【正文】 中的特定數(shù)據(jù)，這樣應(yīng)用協(xié)議可以跨越不同范圍運(yùn)行。如果開(kāi)啟了ICMP ALG功能，在NAT轉(zhuǎn)發(fā)ICMP報(bào)文之前，它將與NAT交互，打開(kāi)ICMP報(bào)文并轉(zhuǎn)換其數(shù)據(jù)部分的報(bào)文A首部的地址，使這些地址表現(xiàn)為內(nèi)部主機(jī)的確切地址形式，由NAT將這個(gè)ICMP報(bào)文轉(zhuǎn)發(fā)出去?？芍С值奶厥鈪f(xié)議包括：DNS、FTP、TFTP、HWCC、ICMP、ILS（Internet Locator Service）、MSN、NetBIOS（Network Basic Input/Output System）、PPTP（PointtoPoint Tunneling Protocol）、。當(dāng)MPLS VPN用戶(hù)訪(fǎng)問(wèn)Internet時(shí)，VRP的NAT將內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口替換為路由器的外部網(wǎng)絡(luò)地址和端口，同時(shí)還記錄了用戶(hù)的MPLS VPN信息。利用訪(fǎng)問(wèn)控制列表控制地址轉(zhuǎn)換在實(shí)際應(yīng)用中，我們可能希望某些內(nèi)部的主機(jī)具有訪(fǎng)問(wèn)Internet的權(quán)利，而某些主機(jī)不允許訪(fǎng)問(wèn)。也就是說(shuō)，只有滿(mǎn)足訪(fǎng)問(wèn)控制列表?xiàng)l件的數(shù)據(jù)報(bào)文才可以進(jìn)行地址轉(zhuǎn)換。訪(fǎng)問(wèn)控制列表是由命令acl生成的，它依據(jù)IP數(shù)據(jù)包報(bào)頭及其承載的上層協(xié)議數(shù)據(jù)包頭的格式定義了一定的規(guī)則，表示允許或是禁止具有某些特征的數(shù)據(jù)包?！稗D(zhuǎn)換關(guān)聯(lián)”就是將一個(gè)地址池和一個(gè)訪(fǎng)問(wèn)控制列表關(guān)聯(lián)起來(lái)，這種關(guān)聯(lián)指定了“具有某些特征的IP報(bào)文”才可以使用“這樣的地址池中的地址”。在轉(zhuǎn)換時(shí)，根據(jù)“轉(zhuǎn)換關(guān)聯(lián)”可以找到與數(shù)據(jù)包對(duì)應(yīng)的地址池，就可以將內(nèi)部網(wǎng)絡(luò)主機(jī)的IP地址和端口替換為路由器的外部網(wǎng)絡(luò)地址和端口。Easy IPEasy IP就是當(dāng)進(jìn)行地址轉(zhuǎn)換時(shí)，直接使用接口的公有IP地址作為轉(zhuǎn)換后的源地址。內(nèi)部服務(wù)器地址轉(zhuǎn)換具有“屏蔽”內(nèi)部主機(jī)的作用，但是在實(shí)際應(yīng)用中，可能我們需要提供給外部一個(gè)訪(fǎng)問(wèn)內(nèi)部主機(jī)的機(jī)會(huì)，如提供給外部一個(gè)WWW服務(wù)器，或是一臺(tái)FTP服務(wù)器。通過(guò)配置內(nèi)部服務(wù)器，可將相應(yīng)的外部地址、端口等映射到內(nèi)部的服務(wù)器上，提供了外部網(wǎng)絡(luò)主機(jī)訪(fǎng)問(wèn)內(nèi)部服務(wù)器的功能。內(nèi)部服務(wù)器的多實(shí)例VRP的地址轉(zhuǎn)換支持內(nèi)部服務(wù)器的多實(shí)例，提供給外部訪(fǎng)問(wèn)MPLS VPN內(nèi)主機(jī)的機(jī)會(huì)。 NAT用戶(hù)日志簡(jiǎn)介NAT用戶(hù)日志的作用對(duì)于通過(guò)NAT設(shè)備接入的用戶(hù)，由于源IP地址經(jīng)過(guò)地址轉(zhuǎn)換，難以精確定位某次訪(fǎng)問(wèn)網(wǎng)絡(luò)的操作是從哪臺(tái)主機(jī)、哪個(gè)用戶(hù)發(fā)起的，這使得網(wǎng)絡(luò)的安全性降低。它可以記錄NAT數(shù)據(jù)流信息，從而使管理員能夠了解NAT轉(zhuǎn)換前的地址信息，進(jìn)而查詢(xún)、跟蹤網(wǎng)絡(luò)活動(dòng)和操作，提高網(wǎng)絡(luò)的可用性和安全性。NAT用戶(hù)日志的實(shí)現(xiàn)對(duì)于通過(guò)NAT訪(fǎng)問(wèn)Internet的私網(wǎng)用戶(hù)，NAT日志信息通過(guò)以下步驟輸出。NAT用戶(hù)日志的輸出用戶(hù)日志有兩種輸出方式：UDP報(bào)文方式、系統(tǒng)日志方式（Syslog）。UDP報(bào)文中包含多條NAT數(shù)據(jù)流的原始信息，由一個(gè)報(bào)文頭和若干條記錄組成，每條記錄分別對(duì)應(yīng)一條被記錄的數(shù)據(jù)流。圖43 用戶(hù)日志信息輸出示意圖如果采用系統(tǒng)日志方式，系統(tǒng)將定期檢查日志緩存，如果日志緩存中有記錄，將被輸出。 配置NAT 建立配置任務(wù)應(yīng)用環(huán)境在私有網(wǎng)絡(luò)和公有網(wǎng)絡(luò)的邊界處配置NAT。數(shù)據(jù)準(zhǔn)備在配置NAT之前，需準(zhǔn)備以下數(shù)據(jù)。序號(hào)過(guò)程1配置地址池2配置ACL和地址池關(guān)聯(lián)3配置內(nèi)部服務(wù)器4使能NAT ALG功能5檢查配置結(jié)果 配置地址池請(qǐng)?jiān)诼酚善魃线M(jìn)行以下配置。步驟 2 執(zhí)行命令nat addressgroup groupnumber startaddress endaddress，配置地址池。步驟 1 執(zhí)行命令systemview，進(jìn)入系統(tǒng)視圖。步驟 3 執(zhí)行命令nat outbound aclnumber [ ad dressgroup groupnumber [ nopat ] ]，配置ACL和地址池關(guān)聯(lián)。 配置內(nèi)部服務(wù)器請(qǐng)?jiān)诼酚善魃线M(jìn)行以下配置。步驟 2 執(zhí)行命令interface interfacetype interfacenumber，進(jìn)入接口視圖。配置FTP服務(wù)器時(shí)，必須同時(shí)配置FTP DATA服務(wù)器（一般為端口20）。 使能NAT ALG功能請(qǐng)?jiān)诼酚善魃线M(jìn)行以下配置。步驟 2 執(zhí)行命令nat alg enable { dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp | qq }，使能NAT ALG功能。操作命令查看地址轉(zhuǎn)換的狀況display nat { all | addressgroup | outbound | server | alg } 配置NAT用戶(hù)日志 建立配置任務(wù)應(yīng)用環(huán)境NAT用戶(hù)日志可以記錄NAT數(shù)據(jù)流信息，從而使管理員能夠了解NAT轉(zhuǎn)換前的地址信息，進(jìn)而查詢(xún)、跟蹤網(wǎng)絡(luò)活動(dòng)和操作，提高網(wǎng)絡(luò)的可用性和安全性。數(shù)據(jù)準(zhǔn)備在配置NAT用戶(hù)日志之前，需準(zhǔn)備以下數(shù)據(jù)。序號(hào)過(guò)程1啟動(dòng)NAT用戶(hù)日志功能2設(shè)置日志輸出至控制臺(tái)（用于Syslog方式）3設(shè)置使用的日志服務(wù)器（用于UDP報(bào)文方式）4設(shè)置日志報(bào)文的源IP地址（用于UDP報(bào)文方式，可選）5設(shè)置日志報(bào)文的版本號(hào)（用于UDP報(bào)文方式，可選）6設(shè)置在創(chuàng)建流時(shí)進(jìn)行日志的記錄（可選）7設(shè)置對(duì)長(zhǎng)時(shí)間活躍的流定時(shí)記錄（可選）8檢查配置結(jié)果 啟動(dòng)NAT用戶(hù)日志功能請(qǐng)?jiān)诼酚善魃线M(jìn)行以下配置。步驟 2 執(zhí)行命令ip userlog nat slot slotid [ acl aclnumber ]，啟動(dòng)NAT用戶(hù)日志功能。步驟 1 執(zhí)行命令systemview，進(jìn)入系統(tǒng)視圖。結(jié)束以syslog方式輸出時(shí)，日志信息的優(yōu)先級(jí)為informational，即一般提示信息。步驟 1 執(zhí)行命令systemview，進(jìn)入系統(tǒng)視圖。結(jié)束 設(shè)置日志報(bào)文的源IP地址請(qǐng)?jiān)诼酚善魃线M(jìn)行以下配置。步驟 2 執(zhí)行命令ip userlog nat export sourceip ipaddress，設(shè)置日志報(bào)文的源IP地址。步驟 1 執(zhí)行命令systemview，進(jìn)入系統(tǒng)視圖。結(jié)束 設(shè)置在創(chuàng)建流時(shí)進(jìn)行日志的記錄請(qǐng)?jiān)诼酚善魃线M(jìn)行以下配置。步驟 2 執(zhí)行命令ip userlog nat mode flowbegin，設(shè)置在創(chuàng)建流時(shí)進(jìn)行日志的記錄。根據(jù)需要，用戶(hù)可以配置系統(tǒng)在數(shù)據(jù)流創(chuàng)建時(shí)也進(jìn)行日志記錄。l 連接創(chuàng)建時(shí)是否生成日志記錄并不影響刪除連接時(shí)生成的日志記錄。步驟 1 執(zhí)行命令systemview，進(jìn)入系統(tǒng)視圖。結(jié)束如上一節(jié)所述，通常情況下，通過(guò)流的老化來(lái)記錄日志信息。 檢查配置結(jié)果完成上述配置后，請(qǐng)執(zhí)行下面的命令檢查配置結(jié)果。l 清除l 調(diào)試 清除清除統(tǒng)計(jì)信息后，以前的統(tǒng)計(jì)信息