UCL
基于用户/用户组和五元组流分类的访问控制列表,可以叠加时间选项,用于控制用户/用户组间及用户/用户组对网络的访问权限。
EACL
基于源IP地址、目的IP地址、源端口号、目的端口号、协议类型、TOS、IP优先级、ICMP-Type的复杂流分类策略,可以叠加时间选项。动作可以制定为Permit/Deny的访问允许控制、策略路由、QoS规则、CAR规则、采样规则等
link-goup 是基于MAC地址与端口的流分类,然后可以用于EACL但在用EACL时,LINK-GROUP所匹配的端口一定要是EACL所下发的端口,其实也仅仅是为了分类流但是是基于源MAC的,一个组的一个端口可以基于8个塬MAC
aspf是定义协议超时时间的,
NE80/40的NAT,首先需要定义一个rule-map用与流分类的 intervaln,intravlan ,global 3种,
如果流分类规则要依据报文头部的网络层及传输层的信息,请使用命令rule-map
intervlan,如果流分类规则仅依据报文头部的链路层的信息,请使用命令rule-map
intravlan。使用命令rule-map global 也可以定义基于报文头部的链路层的信息的
流分类规则,则该流分类规则既可以用于检查路由式接口上的流量,也可用于检查
交换式接口上的流量。
在此之后因该写一个nat address group ,定义地址池,一般放32个连续地址,有要求的,需要指一个下一跳为null的静态路由到此池种,还有池子的IP最好不要与接口在一个段,如果这样干了,必须要指一条主机路由去对方的接口,下一跳为本出口。
这个完了之后得定以nat service class (可选)主要是修改不同CLASS的连接数,最后用flow action 名字 nat address 名字 [可选class 号] 关联NAT地址池
定义弱策略动作 flow-action action-name redirect ip ipaddress backup 可选,改下转换之后下一跳交付 是背用的。在正常路由之后,起用它,如果他又失败了则进路由表
eacl { global | eacl-name } rule-name action-name 用EACL把流动作与 前面分类的流结合,就可以使NAT与需要转换的地址结合了。
GLOBAL是指前面定义的RULE MAP里的GLOBAL方式。省略了写名字。
在内部网络流量的入接口上应用EACL ,只有入方向的内口。
在一个 WAN接口上应用 EACL WAN接口视图下进行配置。
在一个WAN接口上应用EACL
操作 命令
WAN接口上应用EACL access-group router eacl eacl-name
也可在全局使用这个组要就所有WAN生效
在一个交换式接口上应用 EACL
一个交换式接口上应用 EACL可以指定穿过该接口的报文的 VLAN ID,适用于一 VLAN Trunk接口允许多个 VLAN流量通过的情况。如果不指定 VLAN ID,表明
作对进入此接口的所有流量有效。如果指定 VLAN ID,则动作仅对通过此接口的
定 VLAN的流量起作用。
在交换式接口视图下进行配置。
在一个交换式接口上应用EACL
操作 命令
access-group switch eacl eacl-name [ vlan { { vlan-id1 [ to vlan-id2 ] }&<1-256> | all }
有ACCESS-GROUP ROUTER EACL名字 //针对带路由能力的接口 全局下用
NE 设备都分路由接口和交换接口
这里默认的是交换接口 3号。
首先匹配了流的类型
再定义类型的动作以及匹配顺序按优先级别来
最后在接口上用。
定义NAT策略
在地址池配置完成后,定义 NAT 策略。NAT 策略主要设定地址池和策略路由的关
联信息。根据多 ISP情况,需要定义多个 NAT策略。
请在系统视图下进行下列配置。
定义NAT策略
操作 命令
nat-policy number number ip ip-address(下一跳IP) [ nat address-group
address-group ] 指定一个策略个
之后把该策略用一流动作关联起来,然后把流动作用EACL与RULE关联就可以策略NAT了
如果不选择 nat address-group address-group,不做 NAT,只做策略路由。
命令 undo nat-policy number用来删除 NAT策略。
对于NAT SERVER还是一样的没改变什么使对外的以太网接口响应针对地址池的ARP请求
如果作为 NAT 网关的路由器与外部网的远端路由器通过以太网连接,且 NAT 网关
的地址池中的 IP地址与NAT网关的对外以太网接口的 IP地址处于同一网段,这时
远端路由器为了找到反向 NAT 报文的目的地,会向 NAT 网关的对外以太网接口发
送以地址池中的地址为目的地址的 ARP请求。由于地址池地址和对外以太网接口地
址在同一网段,对外以太网接口在收到 ARP请求报文后,发现目的地址不是自己,
就不会回复这样的ARP请求。为了使路由器的对外以太网接口能够响应这样的ARP
请求,需要在该以太网接口上配置此项功能。其他情况下不需做此配置。
请在以太网接口视图下进行下列配置。
表4-15 在对外以太网接口配置响应针对地址池的ARP请求
操作 命令
配置响应针对地址池的ARP请求 nat match-host address-group-name
参数 address-group-name表示已经定义的地址池名称。
NE80/40无论是去还是回来都是先路由后NAT,因此如果地址池与本接口属于不同网段的哈,需要加一条NULL接口的静态路由 只是为了回来时有一个依据而已。
拆分地址池中的地址
当出接口地址与地址池地址在同一个网段时,需要配置此命令。
请在系统视图下进行下列配置。
拆分地址池中的地址
操作 命令
将指定地址池中的地址拆分成32位掩码
nat enable address-group address-group-name
现在明白了,即使是同一段内,包回来了也得查路由,nat enable nat group-address 是为池子里的IP加了很多32位的主机路由优先与直联网段的路由,且下一跳都是NULL的只是为了提供一个参考这个和地址池不在同一个网段区别不大。
需要注意点:
1、 地址池中的掩码长度必须比外网口的掩码长,即网段更小。即使是在一个网段内你属于自己物理网段的一个子网这样对方会自动有一条到达你这边大网段的一条路由省去对方添加路由的事,可你自己在NE40中时得加一条到达本子网的路由否则可能会匹配失败。主要是NE40是先路由后NAT
2、 地址池的地址与地址池掩码所掩到的网段尽量不要包含外网口地址或对端设备地址,如果包含,需要加到对端网关的主机路由 ip rout 200.200.200.2 255.255.255.255 200.200.200.2 这样做是为了防止 nat enable aress-group 生成一个到null口的空路由导致包发错
3、 eacl是应用在内网口,外网口则必须加 nat match-host命令 因为如果EACL在外部用时可以在查路由之后直接进行NAT处理了,不必返回对方的ARP查询。但现在EACL在内部,所以外部必须对别人的ARP查询做出反映,否则可以不加次参数
4、 nat enable address-group 1命令是在2317及以后版本才有此命令,如果是之前版本,如3.10 r2232,需要手动加空接口路由。命令ip rout 200.200.200.128 255.255.255.128 null 0;这里的掩码和网段必须和地址池精确匹配