以访问部的服务器。公司具有202.38.160.100/24至 202.38.160.105/24六个合法的IP地址。选用202.38.160.100/24做为公司对外的IP地址，WWW服务器2对外采用8080端口。图4-4 地址转换典型配置组网图配置思路l 首先配置地址池和访问列表，并在接口上应用。l 配置部服务器。数据准备NAT的地址池号为1，该地址池有从202.38.160.100/24至202.38.160.105/24六个地址。配置步骤步骤 1 配置地址池和访问控制列表，并关联地址池与10.110.10.0/24网段。Quidway nat address-group 1 202.38.160.100 202.38.160.105Quidwayacl number 2001Quidway-acl-basic-2001rule permit source 10.110.10.0 0.0.0.255Quidway-acl-basic-2001quitQuidwayinterface Pos3/0/0Quidway-Pos3/0/0 nat outbound 2001 address-group 1步骤 2 配置部服务器。# 配置部FTP服务器Quidway-Pos3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.1 ftpQuidway-Pos3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.1 20# 配置部WWW服务器1。Quidway-Pos3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.2 # 配置部WWW服务器2。Quidway-Pos3/0/0 nat server protocol tcp global 202.38.160.100 8080 inside 10.110.10.3 # 配置部SMTP服务器。Quidway-Pos3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.4 smtp步骤 3 检查配置结果此时，在部网络上的可以ping通外部网络，外部网络不能ping通部网络（部服务器除外）。在路由器上执行命令display nat all可以观察到地址池的地址为from 202.38.160.100to202.38.160.105，NAT server的配置情况为：Interface:pos3/0/0 202.38.160.100 21(ftp) 10.110.10.1 21(ftp) 6(tcp) (1) 202.38.160.100 20 10.110.10.1 20 6(tcp) (1) 202.38.160.100 80() 10.110.10.2 80() 6(tcp) (1) 202.38.160.100 8080 10.110.10.3 80() 6(tcp) (1) 202.38.160.100 25(smtp) 10.110.10.4 25(smtp) 6(tcp) (1) Total 5 NAT servers-结束配置文件# nat address-group 1 202.38.160.100 202.38.160.105#acl number 2001 rule 5 permit source 10.110.10.0 0.0.0.255#interface Pos3/0/0 ip address 202.38.160.100 255.255.255.0 nat outbound 2001 address-group 1 nat server protocol tcp global 202.38.160.100 ftp inside 10.110.10.1 ftp nat server protocol tcp global 202.38.160.100 20 inside 10.110.10.1 20 nat server protocol tcp global 202.38.160.100 inside 10.110.10.2 nat server protocol tcp global 202.38.160.100 8080 inside 10.110.10.3 nat server protocol tcp global 202.38.160.100 smtp inside 10.110.10.4 smtp#return 4.5.2 NAT用户日志典型配置举例组网需求部网络用户通过路由器Router的NAT访问Internet。要求记录NAT日志信息，日志信息输出至日志服务器进行分析。如图4-5所示，部用户通过以太网与路由器的GE1/0/0接口相连，路由器通过POS2/0/0接口连接至Internet。在启动NAT的接口POS2/0/0所在的槽位2（通往Internet的出接口）上启动NAT日志。日志服务器的IP地址为101.10.1.1/24。在配置前，需要保证NAT已正确配置，用户可以正常访问Internet。图4-5 NAT用户日志典型配置组网图配置步骤步骤 1 启动NAT日志功能。Router ip userlog nat slot 2步骤 2 设置日志输出报文的目的服务器地址与端口号。Router ip userlog nat export host 101.10.1.1 1500步骤 3 设置日志输出报文的源IP地址。Router interface loopback1Router-LoopBack1 ip address 1.1.1.1 255.255.255.255Router-LoopBack1 quitRouter ip userlog nat export source-ip 1.1.1.1步骤 4 检查配置结果在路由器上执行display ip userlog export slot命令后，可以观察到类似以下的容。NAT: Version 1 export is enabled Export logs to 101.10.1.1 (Port: 1500) Export using source address 1.1.1.1 0 logs exported in 0 udp datagrams 0 logs in 0 udp datagrams failed to output 0 entries buffered currently -结束配置文件#ip userlog nat slot 2 ip userlog nat export host 101.10.1.1 1500ip userlog nat export source-ip 1.1.1.1#interface LoopBack1 ip address 1.1.1.1 255.255.255.255 #4.5.3 NAT部服务器多实例配置举例组网需求如图4-6所示， CE和Server属于某VPN (vpna)，Router属于公网设备，要求Router能够访问vpna 中的Server。图4-6 NAT部服务器的多实例配置思路l 搭建MPLS VPN环境。l 在PE上配置NAT转换。l 配置访问VPN Instance 所需的静态路由。数据准备vpna中Server的外部地址是202.38.160.100/24。配置步骤步骤 1 配置基本BGP/MPLS IP VPN具体过程请参见VRP配置指南 VPN。完成此步后，PE可以ping通100.1.1.2。在PE上执行ping -vpn-instance vpna 10.3.1.1 ，可以ping通。但Router上不能ping 通202.38.160.100。步骤 2 在PE上进行NAT转换# 配置地址池和访问控制列表，在接口上配置地址池关联以与部服务器。system-viewPEinterface Pos6/0/0PE-Pos6/0/0nat server vpn-instance vpna global 202.38.160.100 inside 10.3.1.1步骤 3 配置访问VPN Instance需要的静态路由# 在PE上配置从公网到10.3.1.1/24的静态路由，配置从私网回到Router的静态路由。PEip route-static 10.3.1.0 255.255.255.0 vpn-instance vpna 10.1.1.1PEip route-static vpn-instance vpna 0.0.0.0 0.0.0.0 100.1.1.2 public# 在CE上配置到Router的静态路由，CEip route-static 0.0.0.0 0.0.0.0 Pos6/0/0# 在Router上配置到202.38.160.0/24的静态路由Routerip route-static 202.38.160.0 255.255.255.0 Pos6/0/0步骤 4 检查配置结果在Router上ping server转换后的地址202.38.160.100，可以ping通。-结束配置文件l PE的配置文件# sysname PE#ip vpn-instance vpna route-distinguisher 100:1 vpn-target 1:1 export-extcommunity vpn-target 1:1 import-extcommunity# mpls lsr-id 1.1.1.1 mpls lsp-trigger all#mpls ldp#interface Pos6/0/0 link-protocol ppp ip binding vpn-instance vpna ip address 10.1.1.2 255.255.255.0nat server vpn-instance vpna global 202.38.160.100 inside 10.3.1.1#interface Pos6/0/1 link-protocol ppp ip address 100.1.1.1 255.255.255.0 mpls mpls ldp#interface LoopBack1 ip address 1.1.1.1 255.255.255.255#bgp 100 # ipv4-family vpn-instance vpna peer 10.1.1.1 as-number 65410 import-route direct#ospf 1 area 0.0.0.0 network 100.1.1.0 0.0.0.255 network 1.1.1.1 0.0.0.0# ip route-static 10.3.1.0 255.255.255.0 vpn-instance vpna 10.1.1.1 ip route-static vpn-instance vpna 0.0.0.0 0.0.0.0 100.1.1.2 public# return l CE的配置文件# sysname CE#interface Pos6/0/0 link-protocol ppp ip address 10.1.1.1 255.255.255.0#bgp 65410 peer 10.1.1.2 as-number 100 # ipv4-family unicast undo synchronization import-route direct peer 10.1.1.2 enable# ip route-static 0.0.0.0 0.0.0.0 Pos6/0/0#return l Router的配置文件# sysname Router#interface Pos6/0/1 link-protocol ppp ip address 100.1.1.2 255.255.255.0#ospf 1 area 0.0.0.0 network 2.2.2.2 0.0.0.0 network 100.1.1.0 0.0.0.255# ip route-static 202.38.160.0 255.255.255.0 Pos6/0/0#return