第9章 【专题】 ZXR10 NAT 开局维护指南.docVIP

ZXR10 路由器NAT 开局维护指南 （版本：V2.6.02） 中兴通讯股份有限公司 数据用服部 2006年2月 目 录 1. NAT简介 3 1.1. GER 3 1.2. T64ET128 3 2. NAT基本配置 3 2.1 NAT配置的规则（即配置NAT的步骤） 3 3. NAT参数设置 4 3.1. 老化时间设置说明 4 3.2. 最大会话数设置说明 6 4. NAT维护诊断 6 4.1. 常用命令 6 4.2. 日常维护诊断 8 5. 几种典型NAT组网 9 5.1. 完全NAT单出口 9 5.2. 路由＋NAT单出口 10 5.3. 完全NAT双出口 11 5.4. 路由＋NAT双出口 13 NAT简介 GER GER目前的NAT对于地址池中每个公网地址最大支持约60K的转换条目，整个系统支持大约256K的转换条目，根据这个缺省参数来计算，一般如果没什么特别的设置，如果地址池设置了超过5个公网IP就属于浪费。用户上网转换成的公网地址是根据地址池中的地址随机选择的，但是如果用户针对某个目的进行访问，则会固定在一个公网地址上，这是专门为一些敏感源IP地址的应用设置的，如网上银行等。 目前的动态NAT处理每秒3－4000条/秒左右没问题（CPU承受） 目前的静态NAT的条目数是整机199条。 2.6.02版本支持接口地址或者和接口地址同一网段的地址做NAT地址池。 T64ET128 T64ET128目前的NAT对于地址池中每个公网地址最大支持约60K的转换条目，整个系统支持大约160K的转换条目。所以地址池中地址设置3个就足够了。 目前T64E动态NAT的处理速度大约是800条/秒 T64ET128S配置NAT功能，需要专门使用一块两接口GEI板作NAT板用，该GEI板必需插在第八个接口板槽位，且两千兆接口通过尾纤自环。（每个端口自己和自己环，注意必须使用15KM以下的模块才能自环） 在NAT配置之前，需要使用IP NAT START命令复位NAT板。 老的1.2版本的T64E做NAT，地址池不能是接口地址或者和接口地址同一个网段。2.6版本解决了这个问题。 NAT基本配置 2.1 NAT配置的规则（即配置NAT的步骤） 1．启用设备的NAT转换功能。 2．定义做NAT转换用的私网及公网地址池。 3．定义NAT翻译规则。 4．指定使用NAT转换的内部端口及外部端口。 下面就NAT配置的基本步骤进行详细的说明。 （一）要配置NAT，首先要启用设备的NAT功能，命令格式是： 在全局模式下： ZXR10(config)#ip nat start （二）然后定义做NAT转换用的公网地址池。命令格式如下： 在全局模式下： ZXR10(config)#ip nat pool netpool start-address end-address prefix-length number 其中红色字体是关键字，netpool是你的公用地址池的名字，你可以根据自己的需求任意起名字，start-address 是你的地址池的起始地址，end-address 是你的地址池的结束地址；prefix-length 表示地址池地址的子网掩码，number 是一个整数，表示掩码的位数。 对于用作NAT的私网地址，通常用ACL来进行限定，限制或允许某些地址进行NAT转换。例如：在全局模式下定义如下ACL作为NAT转换用的私网地址池： ZXR10(config)#acess-list 5 deny ZXR10(config)#acess-list 5 permit ZXR10(config)#acess-list 5 permit 定义了一个访问控制列表，这个访问控制列表的号为5，对于私网地址 将禁止，允许 和网段进行转换。在实际开局时，要根据实际需要定义相应的访问控制列表作为私网地址池。 （三）定义NAT转换规则，命令格式如下： 在全局模式下： ZXR10(config)# ip nat inside list list-number pool pool-name [overload] 其中红色字体是关键字。List-number 表示私网地址池定义的访问控制列表的号码；关键字pool 后面的pool-name 表示要进行NAT转换的公网地址池的名字；overload表示公网地址是否可以重叠，即启用端口地址转换功能（PAT），加上此参数表示可以重叠，没有此参数表示不可以重叠。 （四）指定使用NAT转换的内部端口及外部端口。假设进行要NAT转换的外网端口是fei_3/1，内网端口是fei_3/2，则定义命令格式如下： ZXR10(config)#interface fei_3/1 //定义外网端口 ZXR1