Перейти к содержанию

Команды NAT#

Команды настройки. Команды настройки IPv4 NAT#

Команда Описание команды
service nat ipv4 Включение преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> Определение правила преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> description <описание> Указание текстового описания для правила преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination address <адрес> Указание адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination address-group <имя_группы_адресов> Указание группы адресов для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT)
service nat ipv4 rule <номер_правила> destination address-type <тип_адреса> Указание типа адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination country <код_страны> Указание двухзначного кода страны получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination domain-group <имя_группы_доменов> Указание группы доменов для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination network-group <имя_группы_сетей> Указание группы сетей для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination port-group <имя_группы_портов> Указание группы сетевых портов для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> destination port <порт> Указание номера порта получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> disable Отключение правила преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> exclude Создание правила, определяющего исключения для указанных пакетов, при преобразовании сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> inbound-interface <интерфейс> Указание входного интерфейса, на котором будет выполняться правило преобразования сетевого адреса получателя (DNAT).
service nat ipv4 rule <номер_правила> inside-address address <адрес> Определение внутреннего адреса для правила, осуществляющего преобразование сетевого адреса получателя (DNAT).
service nat ipv4 rule <номер_правила> inside-address port <порт> Определение внутреннего порта для правила, осуществляющего преобразование сетевого адреса получателя (DNAT).
service nat ipv4 rule <номер_правила> log <состояние> Регистрация для правил преобразования сетевого адреса (NAT), для которых было установлено соответствие.
service nat ipv4 rule <номер_правила> outbound-interface <интерфейс> Указание интерфейса, на который будет передаваться исходящий трафик для правил преобразования адресов отправителя (SNAT) и правил "маскировки" (masquerade).
service nat ipv4 rule <номер_правила> outside-address address <адрес> Определение внешнего адреса для правила преобразования сетевого адреса отправителя (SNAT).
service nat ipv4 rule <номер_правила> outside-address <порт> Определение внешнего порта для правила преобразования сетевого адреса отправителя (SNAT).
service nat ipv4 rule <номер_правила> protocol <протокол> Указание протоколов, для которых осуществляется преобразование сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source address <адрес> Указание адреса отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source address-group <имя_группы_адресов> Указание группы адресов для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source address-type <тип_адреса> Указание типа адреса отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source country <код_страны> Указание двухзначного кода страны отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source domain-group <имя_группы_доменов> Указание группы доменов для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source network-group <имя_группы_сетей> Указание группы сетей для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source port-group <имя_группы_портов> Указание группы сетевых портов для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> source port <порт> Указание номера порта отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).
service nat ipv4 rule <номер_правила> type <вид> Установка вида преобразования для правила преобразования сетевого адреса (NAT).

Команды настройки. Команды настройки Ethernet NAT#

Команда Описание команды
service nat ethernet Включение преобразования сетевых адресов (NAT) для протокола ethernet.
service nat ethernet rule <номер_правила> Определение правила преобразования сетевых адресов (NAT) для протокола ethernet .
service nat ethernet rule <номер_правила> action <действие> to <mac-адрес> Описание действия для правил преобразования сетевого адреса (NAT) для протокола ethernet, для которых было установлено соответствие.
service nat ethernet rule <номер_правила> description <описание> Описание правила (NAT) для протокола ethernet.
service nat ethernet rule <номер_правила> destination ip <адрес> Указание IP-адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT) для протокола ethernet.
service nat ethernet rule <номер_правила> destination mac <mac-адрес> Указание MAC-адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT) для протокола ethernet.
service nat ethernet rule <номер_правила> disable Отключение правила преобразования сетевых адресов (NAT) для протокола ethernet.
service nat ethernet rule <номер_правила> interface in <интерфейс> Указание входного интерфейса, на котором будет выполняться правило преобразования сетевого адреса получателя (DNAT) и интерфейса.
service nat ethernet rule <номер_правила> interface out <интерфейс> Указание исходящего интерфейса, на который будет передаваться исходящий трафик для правил преобразования адресов отправителя (SNAT).
service nat ethernet rule <номер_правила> log <состояние> Регистрация для правил преобразования сетевого адреса (NAT) для протокола ethernet, для которых было установлено соответствие.
service nat ethernet rule <номер_правила> protocol <протокол> Указание протоколов, для которых осуществляется преобразование сетевых адресов (NAT).
service nat ethernet rule <номер_правила> source ip <адрес> Указание IP-адреса отправителя, по которым будет осуществляться проверка соответствия в правиле преобразования сетевого адреса (NAT) для протокола ethernet.
service nat ethernet rule <номер_правила> source mac <mac-адрес> Указание MAC-адреса отправителя, по которым будет осуществляться проверка соответствия в правиле преобразования сетевого адреса (NAT) для протокола ethernet.

Эксплуатационные команды#

Команда Описание команды
clear nat ipv4 counters Очистка счетчиков для активных IPv4-правил преобразования сетевых адресов (NAT).
clear nat ethernet counters Очистка счетчиков для активных Ethernet-правил преобразования сетевых адресов (NAT).
show nat ipv4 rules Отображение настроенных правил преобразования сетевых адресов (NAT).
show nat ipv4 statistics Вывод статистики для службы преобразования сетевых адресов (NAT).
show nat ipv4 translations Вывод сведений о трансляциях сетевых адресов.
show nat ipv4 translations destination Вывод сведений о трансляциях сетевых адресов получателя (DNAT).
show nat ipv4 translations source Вывод сведений о трансляциях сетевых адресов отправителя (SNAT).
show nat ethernet rules Отображение настроенных правил преобразования сетевых адресов (NAT) для протокола ethernet.
show nat ethernet statistics Вывод статистики для службы преобразования сетевых адресов (NAT) для протокола ethernet.

service nat ipv4#

Включение преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4
delete service nat ipv4
show service nat ipv4
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
service {
   nat{
      ipv4 {
      }
   }
}
Параметры#

Отсутствуют.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет включить преобразование сетевых адресов (NAT) в системе.

Форма set данной команды используется для создания и изменения настройки NAT.

Форма delete данной команды используется для удаления настройки NAT и отключения преобразования сетевых адресов в системе.

Форма show данной команды используется для отображения настройки NAT.

service nat ipv4 rule <номер_правила>#

Определение правила преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила>
delete service nat ipv4 rule <номер_правила>
show service nat ipv4 rule <номер_правила>
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
service {
   nat {
      ipv4 {
         rule номер_правила {
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания настройки правила преобразования сетевых адресов (NAT). Правила NAT исполняются в порядке следования их номеров. Следует отметить, что идентификатор правила NAT (номер правила ) не может быть изменен после создания правила. Для обеспечения возможности вставки в будущем дополнительных правил, следует при назначении номеров правил оставлять интервалы; например, установить номера для начального набора правил: 10, 20, 30, 40, и т.д.

Форма set данной команды используется для создания и изменения правила NAT.

Форма delete данной команды используется для удаления правила NAT.

Форма show данной команды используется для отображения настройки правила NAT.

service nat ipv4 rule <номер_правила> description <описание>#

Текстовое описание правила преобразования сетевых адресов .

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> description <описание>
delete service nat ipv4 rule <номер_правила> description
show service nat ipv4 rule <номер_правила> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            description описание
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

описание

Мнемоническое имя или описание правила преобразования сетевых адресов .

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для установки текстового описания правила преобразования сетевых адресов.

Форма set данной команды используется для установки описания.

Форма delete данной команды используется для удаления описания.

Форма show данной команды используется для отображения настройки описания.

service nat ipv4 rule <номер_правила> destination address <адрес>#

Указание адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> destination address <адрес> 
delete service nat ipv4 rule <номер_правила> destination address
show service nat ipv4 rule <номер_правила> destination address
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            destination {
               address адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

IPv4-адрес получателя для проверки соответствия. Допустимые форматы представлены в таблице ниже:

Значение Описание
<x.x.x.x> IPv4-адрес.
<x.x.x.x/x> Подсеть адресов IPv4, где 0.0.0.0/0 соответствует любой сети.
<x.x.x.x>-<x.x.x.x> Диапазон IPv4-адресов.
!<x.x.x.x> Любой IPv4-адрес, КРОМЕ указанного.
!<x.x.x.x/x> Любая подсеть адресов IPv4, КРОМЕ указанной подсети.
!<x.x.x.x>-<x.x.x.x> Любые IPv4-адреса, КРОМЕ лежащих в указанном диапазоне.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Команда позволяет указать получателя, на основе которого будет осуществляться Установка соответствия в правиле NAT. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила NAT выполняются по порядку, при этом последовательность правил, определяющих исключения, может привести к результатам, отличным от ожидаемых.

Примечание

Для указания адреса получателя адреса задаются либо указанием отдельного адреса, диапазона адресов или сетей данной командой, либо указанием группы адресов командой service nat ipv4 rule <номер_правила> destination address-group <имя_группы_адресов>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды позволяет указать адрес получателя, используемый при преобразовании сетевых адресов.

Форма delete данной команды используется для удаления настройки адреса получателя NAT.

Форма show данной команды используется для отображения настройки адреса получателя NAT.

service nat ipv4 rule <номер_правила> destination address-group <имя_группы_адресов>#

Указание группы адресов для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> destination address-group <имя_группы_адресов>
delete set service nat ipv4 rule <номер_правила> destination address-group <имя_группы_адресов>
show set service nat ipv4 rule <номер_правила> destination address-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            destination {
               address-group имя_группы_адресов
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы_адресов

Проверка соответствия IP-адреса получателя сетевого пакета на основе адресов, входящих в указанную группу. Может быть указана только одна группа адресов. Группа адресов должна быть заранее определена.

Допустимые значения для группы адресов:

Значение Описание
<text> Имя группы
!<text> Все группы, кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенные группы, для указания получателя. Соответствие для пакета устанавливается в том случае, если адрес совпадает с одним из адресов, входящих в состав указанной группы.

Примечание

Для указания адреса получателя адреса задаются либо указанием группы адресов данной командой, либо указанием отдельного адреса, диапазона адресов или сетей командой service nat ipv4 rule <номер_правила> destination address <адрес>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы адресов получателя для проверки соответствия.

Форма delete данной команды используется для удаления группы адресов получателя.

Форма show данной команды используется для отображения настройки группы адресов получателя.

service nat ipv4 rule <номер_правила> destination address-type <тип_адреса>#

Указание типа адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> destination address-type <тип_адреса>
delete service nat ipv4 rule <номер_правила> destination address-type <тип_адреса>
show service nat ipv4 rule <номер_правила> destination address-type
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            destination {
               address-type тип_адреса
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип_адреса

Тип адреса получателя (назначения). Допустимые значения приведены в таблице ниже:

Значение Описание
unspec Неопределённый адрес (0.0.0.0)
unicast Однонаправленный адрес
local Локальный адрес
broadcast Широковещательный адрес
multicast Мультивещательный адрес
anycast Близковещательный адрес (anycast)
blackhole Адрес подпадающий под маршрут типа "чёрная дыра"
unreachable Недостижимый адрес
prohibit Административно запрещённый для маршрутизации адрес
nat Преобразуемый сетевой адрес
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Форма set используется для создания настройки типа адреса получателя для правила преобразования сетевых адресов (NAT).

Форма delete данной команды используется для удаления настройки типа адреса получателя для правила преобразования сетевых адресов (NAT).

Форма show данной команды используется для отображения заданного значения типа адреса получателя.

service nat ipv4 rule <номер_правила> destination country <код_страны>#

Указание двухзначного кода страны получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#

set service nat ipv4 rule <номер_правила> destination country <код_страны> delete service nat ipv4 rule <номер_правила> destination country <код_страны> show service nat ipv4 rule <номер_правила> destination country

Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            destination {
               country код_страны
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

код_страны

Двузначный код страны получателя.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания двухзначного кода страны получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Форма set этой команды используется для указания двухзначного кода страны получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Форма delete этой команды используется для удаления настройки двухзначного кода страны получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Форма show этой команды используется для просмотра настройки двухзначного кода страны получателя.

Примечание

В одном правиле могут быть заданы не более 15 стран.

service nat ipv4 rule <номер_правила> destination domain-group <имя_группы_доменов>#

Указание группы доменов для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule  <номер_правила> destination domain-group <имя_группы_доменов>
delete set service nat ipv4 rule <номер_правила> destination domain-group <имя_группы_доменов>
show set service nat ipv4 rule <номер_правила> destination domain-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            destination {
              domain-group имя_группы_доменов
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы_доменов

Проверка соответствия домена получателя сетевого пакета на основе доменов, входящих в указанную группу доменов. Соответствие для пакета устанавливается, в том случае если домен получателя совпадает с одним из доменов, входящих в группу. Может быть указана только одна группа доменов. Группа доменов должна быть заранее определена.

Допустимые значения для группы доменов:

Значение Описание
<text> Имя группы
!<text> Все группы, кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенные группы, для указания получателя. Соответствие для пакета устанавливается в том случае, если домен совпадает с одним из доменов, входящих в состав указанной группы.

Форма set данной команды используется для указания группы доменов получателя для проверки соответствия.

Форма delete данной команды используется для удаления группы доменов получателя.

Форма show данной команды используется для отображения настройки группы доменов получателя.

service nat ipv4 rule <номер_правила> destination network-group <имя_группы_сетей>#

Данный узел команд присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал service nat ipv4 rule <номер_правила> destination address-group <имя_группы_адресов>. Данный узел может быть удален с дальнейшими обновлениями.

service nat ipv4 rule <номер_правила> destination port-group <имя_группы_портов>#

Указание группы сетевых портов для проверки соответствия адреса получателя сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> destination port-group <имя_группы_портов>
delete set service nat ipv4 rule <номер_правила> destination port-group <имя_группы_портов>
show set service nat ipv4 rule <номер_правила> destination group port-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            destination {
               port-group имя_группы_портов
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы_портов

Проверка соответствия порта получателя сетевого пакета на основе портов, входящих в указанную группу портов. Соответствие для пакета устанавливается в том случае, если порт совпадает с одним из портов, входящих в группу. Может быть указана только одна группа портов. Группа портов должна быть заранее определена.

Допустимые значения для группы портов:

Значение Описание
<text> Имя группы
!<text> Все группы, кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенные группы портов, для указания получателя. Соответствие для пакета устанавливается в том случае, если порт совпадает с одним портов, входящих в состав указанной группы.

Примечание

Для указания порта получателя порт задается либо указанием группы портов данной командой, либо указанием порта командой service nat ipv4 rule <номер_правила> destination port <порт>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы портов получателя для проверки соответствия.

Форма delete данной команды используется для удаления группы портов получателя.

Форма show данной команды используется для отображения настройки группы портов получателя.

service nat ipv4 rule <номер_правила> destination port <порт>#

Указание номера порта получателя, которые будут использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> destination port <порт>
delete service nat ipv4 rule <номер_правила> destination port
show service nat ipv4 rule <номер_правила> destination port
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_порта {
            destination {
               port порт
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт получателя для проверки соответствия. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

Возможно также задание списка через запятую, например: "22,telnet,http,123,1001-1005".

Возможно также задание инвертированного списка с помощью "!", например: "!22,telnet,http,123,1001-1005".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания порта получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Примечание

Для указания порта получателя порт задается либо указанием порта данной командой, либо указанием группы портов командой service nat ipv4 rule <номер_правила> destination port-group <имя_группы_портов>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды позволяет указать порт получателя, используемый при преобразовании сетевых адресов.

Форма delete данной команды используется для удаления настройки порта получателя NAT.

Форма show данной команды используется для отображения настройки порта получателя NAT.

service nat ipv4 rule <номер_правила> disable#

Отключение правила преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> disable
delete service nat ipv4 rule <номер_правила> disable
show service nat ipv4 rule <номер_правила>
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            disable
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Правило включено (используется).

Указания по использованию#

Команда используется для отключения правила NAT.

Форма set данной команды используется для отключения правила NAT.

Форма delete данной команды используется для восстановления правила в исходное включенное состояние.

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> exclude#

Создание правила, определяющего исключения для указанных пакетов, при преобразовании сетевых адресов.

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> exclude
delete service nat ipv4 rule <номер_правила> exclude
show service nat ipv4 rule <номер_правила>
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила  {
            exclude
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать сетевые пакеты, для которых не будет выполняться преобразование сетевых адресов. "Исключающие" правила могут быть полезны в тех случаях, когда для определенных видов трафика (например, для трафика VPN) требуется не выполнять преобразование адресов.

Форма set данной команды используется для определения сетевых пакетов, для которых не будет выполняться преобразование сетевых адресов.

Форма delete данной команды используется для удаления настройки

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> inbound-interface <интерфейс>#

Указание входного интерфейса, на котором будет выполняться правило преобразования сетевого адреса получателя (DNAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> inbound-interface <интерфейс>
delete service nat ipv4 rule <номер_правила> inbound-interface
show service nat ipv4 rule <номер_правила> inbound-interface
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            inbound-interface интерфейс
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

интерфейс

Входной интерфейс для выполнения преобразования адресов. Интерфейс должен быть заранее настроен в системе. Также можно указать ключевое слово 'any' для указания любого интерфейса.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания входного интерфейса, на котором будет приниматься трафик для преобразования адресов получателя (DNAT). Преобразование сетевого адреса получателя (DNAT) будет осуществляться для трафика, принятого на указанном интерфейсе.

Данную команду можно использовать только для правил преобразования сетевого адреса получателя (DNAT) (тип destination). Эта команда не может быть использована для правил преобразования сетевых адресов отправителя или правил "маскировки" (виды правил source или masquerade).

Форма set данной команды используется для указания входного интерфейса.

Форма delete данной команды используется для удаления настройки входного интерфейса.

Форма show данной команды используется для отображения настройки входного интерфейса.

service nat ipv4 rule <номер_правила> inside-address address <адрес>#

Определение внутреннего адреса для правила, осуществляющего преобразование сетевого адреса получателя.

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> inside-address address <адрес>
delete service nat ipv4 rule <номер_правила> inside-address address
show service nat ipv4 rule <номер_правила> inside-address address
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            inside-address {
               address адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

IPv4-адрес, диапазон адресов, или адрес сети, который используется для преобразования внутреннего адреса. Допустимые форматы указаны в таблице ниже:

Значение Описание
<x.x.x.x> Преобразование для указанного IPv4-адреса.
<x.x.x.x/x> Преобразование для указанной подсети адресов IPv4, адрес узла в подсети останется неизменным.
<x.x.x.x>-<x.x.x.x> Преобразование для указанного диапазона IPv4-адресов.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Команда используется для указания внутреннего адреса для правила, осуществляющего преобразование сетевого адреса получателя (DNAT).

Указание внутреннего адреса является обязательным для правил преобразования адреса получателя (тип destination). Внутренний адрес не указывается для правил преобразования сетевого адреса отправителя (тип source) или правил "маскировки" (тип masquerade). Правила преобразования сетевого адреса получателя применяются на входе из недоверенной сети в доверенную. Внутренний адрес определяет IP-адрес узла в доверенной сети.

Это адрес, на который будет заменен исходный (первоначальный) IP-адрес получателя сетевого пакета.

Форма set данной команды используется для создания и изменения настройки внутреннего адреса для правила, осуществляющего преобразование сетевого адреса получателя (DNAT).

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> inside-address port <порт>#

Определение внутреннего порта для правила, осуществляющего преобразование сетевого адреса получателя.

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> inside-address port <порт>
delete service nat ipv4 rule <номер_правила> inside-address port
show service nat ipv4 rule <номер_правила> inside-address port
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            inside-address {
               port порт
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт для преобразования внутреннего адреса. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Команда используется для указания внутреннего порта для правила, осуществляющего преобразование сетевого адреса получателя (DNAT).

Указание внутреннего порта является необязательным для правил преобразования адреса получателя (тип destination). Внутренний порт не указывается для правил преобразования сетевого адреса отправителя (тип source) или правил "маскировки" (тип masquerade). Правила преобразования сетевого адреса получателя применяются на входе из недоверенной сети в доверенную. Внутренний порт определяет порт узла в доверенной сети, на который будет перенаправлен трафик.

Это порт, на который будет заменен исходный (первоначальный) порт получателя сетевого пакета.

Форма set данной команды используется для создания и изменения настройки внутреннего порта для правила, осуществляющего преобразование сетевого адреса получателя (DNAT).

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> log <состояние>#

Регистрация для правил преобразования сетевого адреса (NAT), для которых было установлено соответствие.

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> log <состояние>
delete service nat ipv4 rule <номер_правила> log
show service nat ipv4 rule <номер_правила> log
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            log состояние
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

состояние

Указание создавать записи журнала для правил преобразования сетевых адресов, для которых было установлено соответствие. Допустимые значения:

  • enable: записи журнала для правил, для которых найдено соответствие, создаются.
  • disable: записи журнала для правил, для которых найдено соответствие, не создаются.
Значение по умолчанию#

Записи журнала для правил, для которых найдено соответствие, не создаются.

Указания по использованию#

Данная команда используется для включения и отключения создания записей системного журнала при нахождении соответствия для правила преобразования сетевых адресов. При включении данной функции следует действовать внимательно, так как могут быть созданы файлы журнала очень большого размера, которые могут занять все доступное место на диске.

Форма set данной команды используется для установки состояния регистрации.

Форма delete данной команды используется для восстановления настройки регистрации для преобразования сетевых адресов в состояние, принятое по умолчанию.

Форма show данной команды используется для отображения настройки регистрации для правил преобразования сетевых адресов.

service nat ipv4 rule <номер_правила> outbound-interface <интерфейс>#

Указание интерфейса, на который будет передаваться исходящий трафик для правил преобразования адресов отправителя (SNAT) и правил "маскировки" (masquerade).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> outbound-interface <интерфейс>
delete service nat ipv4 rule <номер_правила> outbound-interface
show service nat ipv4 rule <номер_правила> outbound-interface
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            outbound-interface интерфейс
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

интерфейс

Выходной интерфейс для выполнения преобразования адресов. Интерфейс должен быть заранее настроен в системе. Также можно указать ключевое слово 'any' для указания любого интерфейса.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания выходного интерфейса, на котором будет осуществляться преобразование сетевого адреса отправителя (SNAT) или правила "маскировки". Преобразование сетевого адреса отправителя или "маскировка" будет осуществляться для сетевого трафика, передаваемого через данный интерфейс.

Данную команду можно использовать только для правил преобразования сетевого адреса отправителя (SNAT) (тип source) и для правил "маскировки" (тип masquerade) . Эта команда не может быть использована для правил преобразования сетевых адресов получателя (DNAT) (тип destination).

Форма set данной команды используется для указания выходного интерфейса.

Форма delete данной команды используется для удаления настройки выходного интерфейса.

Форма show данной команды используется для отображения настройки выходного интерфейса.

service nat ipv4 rule <номер_правила> outside-address address <адрес>#

Определение внешнего адреса для правила преобразования сетевого адреса отправителя (SNAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> outside-address address <адрес>
delete service nat ipv4 rule <номер_правила> outside-address address
show service nat ipv4 rule ,номер_правила> outside-address address
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            outside-address {
               address адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

IPv4-адрес, диапазон адресов, или адрес сети, который используется для преобразования внешнего адреса. Допустимые форматы указаны в таблице ниже:

Значение Описание
<x.x.x.x> Преобразование для указанного IPv4-адреса.
<x.x.x.x/x> Преобразование для указанной подсети адресов IPv4, адрес узла в подсети останется неизменным.
<x.x.x.x>-<x.x.x.x> Преобразование для указанного диапазона IPv4-адресов.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет установить "внешний" IP-адрес для правила преобразования сетевого адреса отправителя. Указание внешнего адреса является обязательным для правил преобразования сетевого адреса отправителя (тип source).

Внешний адрес не может быть указан для правил преобразования сетевого адреса получателя (тип destination) или правил "маскировки" (тип masquerade); для правил "маскировки" (тип masquerade), всегда используется основной адрес интерфейса.

Форма set данной команды используется для создания настройки внешнего адреса для правила преобразования сетевого адреса отправителя (SNAT).

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> outside-address <порт>#

Определение внешнего адреса для правила преобразования сетевого адреса отправителя (SNAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> outside-address port <порт>
delete service nat ipv4 rule <номер_правила> outside-address port
show service nat ipv4 rule <номер_правила> outside-address port
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            outside-address {
               port порт
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно нахордиться в диапазоне от 1 до 9999.

порт

Порт для преобразования внешнего адреса. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет установить "внешний" порт для правила преобразования сетевого адреса отправителя. Указание внешнего порта не является обязательным для правил преобразования сетевого адреса отправителя (тип source).

Форма set данной команды используется для создания настройки внешнего порта для правила преобразования сетевого адреса отправителя (SNAT).

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> protocol <протокол>#

Указание протоколов, для которых осуществляется преобразование сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> protocol <протокол>
delete service nat ipv4 rule <номер_правила> protocol
show service nat ipv4 rule <номер_правила> protocol
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            protocol протокол
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

протокол

Сетевой протокол (протоколы), для которого осуществляется преобразование сетевых адресов. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя протокола IP из файла /etc/protocols.
<0-255> Номер протокола IP.
tcp_upd Протоколы TCP и UDP.
all Все протоколы IP.
!<0-255> Все протоколы IP за исключением указанного.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать протоколы, для которых будет осуществляться преобразование сетевых адресов.

Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!") Правила NAT выполняются по порядку, и последовательность правил, определяющих исключения, может привести к результатам, отличным от ожидаемых.

Форма set данной команды позволяет указать протоколы, для которых будет осуществляться преобразование сетевых адресов (NAT).

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

service nat ipv4 rule <номер_правила> source address <адрес>#

Указание адреса отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> source address <адрес>
delete service nat ipv4 rule <номер_правила> source address
show service nat ipv4 rule <номер_правила> source address
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            source {
               address адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

IPv4-адрес отправителя для проверки соответствия. Допустимые форматы представлены в таблице ниже:

Значение Описание
<x.x.x.x> IPv4-адрес.
<x.x.x.x/x> Подсеть адресов IPv4, где 0.0.0.0/0 соответствует любой сети.
<x.x.x.x>-<x.x.x.x> Диапазон IPv4-адресов.
!<x.x.x.x> Любой IPv4-адрес, КРОМЕ указанного.
!<x.x.x.x/x> Любая подсеть адресов IPv4, КРОМЕ указанной подсети.
!<x.x.x.x>-<x.x.x.x> Любые IPv4-адреса, КРОМЕ лежащих в указанном диапазоне.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Команда позволяет указать отправителя, на основе которого будет осуществляться Установка соответствия в правиле NAT. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила NAT выполняются по порядку, при этом последовательность правил, определяющих исключения, может привести к результатам, отличным от ожидаемых.

Примечание

Для указания адреса отправителя адреса задаются либо указанием отдельного адреса, диапазона адресов или сетей данной командой, либо указанием группы адресов командой service nat ipv4 rule <номер_правила> source address-group <имя_группы_адресов>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды позволяет указать адрес отправителя, используемый при преобразовании сетевых адресов.

Форма delete данной команды используется для удаления настройки адреса отправителя NAT.

Форма show данной команды используется для отображения настройки адреса отправителя NAT.

service nat ipv4 rule <номер_правила> source address-group <имя_группы_адресов>#

Указание группы адресов для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> source address-group <имя_группы_адресов>
delete set service nat ipv4 rule <номер_правила> source address-group <имя_группы_адресов>
show set service nat ipv4 rule <номер_правила> source address-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            source {
               address-group имя_группы_адресов
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы_адресов

Проверка соответствия IP-адреса отправителя сетевого пакета на основе адресов, входящих в указанную группу. Может быть указана только одна группа адресов. Группа адресов должна быть заранее определена.

Допустимые значения для группы адресов:

Значение Описание
<text> Имя группы
!<text> Все группы, кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенные группы, для указания отправителя. Соответствие для пакета устанавливается в том случае, если адрес отправителя совпадает с одним из адресов, входящих в состав указанной группы.

Примечание

Для указания адреса отправителя адреса задаются либо указанием группы адресов данной командой, либо указанием отдельного адреса, диапазона адресов или сетей командой service nat ipv4 rule <номер_правила> source address <адрес>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы адресов отправителя для проверки соответствия.

Форма delete данной команды используется для удаления группы адресов отправителя.

Форма show данной команды используется для отображения настройки группы адресов отправителя.

service nat ipv4 rule <номер_правила> source address-type <тип_адреса>#

Указание типа адреса отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> source address-type <тип_адреса>
delete service nat ipv4 rule <номер_правила> source address-type <тип_адреса>
show service nat ipv4 rule <номер_правила> source address-type
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            source {
               address-type тип_адреса
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

тип_адреса

Тип адреса отправителя (источника). Допустимые значения приведены в таблице ниже:

Значение Описание
unspec Неопределённый адрес (0.0.0.0)
unicast Однонаправленный адрес
local Локальный адрес
broadcast Широковещательный адрес
multicast Мультивещательный адрес
anycast Близковещательный адрес (anycast)
blackhole Адрес подпадающий под маршрут типа "чёрная дыра"
unreachable Недостижимый адрес
prohibit Административно запрещённый для маршрутизации адрес
nat Преобразуемый сетевой адрес
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Форма set используется для создания настройки типа адреса отправителя для правила преобразования сетевых адресов (NAT).

Форма delete данной команды используется для удаления настройки типа адреса отправителя для правила преобразования сетевых адресов (NAT).

Форма show данной команды используется для отображения заданного значения типа адреса отправителя.

service nat ipv4 rule <номер_правила> source country <код_страны>#

Указание двухзначного кода страны отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> source country <код_страны>
delete service nat ipv4 rule <номер_правила> source country <код_страны>
show service nat ipv4 rule <номер_правила> source country
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            source {
               country код_страны
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

код_страны

Двузначный код страны отправителя.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания двухзначного кода страны отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Форма set этой команды используется для указания двухзначного кода страны отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Форма delete этой команды используется для удаления настройки двухзначного кода страны отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Форма show этой команды используется для просмотра настройки двухзначного кода страны отправителя.

Примечание

В одном правиле могут быть заданы не более 15 стран.

service nat ipv4 rule <номер_правила> source domain-group <имя_группы_доменов>#

Указание группы доменов для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule  <номер_правила> source domain-group <имя_группы_доменов>
delete set service nat ipv4 rule <номер_правила> source domain-group <имя_группы_доменов>
show set service nat ipv4 rule <номер_правила> source domain-group
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            source {
               address-group имя_группы_доменов
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы_доменов

Проверка соответствия домена отправителя сетевого пакета на основе доменов, входящих в указанную группу доменов. Соответствие для пакета устанавливается, в том случае если домен отправителя совпадает с одним из доменов, входящих в группу. Может быть указана только одна группа доменов. Группа доменов должна быть заранее определена.

Допустимые значения для группы доменов:

Значение Описание
<text> Имя группы
!<text> Все группы, кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенные группы, для указания отправителя. Соответствие для пакета устанавливается в том случае, если домен совпадает с одним из доменов, входящих в состав указанной группы.

Форма set данной команды используется для указания группы доменов отправителя для проверки соответствия.

Форма delete данной команды используется для удаления группы доменов отправителя.

Форма show данной команды используется для отображения настройки группы доменов отправителя.

service nat ipv4 rule <номер_правила> source network-group <имя_группы_сетей>#

Данный узел команд присутствует в системе для обеспечения обратной совместимости со старыми версиями оборудования. Вместо него следует использовать функционал service nat ipv4 rule <номер_правила> source address-group <имя_группы_адресов>.

service nat ipv4 rule <номер_правила> source port-group <имя_группы_портов>#

Указание группы сетевых портов для проверки соответствия адреса отправителя сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> source port-group <имя_группы_портов>
delete set service nat ipv4 rule <номер_правила> source port-group <имя_группы_портов>
show set service nat ipv4 rule <номер_правила> source group port-group <имя_группы_портов>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_правила {
            source {
               address-group имя_группы_портов
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

имя_группы_портов

Проверка соответствия порта отправителя сетевого пакета на основе портов, входящих в указанную группу портов. Соответствие для пакета устанавливается в том случае, если порт отправителя совпадает с одним из портов, входящих в группу. Может быть указана только одна группа портов. Группа портов должна быть заранее определена.

Допустимые значения для группы портов:

Значение Описание
<text> Имя группы
!<text> Все группы, кроме указанной
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет использовать заранее определенные группы портов, для указания отправителя. Соответствие для пакета устанавливается в том случае, если порт совпадает с одним портов, входящих в состав указанной группы.

Примечание

Для указания порта отправителя порт задается либо указанием группы портов данной командой, либо указанием порта командой service nat ipv4 rule <номер_правила> source port <порт>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды используется для указания группы портов отправителя для проверки соответствия.

Форма delete данной команды используется для удаления группы портов отправителя.

Форма show данной команды используется для отображения настройки группы портов отправителя.

service nat ipv4 rule <номер_правила> source port <порт>#

Указание номера порта отправителя, которые будут использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> source port <порт>
delete service nat ipv4 rule <номер_правила> source port <порт>
show service nat ipv4 rule <номер_правила> source port
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ipv4 {
         rule номер_порта {
            source {
               port порт
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

порт

Порт отправителя для проверки соответствия. Допустимые значения представлены в таблице ниже:

Значение Описание
<text> Имя порта (любое из файла /etc/services)
<0-65535> Номер порта
<start>-<end> Диапазон портов

Возможно также задание инвертированного списка с помощью "!", например: "!22,telnet,http,123,1001-1005".

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Эта команда используется для указания порта отправителя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Примечание

Для указания порта отправителя порт задается либо указанием порта данной командой, либо указанием группы портов командой service nat ipv4 rule <номер_правила> source port-group <имя_группы_портов>. Параллельное использование обоих механизмов не допускается.

Форма set данной команды позволяет указать порт отправителя, используемый при преобразовании сетевых адресов.

Форма delete данной команды используется для удаления настройки порта отправителя NAT.

Форма show данной команды используется для отображения настройки порта отправителя NAT.

service nat ipv4 rule <номер_правила> type <вид>#

Установка вида преобразования для правила преобразования сетевого адреса (NAT).

Синтаксис#
1
2
3
set service nat ipv4 rule <номер_правила> type <вид>
delete service nat ipv4 rule <номер_правила> type
show service nat ipv4 rule <номер_правила> type
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ipv4 {
         rule номер_правила {
            type вид
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

вид

Указывает, какое преобразование адресов выполняется в правиле. Допустимые значения представлены в таблице ниже:

Значение Описание
destination Данное правило используется для преобразования сетевых адресов получателя.
source Данное правило используется для преобразования сетевых адресов отправителя.
masquerade Данный вид правил является частным случаем преобразования сетевого адреса отправителя. Преобразование сетевого адреса отправителя осуществляется с использованием IP-адреса внешнего интерфейса маршрутизатора в качестве адреса для замены.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать вид преобразования сетевых адресов.

Необходимо создать отдельное правило преобразования сетевых адресов для каждого направления сетевого трафика. Например, при настройке преобразования сетевого адреса отправителя вида "один к одному" для исходящего трафика необходимо создать отдельное правило.

Правила преобразования сетевого адреса отправителя обычно применяются на выходе из доверенной сети в недоверенную. Для правил преобразования сетевых адресов отправителя внешний адрес обычно определяет IP-адрес, который обращен к недоверенной сети. Это адрес, на который заменяется первоначальный IP-адрес отправителя для исходящих пакетов.

Форма set данной команды позволяет определить вид преобразования сетевых адресов (отправителя/получателя).

Форма delete данной команды используется для удаления настройки

Форма show данной команды используется для отображения настройки.

service nat ethernet#

Включение преобразования сетевых адресов (NAT) для протокола ethernet.

Синтаксис#
1
2
3
set service nat ethernet
delete service nat ethernet
show service nat ethernet
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
service {
   nat {
      ethernet {
      }
   }
}
Параметры#

Отсутствуют.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет включить преобразование сетевых адресов (NAT) для протокола ethernet в системе.

Форма set данной команды используется для создания и изменения настройки NAT.

Форма delete данной команды используется для удаления настройки NAT и отключения преобразования сетевых адресов в системе.

Форма show данной команды используется для отображения настройки NAT.

service nat ethernet rule <номер_правила>#

Определение правила преобразования сетевых адресов (NAT) для протокола ethernet.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила>
delete service nat ethernet rule <номер_правила>
show service nat ethernet rule <номер_правила>
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
service {
   nat {
      ethernet {
         rule номер_правила {
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания настройки правила преобразования сетевых адресов (NAT). Правила NAT исполняются в порядке следования их номеров. Следует отметить, что идентификатор правила NAT (номер правила ) не может быть изменен после создания правила. Для обеспечения возможности вставки в будущем дополнительных правил, следует при назначении номеров правил оставлять интервалы; например, установить номера для начального набора правил: 10, 20, 30, 40, и т. д.

Форма set данной команды используется для создания и изменения правила NAT.

Форма delete данной команды используется для удаления правила NAT.

Форма show данной команды используется для отображения настройки правила NAT.

service nat ethernet rule <номер_правила> action <действие> to <mac-адрес>#

Указание действия, которое будет применяться к пакетам, для которых было установлено соответствие правилу.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> action <действие> to <mac-адрес>
delete service nat ethernet rule <номер_правила> action <действие>
show service nat ethernet rule <номер_правила> action <действие>
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            action действие {
               to mac-адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

действие

Действие, которое следует выполнено при применении данного правила. Допустимые значения представлены в таблице ниже:

Значение Описание
exclude Исключить. Обязательным параметром является входящий и исходящий интерфейс.
snat Преобразовать адрес отправителя. Обязательным параметром является исходящий интерфейс.
snat_arp Преобразовать адрес отправителя и адрес в пакетах ARP. Обязательным параметром является исходящий интерфейс.
dnat Преобразовать адрес получателя. Обязательным параметром является входящий интерфейс.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать действие, которое следует выполнено при применении данного правила.

Форма set данной команды используется для указания действия, которое следует выполнено при применении данного правила.

Форма delete данной команды позволяет восстановить действие, принятое по умолчанию.

Форма show данной команды используется для отображения настройки действия для правила NAT.

service nat ethernet rule <номер_правила> description <описание>#

Указание описания правила NAT для протокола ethernet.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> description <описание>
delete service nat ethernet rule <номер_правила> description
show service nat ethernet rule <номер_правила> description
Режим интерфейса#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ethernet {
         rule номер_правила {
            description описание
         }
      }
   }
}
Параметры#

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

описание

Описание правила. В том случае если описание содержит пробелы, его необходимо заключить в двойные кавычки.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать описание для правила NAT.

Форма set данной команды используется для создания и изменения описания.

Форма delete используется для удаления описания.

Форма show используется для отображения настройки описания.

service nat ethernet rule <номер_правила> destination ip <адрес>#

Указание IP-адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> destination ip <адрес>
delete service nat ethernet rule <номер_правила> destination ip
show service nat ethernet rule <номер_правила> destination ip
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            destination {
               ip адрес 
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

IPv4-адрес получателя для проверки соответствия. Допустимые форматы представлены в таблице ниже:

Значение Описание
<x.x.x.x> IPv4-адрес.
<x.x.x.x/x> Подсеть адресов IPv4, где 0.0.0.0/0 соответствует любой сети.
!<x.x.x.x> Любой IPv4-адрес, КРОМЕ указанного.
!<x.x.x.x/x> Любая подсеть адресов IPv4, КРОМЕ указанной подсети.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Команда позволяет указать IP-адрес получателя, на основе которого будет осуществляться Установка соответствия в правиле NAT. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила NAT выполняются по порядку, при этом последовательность правил, определяющих исключения, может привести к результатам, отличным от ожидаемых.

Форма set данной команды позволяет указать IP-адрес получателя, используемый при преобразовании сетевых адресов.

Форма delete данной команды используется для удаления настройки IP-адреса получателя NAT.

Форма show данной команды используется для отображения настройки IP-адреса получателя NAT.

service nat ethernet rule <номер_правила> destination mac <mac-адрес>#

Указание MAC-адреса получателя, который будет использоваться для проверки соответствия сетевого пакета правилу преобразования сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> destination mac <mac-адрес>
delete service nat ethernet rule <номер_правила> destination mac
show service nat ethernet rule <номер_правила> destination mac
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            destination {
               mac mac-адрес
            }
         } 
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

mac-адрес

MAC-адрес получателя для проверки соответствия. Допустимые форматы представлены в таблице ниже:

Значение Описание
<h:h:h:h:h:h> MAC-адрес
!<h:h:h:h:h:h> Все адреса за исключением указанного
<h:h:h:h:h:h>/<h:h:h:h:h:h> Множество адресов, задаваемое адресом и маской
!<h:h:h:h:h:h>/<h:h:h:h:h:h> Все адреса, кроме указанного множества
unicast соответствует однонаправленным адресам 00:00:00:00:00:00/01:00:00:00:00:00
multicast соответствует мультивещательным адресам 01:00:00:00:00:00/01:00:00:00:00:00
broadcast соответствует широковещательному адресу ff:ff:ff:ff:ff:ff
bga соответствует bridge group адресу 01:80:c2:00:00:00/ff:ff:ff:ff:ff:ff
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Команда позволяет указать MAC-адрес получателя, на основе которого будет осуществляться установка соответствия в правиле NAT. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила NAT выполняются по порядку, при этом последовательность правил, определяющих исключения, может привести к результатам, отличным от ожидаемых.

Форма set данной команды позволяет указать MAC-адрес получателя, используемый при преобразовании сетевых адресов.

Форма delete данной команды используется для удаления настройки MAC-адреса получателя NAT.

Форма show данной команды используется для отображения настройки MAC-адреса получателя NAT.

service nat ethernet rule <номер_правила> disable#

Отключение правила преобразования сетевых адресов (NAT) для протокола ethernet.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> disable
delete service nat ethernet rule <номер_правила> disable
show service nat ethernet rule <номер_правила>
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ethernet {
         rule номер_правила {
            disable
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Правило включено (используется).

Указания по использованию#

Команда используется для отключения правила NAT.

Форма set данной команды используется для отключения правила NAT.

Форма delete данной команды используется для восстановления правила в исходное включенное состояние.

Форма show данной команды используется для отображения настройки.

service nat ethernet rule <номер_правила> interface in <интерфейс>#

Указание входного интерфейса, на котором будет выполняться правило преобразования сетевого адреса получателя (DNAT) и интерфейса.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> interface in <интерфейс>
delete service nat ethernet rule <номер_правила> interface in
show service nat ethernet rule <номер_правила> interface in
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            interface {
               in интерфейс
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

интерфейс

Входной интерфейс для выполнения преобразования адресов. Интерфейс должен быть заранее настроен в системе. Также можно указать ключевое слово 'any' для указания любого интерфейса.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания входного интерфейса, на котором будет выполняться правило преобразования сетевого адреса получателя (DNAT).

Форма set данной команды используется для указания входного интерфейса.

Форма delete данной команды используется для удаления настройки входного интерфейса.

Форма show данной команды используется для отображения настройки входного интерфейса.

service nat ethernet rule <номер_правила> interface out <интерфейс>#

Указание исходящего интерфейса, на который будет передаваться исходящий трафик для правил преобразования адресов отправителя (SNAT).

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> interface out <интерфейс>
delete service nat ethernet rule <номер_правила> interface out
show service nat ethernet rule <номер_правила> interface out
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            interface {
               out интерфейс
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

интерфейс

Выходной интерфейс для выполнения преобразования адресов. Интерфейс должен быть заранее настроен в системе. Также можно указать ключевое слово 'any' для указания любого интерфейса.

Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда используется для указания исходящего интерфейса, на который будет передаваться исходящий трафик для правил преобразования адресов отправителя (SNAT).

Форма set данной команды используется для указания исходящего интерфейса.

Форма delete данной команды используется для удаления настройки исходящего интерфейса.

Форма show данной команды используется для отображения настройки исходящего интерфейса.

service nat ethernet rule <номер_правила> log <состояние>#

Регистрация для правил преобразования сетевого адреса (NAT), для которых было установлено соответствие.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> log <состояние>
delete service nat ethernet rule <номер_правила> log
show service nat ethernet rule <номер_правила> log
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ethernet {
         rule номер_правила {
            log состояние
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

состояние

Указание создавать записи журнала для правил преобразования сетевых адресов, для которых было установлено соответствие. Допустимые значения:

  • enable: записи журнала для правил, для которых найдено соответствие, создаются;
  • disable: записи журнала для правил, для которых найдено соответствие, не создаются.
Значение по умолчанию#

Записи журнала для правил, для которых найдено соответствие, не создаются.

Указания по использованию#

Данная команда используется для включения и отключения создания записей системного журнала при нахождении соответствия для правила преобразования сетевых адресов. При включении данной функции следует действовать внимательно, так как могут быть созданы файлы журнала очень большого размера, которые могут занять все доступное место на диске.

Форма set данной команды используется для установки состояния регистрации.

Форма delete данной команды используется для восстановления настройки регистрации для преобразования сетевых адресов в состояние, принятое по умолчанию.

Форма show данной команды используется для отображения настройки регистрации для правил преобразования сетевых адресов.

service nat ethernet rule <номер_правила> protocol <протокол>#

Указание протоколов, для которых осуществляется преобразование сетевых адресов (NAT).

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> protocol <протокол>
delete service nat ethernet rule <номер_правила> protocol
show service nat ethernet rule <номер_правила> protocol
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
1
2
3
4
5
6
7
8
9
service {
   nat {
      ethernet {
         rule номер_правила {
            protocol протокол
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

протокол

Протокол, пакет которого инкапсулирован в Ethernet-кадре. Допустимые форматы значений представлены в таблице ниже:

Значение Описание
<600-ffff> Номер протокола в шестнадцатеричном формате
!<600-ffff> Все кадры за исключением кадров с указанным протоколом
ipv4 IPv4
x.25 X.25
arp Address Resolution Protocol
frame-relay-arp Frame Relay ARP
bpq G8BPQ AX.25 Ethernet
dec DEC Assigned protocol
dec-dna-dl DEC DNA Dump/Load
dec-dna-rc DEC DNA Remote Console
dec-dna-rе DEC DNA Routing
dec-lat DEC LAT
dec-diag DEC Diagnostics
dec-cust DEC Customer use
dec-sca DEC Systems Comms Arch
teb Trans Ether Bridging
frame-relay-raw Raw Frame Relay
aarp Appletalk AARP
appletalk Appletalk DDP
802.1q 802.1Q Virtual LAN tagged frame
ipx Novell IPX
netbeui NetBIOS Extended User Interface
ipv6 IPv6
ppp Point-to-Point Protocol
atm-mpoa MultiProtocol Over ATM
pppoe-disc PPPoE discovery messages
pppoe-ses PPPoE session messages
atm-fate Frame-based ATM Transport over Ethernet
loop Ethernet Loopback protocol
length Номер протокола меньше 0x600 и используется в качестве длины
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать протоколы, для которых будет осуществляться преобразование сетевых адресов. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!") Правила NAT выполняются по порядку, и последовательность правил, определяющих исключения, может привести к результатам, отличным от ожидаемых.

Форма set данной команды позволяет указать протоколы, для которых будет осуществляться преобразование сетевых адресов (NAT).

Форма delete данной команды используется для удаления настройки.

Форма show данной команды используется для отображения настройки.

service nat ethernet rule <номер_правила> source ip <адрес>#

Указание IP-адреса и МАС-адреса отправителя, по которым будет осуществляться проверка соответствия в правиле преобразования сетевого адреса (NAT) для протокола ethernet.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> source ip <адрес>
delete service nat ethernet rule <номер_правила> source ip
show service nat ethernet rule <номер_правила> source ip
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            source {
               ip адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

адрес

IPv4-адрес отправителя для проверки соответствия. Допустимые форматы представлены в таблице ниже:

Значение Описание
<x.x.x.x> IPv4-адрес.
<x.x.x.x/x> Подсеть адресов IPv4, где 0.0.0.0/0 соответствует любой сети.
!<x.x.x.x> Любой IPv4-адрес, КРОМЕ указанного.
!<x.x.x.x/x> Любая подсеть адресов IPv4, КРОМЕ указанной подсети.
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать IP-адрес отправителя, по которому будет осуществляться проверка соответствия для правила преобразования сетевого адреса. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила NAT выполняются последовательно, и набор правил, содержащий более одного "исключающего" правила, может привести к результатам, отличным от ожидаемых.

Форма set данной команды используется для создания IP-адреса отправителя для преобразования сетевых адресов.

Форма delete данной команды позволяет удалить настройку IP-адреса отправителя для преобразования сетевых адресов.

Форма show данной команды используется для отображения настройки IP-адреса отправителя для преобразования сетевых адресов.

service nat ethernet rule <номер_правила> source mac <mac-адрес>#

Указание МАС-адреса отправителя, по которым будет осуществляться проверка соответствия в правиле преобразования сетевого адреса (NAT) для протокола ethernet.

Синтаксис#
1
2
3
set service nat ethernet rule <номер_правила> source mac <mac-адрес>
delete service nat ipv4 rule <номер_правила> source mac
show service nat ipv4 rule <номер_правила> source mac
Режим ввода команды#

Режим настройки.

Ветвь конфигурации#
service {
   nat {
      ethernet {
         rule номер_правила {
            source {
               mac mac-адрес
            }
         }
      }
   }
}
Параметры#

номер_правила

Обязательный. Множественный узел. Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

mac-адрес

MAC-адрес отправителя для проверки соответствия. Допустимые форматы представлены в таблице ниже:

Значение Описание
<h:h:h:h:h:h> MAC-адрес
!<h:h:h:h:h:h> Все адреса за исключением указанного
<h:h:h:h:h:h>/<h:h:h:h:h:h> Множество адресов, задаваемое адресом и маской
!<h:h:h:h:h:h>/<h:h:h:h:h:h> Все адреса, кроме указанного множества
unicast соответствует однонаправленным адресам 00:00:00:00:00:00/01:00:00:00:00:00
multicast соответствует мультивещательным адресам 01:00:00:00:00:00/01:00:00:00:00:00
broadcast соответствует широковещательному адресу ff:ff:ff:ff:ff:ff
bga соответствует bridge group адресу 01:80:c2:00:00:00/ff:ff:ff:ff:ff:ff
Значение по умолчанию#

Отсутствует.

Указания по использованию#

Данная команда позволяет указать MAC-адрес отправителя, по которому будет осуществляться проверка соответствия для правила преобразования сетевого адреса. Следует с осторожностью включать в набор правил более одного правила, определяющего исключения (правило, в котором указывается восклицательный знак "!"). Правила NAT выполняются последовательно, и набор правил, содержащий более одного "исключающего" правила, может привести к результатам, отличным от ожидаемых.

Форма set данной команды используется для создания MAC-адреса отправителя для преобразования сетевых адресов.

Форма delete данной команды позволяет удалить настройку MAC-адреса отправителя для преобразования сетевых адресов.

Форма show данной команды используется для отображения настройки MAC-адреса отправителя для преобразования сетевых адресов.

clear nat ipv4 counters#

Очистка счетчиков для активных IPv4-правил преобразования сетевых адресов (NAT).

Синтаксис#
clear nat ipv4 counters [rule <номер_правила>]
Режим ввода команды#

Эксплуатационный режим.

Параметры#

номер_правила

Численный идентификатор правила. Значение должно находиться в диапазоне от 1 до 9999.

Значение по умолчанию#

Счетчики сбрасываются для всех правил преобразования сетевых адресов (NAT).

Указания по использованию#

Команда позволяет сбросить счетчики для IPv4-правил преобразования сетевых адресов (NAT). По умолчанию счетчики сбрасываются для всех правил. Если указывается номер правила, счетчики сбрасываются только для указанного правила.

clear nat ethernet counters#

Очистка счетчиков для активных Ethernet-правил преобразования сетевых адресов (NAT).

Синтаксис#
clear nat ethernet counters
Режим ввода команды#

Эксплуатационный режим.

Параметры#

Отсутствуют.

Значение по умолчанию#

Счетчики сбрасываются для всех правил преобразования сетевых адресов (NAT).

Указания по использованию#

Команда позволяет сбросить счетчики для Ethernet-правил преобразования сетевых адресов (NAT).

show nat ipv4 rules#

Отображение настроенных правил преобразования сетевых адресов (NAT).

Синтаксис#
show nat ipv4 rules
Режим ввода команды#

Эксплуатационный режим.

Параметры#

Отсутствуют.

Указания по использованию#

Данная команда позволяет отобразить настроенные правила преобразования сетевых адресов. Данная команда может использоваться для выявления неисправностей, а также для проверки того, что соответствие устанавливается для требуемого сетевого трафика.

Пример#

В примере ниже приведен вывод для команды show nat ipv4 rules. В данном выводе используются следующие аббревиатуры:

  • saddr - адрес отправителя;
  • sport - порт отправителя;
  • daddr - адрес получателя;
  • dport - порт получателя;
  • proto - протокол;
  • intf - интерфейс.

Также необходимо отметить следующее:

  • для указания интерфейса используется только одна колонка intf. Для правил преобразования сетевого адреса отправителя или правил "маскировки" в качестве интерфейса указывается выходной интерфейс;
  • для правил преобразования сетевого адреса получателя в качестве интерфейса указывается входной интерфейс. В колонке преобразования (translation), в первых двух строках выводятся сведения о преобразовании, в третьей строке (в том случае если она представлена) выводятся условия для осуществления преобразования.

Вывод сведений о правилах NAT:

1
2
3
4
5
6
7
8
9
admin@edge:~$ show nat ipv4 rules

Type Codes:  SRC - source, DST - destination, MASQ - masquerade
              X at the front of rule implies rule is excluded

rule   type  intf     translation
----   ----  ----     -----------
10     DST   any      daddr 10.0.0.1 to 192.168.0.1
    proto-tcp_udp     dport ANY

show nat ipv4 statistics#

Вывод статистики для службы преобразования сетевых адресов (NAT).

Синтаксис#
show nat ipv4 statistics
Режим ввода команды#

Эксплуатационный режим.

Параметры#

Отсутствуют.

Указания по использованию#

Данная команда используется для вывода текущей статистики для правил преобразования сетевых адресов.

Примеры#

В примере ниже приведен вывод для команды show nat ipv4 statistics. В данном выводе используются следующие аббревиатуры:

  • rule - номер правила;
  • count - количество пакетов;
  • type - тип правила;
  • IN - входящий интерфейс;
  • OUT - исходящий интерфейс.
1
2
3
4
5
6
7
admin@edge:~$ show nat ipv4 statistics

Type Codes:  SRC - source, DST - destination, MASQ - masquerade

rule  count     type     IN         OUT
----  -------   ----  ---------  ---------
10    147       DST   any            -

show nat ipv4 translations#

Вывод сведений о трансляциях сетевых адресов.

Синтаксис#
show nat ipv4 translations [ detail | monitor [detail]]
Режим ввода команды#

Эксплуатационный режим.

Параметры#

monitor

Показать активные события трансляции адресов (NAT).

detail

Показ подробных сведений.

Указания по использованию#

Данная команда позволяет вывести сведения о трансляциях сетевых адресов.

Пример#

В примере ниже приведен образец вывода для команды show nat ipv4 translations:

1
2
3
4
admin@edge:~$ show nat ipv4 translations 
Pre-NAT             Post-NAT            Type    Prot    Timeout
192.168.10.1        192.168.11.254      snat    icmp    29
192.168.11.1        192.168.11.1        dnat    icmp    29

show nat ipv4 translations destination#

Вывод сведений о трансляциях сетевых адресов получателя (DNAT).

Синтаксис#
show nat ipv4 translations destination [address <адрес> | detail | monitor [detail]]
Режим ввода команды#

Эксплуатационный режим.

Параметры#

адрес

IPv4-адрес получателя для проверки соответствия.

monitor

Показать активные события трансляции адресов получателя (DNAT).

detail

Показ подробных сведений.

Указания по использованию#

Данная команда позволяет вывести сведения о трансляциях сетевых адресов получателя.

Пример#

В примере ниже приведен образец вывода для команды show nat ipv4 translations destination address 192.168.10.254:

1
2
3
4
5
admin@edge:~$ show nat ipv4 translations destination address 192.168.10.254 
Pre-NAT src         Pre-NAT dst         Post-NAT src        Post-NAT dst
192.168.10.1        192.168.10.254      192.168.10.1        192.168.11.1

icmp: dnat: 192.168.10.254 ==> 192.168.11.1 timeout: 29 use: 1

show nat ipv4 translations source#

Вывод сведений о трансляциях сетевых адресов отправителя (SNAT).

Синтаксис#
show nat ipv4 translations source [address <адрес> | detail | monitor [detail]]
Режим ввода команды#

Эксплуатационный режим.

Параметры#

адрес

IPv4-адрес отправителя для проверки соответствия.

monitor

Показать активные события трансляции адресов отправителя (SNAT).

detail

Показ подробных сведений.

Указания по использованию#

Данная команда позволяет вывести сведения о трансляциях сетевых адресов отправителя.

Пример#

В примере ниже приведен образец вывода для команды show nat ipv4 translations source address 192.168.10.1:

1
2
3
4
5
admin@edge:~$ show nat ipv4 translations source address 192.168.10.1 
Pre-NAT src         Pre-NAT dst         Post-NAT src        Post-NAT dst
192.168.10.1        192.168.11.1        192.168.11.254      192.168.11.1

icmp: snat: 192.168.10.1 ==> 192.168.11.254 timeout: 29 use: 1

show nat ethernet rules#

Отображение настроенных правил преобразования сетевых адресов (NAT) для протокола ethernet.

Синтаксис#
show nat ethernet rules
Режим ввода команды#

Эксплуатационный режим.

Параметры#

Отсутствуют.

Указания по использованию#

Данная команда позволяет отобразить настроенные правила преобразования сетевых адресов. Данная команда может использоваться для выявления неисправностей, а также для проверки того, что соответствие устанавливается для требуемого сетевого трафика.

Пример#

В примере ниже приведен вывод для команды show nat ipv4 rules. В данном выводе используются следующие аббревиатуры:

  • src IP - адрес отправителя;
  • src MAC - mac отправителя;
  • dst IP - адрес получателя;
  • dport - порт получателя;
  • proto - протокол;
  • rule - номер правила;
  • type - тип трансляции;
  • iface in - входящий интерфейс;
  • iface out - исходящий интерфейс;
  • translation - правило преобразования.

Также необходимо отметить следующее:

Для правил преобразования сетевого адреса отправителя или правил "маскировки" в качестве интерфейса указывается выходной интерфейс; для правил преобразования сетевого адреса получателя в качестве интерфейса указывается входной интерфейс.

В колонке преобразования (translation), в первых двух строках выводятся сведения о преобразовании, в третьей строке (в том случае если она представлена) выводятся условия для осуществления преобразования. Например, правило 10, которое является правилом преобразования сетевого адреса отправителя (SNAT), заменяет адреса отправителя 192.168.74.0/24 на адреса 172.16.139.0/24 и изменяет MAC-адрес отправителя на "11:22:33:44:55:66".

Если перед номером правила указывается символ "X", правило является исключающим.

Вывод сведений о правилах NAT:

1
2
3
4
5
6
admin@edge# run show nat ethernet rules

rule    type    iface in    iface out   translation
----    ----    --------    ---------   -----------
10      SNAT    -           eth1        src MAC unicast to 11:22:33:44:55:66
   src MAC unicast src IP 192.168.10.0/24 dst IP 192.168.11.0/24 proto ipv4

show nat ethernet statistics#

Вывод статистики для службы преобразования сетевых адресов (NAT) для протокола ethernet.

Синтаксис#
show nat ethernet statistics
Режим ввода команды#

Эксплуатационный режим.

Параметры#

Отсутствуют.

Указания по использованию#

Данная команда используется для вывода текущей статистики для правил преобразования сетевых адресов.

Примеры#

В примере ниже приведен вывод для команды show nat ipv4 statistics. В данном выводе используются следующие аббревиатуры:

  • rule - номер правила;
  • count - количество пакетов;
  • type - тип правила;
  • IN - входящий интерфейс;
  • OUT - исходящий интерфейс.
1
2
3
4
5
admin@edge# run show nat ethernet statistics

rule    pkts    type    iface in    iface out
----    ----    ----    --------    ---------
10      0       SNAT    -           eth1