nat outbound (�5th�����
【命令】 T=sAy�/1oR
�dy5�}Jn%L
nat outbound acl-number [ address-group group-number [ no-pat ] ] �=v<A&4���
m`���q&[�:
undo nat outbound acl-number [ address-group group-number [ no-pat ] ] [Y,� L�=�p
��XSK<hr0m
【视图】 <,/�7:��n�
,~1k:>njY~
接口视图 Piwox1�T�;
L�1g0Dd\Ox
【参数】 W�1)<�!nwA
�N�R8`nc1~
address-group:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即easy ip特性。 Yt�W�w)�IK
G'w!Aw���s
no-pat:表示使用一对一的地址转换,只转换数据包的地址而不使用端口信息。 Y���[R>?w�
8c9<kG�m$E
acl-number:访问控制列表的索引值,范围为2000~3999(可以使用高级ACL)。 -�+Ya�r�k�
�&s�?u�MWR
group-number:一个已经定义的地址池的编号。 c�V�xO��\M
�$2i@@�#g8
【描述】 RU6c��8>�"
d-tg^Ot�#
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示acl-number中规定的地址可以使用地址池group-number进行地址转换,undo nat outbound命令用来删除相应的地址转换。 _T�sN
%)�m
�^_P?EJ,)`
通过配置访问控制列表和地址池的关联,将符合访问控制列表中的数据报文的源地址进行地址转换,选用地址池中的某个地址或者直接使用接口的IP地址进行转换。可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况应该是和ISP连接,是内部网络的出口。 cRb�A+0m>�
n�4+�q�7�
该命令如果不带address-group参数,即使用nat outbound acl-number命令,则实现了easy-ip的特性,地址转换时,使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。 2@z�.ory.�
{}Is&�^�3Z
当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络;否则就会出现原有NAT表项不能自动删除,也无法使用reset session命令删除的情况。 q<z8P;oP^�
U2�W��H�s3
【举例】 .S�/zxf~h�
x�
�l��qP%
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10 到202.110.10.12之间的地址作为转换后的地址。假设Serial 0/0/0口连接ISP。 3Os�0<�1@H
[�'�pO=ho�
[Quidway] acl number 2001 2;:p��
H3
�
a`f@&A`z
[Quidway-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 �<)(W7#Ks�
SN �L-6]j
[Quidway-acl-basic-2001] rule deny ZxT
E(B�Qv
vo*o�Cf�m�
# 配置地址池。 =4S�XntU!e
Gs3�V]qbEP
[Quidway] nat address-group 1 202.110.10.10 202.110.10.12 ��X�_�@|+d
i�l�!B={��
# 允许地址转换,使用地址池1中的地址进行地址转换。在转换的时候使用TCP/UDP的端口信息,使用如下配置。 {G�nZ@Q:�F
dz�+Dk6"�R
[Quidway-Serial0/0/0] nat outbound 1 address-group 1 =G^'ww�pv(
�ku]?"{X�x
# 删除对应配置。 7[qL~BT+��
?0*�[��
L
[Quidway-Serial0/0/0] undo outbound 1 address-group 1 �`t)9u^[<(
Lkx~�>U�
�
# 如果使用一对一的地址转换(不使用TCP/UDP的端口信息进行地址转换),可以使用如下配置。 9�oO~UP!ag
(Ll'�j0]k>
[Quidway-Serial0/0/0] nat outbound 1 address-group 1 no-pat *�kqC^2��t
O�M\1T�D/-
# 删除对应配置。 �{C�Bb^�BP
Mkk�.8AjC|
[Quidway-Serial0/0/0] undo nat outbound 1 address-group 1 no-pat -�4�0��X�3
rg��>2tgA�
# 如果直接使用Serial 0/0/0口的IP地址,可以使用如下的配置。 &
b�5�(Su
5~IdWwG*w�
[Quidway-Serial0/0/0] nat outbound 1 �Q]N&^ �E�
@�$%GszyQ'
# 删除对应配置。 Y�T(�Eh3ID
�xt,Qn460;
[Quidway-Serial0/0/0] undo nat outbound 1 J�Vy�|SA&R
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111 -XC�s?@8EQ
下面有一些好东东,和你分享 $VF,�l#�aR
X�J�3sqc�S
��Q35\w�Q#
acl number 100 L�Af#Rc�o4
�C7N��Sm�Z
禁ping �7�(�.Z8AO
H#;*kc
�a4
rule deny icmp source any destination any eU%�4�9 A�
h�d9HM5{p�
用于控制Blaster蠕虫的传播 OmBz's�p:
^-�k�"gLg�
rule deny udp source any destination any destination-port eq 69 �AK&>3��D�
Hh�=fv�~X�
rule deny tcp source any destination any destination-port eq 4444 x$BN�Fb%I1
���+@3�+WD
用于控制冲击波病毒的扫描和攻击 5{V"!M�+<�
}p2�iF2g9`
rule deny tcp source any destination any destination-port eq 135 G)}[�!'<rR
?=&S�?p)-<
rule deny udp source any destination any destination-port eq 135 u�r'<8pDb$
JJ?�rV�q1g
rule deny udp source any destination any destination-port eq netbios-ns H@xS<=�:lM
��Ori�Y�t
rule deny udp source any destination any destination-port eq netbios-dgm -]z�b�3P
�
S5TVfV5L�I
rule deny tcp source any destination any destination-port eq 139 �%hYgG;22
�EyPJ J�c8
rule deny udp source any destination any destination-port eq 139 �P�Z8,E{V�
EA6l11{Gk1
rule deny tcp source any destination any destination-port eq 445 Y���#68_%[
�={P��`Tve
rule deny udp source any destination any destination-port eq 445 ?}s;,�_GH�
ye$_=KARP�
rule deny udp source any destination any destination-port eq 593 BM /FO�Y;�
�^)>(� <�6
rule deny tcp source any destination any destination-port eq 593 �a&b/�C*R_
�$X�lr@�)%
用于控制振荡波的扫描和攻击 !9/`PcNIpy
d�%'�#-w'�
rule deny tcp source any destination any destination-port eq 445 �-�GP��BX?
/&#��y-D�_
rule deny tcp source any destination any destination-port eq 5554 ;Y*K!iF�WH
���;(��`bP
rule deny tcp source any destination any destination-port eq 9995
\�]Ah��=`
K)Lo�Z^x0)
rule deny tcp source any destination any destination-port eq 9996 �o�1(;"5MM
&]�n }fq�
用于控制 Worm_MSBlast.A 蠕虫的传播 �L4/n�s@e
6�;'[v}O^^
rule deny udp source any destination any destination-port eq 1434 >E���J{ *�
G`0�O5�G:1
下面的不出名的病毒端口号 (可以不作) <7J3�tn B�
iiq�
`�:G
rule deny tcp source any destination any destination-port eq 1068 ��;�`7~�Q�
*Sj)��9�mp
rule deny tcp source any destination any destination-port eq 5800 ]o��uoRlb/
�f~mwDkf?L
rule deny tcp source any destination any destination-port eq 5900 �q��][k�D2
L�n,<|,fZN
rule deny tcp source any destination any destination-port eq 10080 # �atq7t�X
:�[n~(�~7?
rule deny tcp source any destination any destination-port eq 455 3��?�FY?Q[
}5v�KQ�f��
rule deny udp source any destination any destination-port eq 455 %�;QK5L ��
�a[~[l�k=7
rule deny tcp source any destination any destination-port eq 3208 tB�>�!1�}v
^;PjO|mD
Z
rule deny tcp source any destination any destination-port eq 1871 |(��%<F�Y$
fKY-�@B[|�
rule deny tcp source any destination any destination-port eq 4510 ek]JzD~w$
Ro�2V�-6�/
rule deny udp source any destination any destination-port eq 4334 1M??@@X���
n�z�aDO-2!
rule deny tcp source any destination any destination-port eq 4331 G�xe)5
,�G
}�XB�F�#BN
rule deny tcp source any destination any destination-port eq 4557 �8`�+=�~S�
#(��614-r/
然后下发配置 75Z|me�G�~
m�d{�nHX�&
packet-filter ip-group 100 �b_��ZvI\H
