nat outbound D;:p6q}hT
【命令】 )|]*"yf:E�
ASSe�;+yp�
nat outbound acl-number [ address-group group-number [ no-pat ] ] F�$�s:
\�N
�&`g^�b�^i
undo nat outbound acl-number [ address-group group-number [ no-pat ] ] �Z0� ��c|;
%4�wHiC�Og
【视图】
�Pm�E��8O
R<�r,&�X?m
接口视图 y?iW^>|?L=
]�<���;y_�
【参数】 /.�UIS�ArH
msq2/sS~�
address-group:表示使用地址池的方式配置地址转换,如果不指定地址池,则直接使用该接口的IP地址作为转换后的地址,即easy ip特性。 �)ItW}1[I
�g��P ��^A
no-pat:表示使用一对一的地址转换,只转换数据包的地址而不使用端口信息。 wF-H{�C��'
`G�g,�oCQg
acl-number:访问控制列表的索引值,范围为2000~3999(可以使用高级ACL)。 �a�3[�,�3�
RRpCWc�Iv"
group-number:一个已经定义的地址池的编号。 B�}I9+/|{�
Gg^�gK�*�D
【描述】 Ih5CtcE1'd
y+'��,jM��
nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来,表示acl-number中规定的地址可以使用地址池group-number进行地址转换,undo nat outbound命令用来删除相应的地址转换。 8%A��k����
E�O/
�TuKt
通过配置访问控制列表和地址池的关联,将符合访问控制列表中的数据报文的源地址进行地址转换,选用地址池中的某个地址或者直接使用接口的IP地址进行转换。可以在同一个接口上配置不同的地址转换关联。使用对应的undo命令可以将相应的地址转换关联删除。该接口一般情况应该是和ISP连接,是内部网络的出口。 cf\GC2+"^$
$�%1oZ{&M�
该命令如果不带address-group参数,即使用nat outbound acl-number命令,则实现了easy-ip的特性,地址转换时,使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。 ���U�_wIx�
�BWkT
Qd<t
当直接使用接口地址作为NAT转换后的公网地址时,若修改了接口地址应该首先使用reset nat session命令清除原NAT地址映射表项,然后再访问外部网络;否则就会出现原有NAT表项不能自动删除,也无法使用reset session命令删除的情况。 t
&o&�g��b
8w�CB}�q�C
【举例】 \X�bC�JJP�
\mFg�j�P�z
# 允许10.110.10.0/24网段的主机进行地址转换,选用202.110.10.10 到202.110.10.12之间的地址作为转换后的地址。假设Serial 0/0/0口连接ISP。 m>DJ �w7<
G�,b�*Qn5#
[Quidway] acl number 2001 �o#-^Lg&��
C5TC@�w1*
[Quidway-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 7�Y
4��!��
Up�c_"mkI.
[Quidway-acl-basic-2001] rule deny /9ZU_y4&3f
��g�ZL,x�X
# 配置地址池。 �w*7�w�S�P
A ?��[Wfq|
[Quidway] nat address-group 1 202.110.10.10 202.110.10.12 ���^5�R2�~
O~5*X �f��
# 允许地址转换,使用地址池1中的地址进行地址转换。在转换的时候使用TCP/UDP的端口信息,使用如下配置。 �Ee�{Y1W��
> q��8�)�~
[Quidway-Serial0/0/0] nat outbound 1 address-group 1 u"U7�aYGkY
/b."d�\���
# 删除对应配置。 u y1�3SkW�
��5?>�ES�*
[Quidway-Serial0/0/0] undo outbound 1 address-group 1 /kqa|=-`�q
N}'2GBqfU4
# 如果使用一对一的地址转换(不使用TCP/UDP的端口信息进行地址转换),可以使用如下配置。 H6M�G�5f_�
p|w0
i�[hc
[Quidway-Serial0/0/0] nat outbound 1 address-group 1 no-pat #�?DoP]1�Y
-=2V��4WU~
# 删除对应配置。 z7�HM/<W�Y
Eu[/* �t+l
[Quidway-Serial0/0/0] undo nat outbound 1 address-group 1 no-pat w�u0�q.]��
4�V'HPD>=V
# 如果直接使用Serial 0/0/0口的IP地址,可以使用如下的配置。 H
;)B5�C��
rs0�W���y
[Quidway-Serial0/0/0] nat outbound 1 rb]?"�lizi
|+Tq�[5&�R
# 删除对应配置。 O_��v*,L!�
~���L��"?C
[Quidway-Serial0/0/0] undo nat outbound 1 5jsZ��Jpk$
111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111111 3q�y�4�nPg
下面有一些好东东,和你分享 ��Fm[3B�tn
D/Py?<n�-B
5I/lF�oy�7
acl number 100 !��9_�'�_8
�A
(+%�D�Z
禁ping 9`7>�"�[=P
�a��2e�E!I
rule deny icmp source any destination any c'wU$xt�.w
f%rZ�2h��)
用于控制Blaster蠕虫的传播 NJg )S2]7�
B�Ch|^P�k�
rule deny udp source any destination any destination-port eq 69 &BN#"-� J�
+���.QJZo_
rule deny tcp source any destination any destination-port eq 4444 F�z��G>iC}
p��lM:7#eA
用于控制冲击波病毒的扫描和攻击 V�+t's*9o3
wJh/t�b=$o
rule deny tcp source any destination any destination-port eq 135 !i\ gCLg2_
P�[tY�u:��
rule deny udp source any destination any destination-port eq 135 �b8glZb*$
�JB'X�H~4H
rule deny udp source any destination any destination-port eq netbios-ns jW>K#��v�j
x�
kdC�-�S
rule deny udp source any destination any destination-port eq netbios-dgm #gXx�B���M
�-s]@8VJA"
rule deny tcp source any destination any destination-port eq 139 Zr[B*�1,ZV
����<T]e�y
rule deny udp source any destination any destination-port eq 139 �h=�B=
��J
y2=yh30L0E
rule deny tcp source any destination any destination-port eq 445 �w8a�49�Fv
;3o7�>�yEv
rule deny udp source any destination any destination-port eq 445 1:J+`�mzpl
%^[D�+1ULb
rule deny udp source any destination any destination-port eq 593 )W�&�{OMr�
R[@�}Lg7+v
rule deny tcp source any destination any destination-port eq 593 BAtjY�PX'w
[�pInF
Qh6
用于控制振荡波的扫描和攻击 ^��!gq_x��
b�7
B|$T�,
rule deny tcp source any destination any destination-port eq 445 �uaZHM@D��
2OQ\ z;s�
rule deny tcp source any destination any destination-port eq 5554 F6�aC'<#/�
4is��s�j$�
rule deny tcp source any destination any destination-port eq 9995 �r�R
�8�6D
_�<=h#lH�
rule deny tcp source any destination any destination-port eq 9996 �mi[8O$^iJ
Fu��5c�_"!
用于控制 Worm_MSBlast.A 蠕虫的传播 m�h�B2l��/
lc3Gu78 A/
rule deny udp source any destination any destination-port eq 1434 ?�wFL��\C
�r��-.>3�J
下面的不出名的病毒端口号 (可以不作) Je}0KW3G9L
E;[Uhh|78!
rule deny tcp source any destination any destination-port eq 1068 Q��xk��& J
# ���1�dg%
rule deny tcp source any destination any destination-port eq 5800 :Qh�rh
(i�
�X0R�
E�C%
rule deny tcp source any destination any destination-port eq 5900 M�dmN7���>
3R0ioi �7
rule deny tcp source any destination any destination-port eq 10080 �SMzq,�?-`
b` va\�'&3
rule deny tcp source any destination any destination-port eq 455 eTuKu(0
E�
Dp!91NgB p
rule deny udp source any destination any destination-port eq 455 >H ?k0M�`L
��"�%�p7ft
rule deny tcp source any destination any destination-port eq 3208 3&nN;4~Zx6
�P-3f51�Q
rule deny tcp source any destination any destination-port eq 1871 �:
]�+6�l�
cnI5�G���!
rule deny tcp source any destination any destination-port eq 4510 �?�)186�dp
v; R2,`[�W
rule deny udp source any destination any destination-port eq 4334 ��u�x��B`�
cqSXX++CS,
rule deny tcp source any destination any destination-port eq 4331 E&��eY�79�
,Aai�-AGG@
rule deny tcp source any destination any destination-port eq 4557 %S'+x[��4W
I��7~) q�`
然后下发配置 *mbzK�*��
�kwL�|gO1L
packet-filter ip-group 100 CH&{x7$he
