no ip nat translation 参数名
配置NAT转换记录的超时时间和转换记录条数限制。使用 no 选项可恢复缺省配置。
该命令有多种用法:
ip nat translation dns-timeout seconds
定义DNS转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation finrst-timeout seconds
定义TCP连接FIN及RESET后转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation icmp-timeout seconds
定义ICMP转换记录的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation syn-timeout seconds
定义TCP发出syn后没有收到应答的超时时间,单位为秒。缺省值为 60 秒。
ip nat translation tcp-timeout seconds
定义TCP连接转换记录的超时时间,单位为秒。缺省值为 1 天。
ip nat translation udp-timeout seconds
定义UDP连接转换记录的超时时间,单位为秒。缺省值为 300 秒。
ip nat translation max-entries number
定义NAT转换记录的最大个数。缺省为 30000 条。
ip nat translation pre-user user-ip [number]
指定内网某个用户所允许的最大转换记录数。user-ip时用户的IP地址,如果为 0.0.0.0,则内网所有用户使用相同的条数限制。具体IP的配置优先级高于 0.0.0.0 的配置。如果user-ip后没有给出具体数值,则为300条。缺省情况下,不做限制。
命令模式:全局配置模式。
范例1:
Ruijie(config)#ip nat translation pre-user 0.0.0.0 500
Ruijie(config)#ip nat translation pre-user 192.168.5.112 1000
本例对内网用户转换记录条数做了限制,用户192.168.5.112限制为1000条,其他用户统一限制为500条。
范例2:
Ruijie(config)#ip nat translation icmp-timeout 30
本例把ICMP的NAT转换记录的超时时间设置为30秒。
使用 ip nat outside source list 命令(动态NAT)而不是 ip nat outside source static 命令(静态NAT)的主要区别在于,在(为NAT配置的)路由器检验数据包的转换标准之前,在转换表中没有条目。在上例中,SA为172.16.88.1的数据包(进入Router 2514x的外部接口)符合访问列表1,即 ip nat outside source list 命令使用的标准。因此,在内部网络的包可以与Router 2514w的loopback0接口通信之前,必须从外部网络始发数据包。
本例中需要注意两点:
第一,当数据包从外部传输到内部时,先进行转换,然后检查目的地的路由表。当数据包从内部传输到外部时,先检查目的地的路由表,然后进行转换。
第二,使用上述每条命令时,记录IP数据包的哪个部分被转换很重要。下面给出了一个纲要:
ip nat outside source list
-
转换IP包的源,这些IP包正在从外部传输到内部
-
转换IP包的目的地,这些IP包正在从内部传输到外部
ip nat inside source list
-
转换IP包的源,这些IP包正在从内部传输到外部
-
转换IP包的目的地,这些IP包正在从外部传输到内部
