重庆ssc做号网站网站建设免费建站免费源代码
张小明 2026/1/1 12:33:25
重庆ssc做号网站,网站建设免费建站免费源代码,巴州网站建设,商场网站建设公司ACLNAT ACL 一、ACL基础介绍
1、ACL概念。 访问控制列表ACL#xff08;Access Control List#xff09;是由一条或多条规则组成的集合。所谓规则#xff0c;是指描述报文匹配条件的判断语句。
条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器NATACL一、ACL基础介绍1、ACL概念。访问控制列表ACLAccess Control List是由一条或多条规则组成的集合。所谓规则是指描述报文匹配条件的判断语句。条件可以是报文的源地址、目的地址、端口号等。ACL本质上是一种报文过滤器规则是过滤器的滤芯。设备基于这些规则进行报文匹配可以过滤出特定的报文并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。2、ACL规则。ACL由一系列规则组成通过将报文与ACL规则进行匹配设备可以过滤出特定的报文。设备支持软件ACL和硬件ACL两种实现方式分类适用的IP版本规则定义描述编号范围基本ACLIPv4仅使用报文的源IP地址、分片信息和生效时间段信息来定义规则。20002999高级ACLIPv4既可使用IPv4报文的源IP地址也可使用目的IP地址、IP协议类型、ICMP类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。30003999二层ACLIPv4和IPv6使用报文的以太网帧头信息来定义规则如根据源MACMedia Access Control地址、目的MAC地址、二层协议类型等。40004999用户自定义ACLIPv4和IPv6使用报文头、偏移位置、字符串掩码和用户自定义字符串来定义规则即以报文头为基准指定从报文的第几个字节开始与字符串掩码进行“与”操作并将提取出的字符串与用户自定义的字符串进行比较从而过滤出相匹配的报文。50005999用户ACLIPv4既可使用IPv4报文的源IP地址或源UCLUser Control List组也可使用目的IP地址或目的UCL组、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。60009999基本ACL6IPv6可使用IPv6报文的源IPv6地址、分片信息和生效时间段来定义规则。20002999高级ACL6IPv6可以使用IPv6报文的源IPv6地址、目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源/目的端口、UDP源/目的端口号、生效时间段等来定义规则。30003999用户ACL6IPv6既可使用IPv6报文的源IPv6地址或源UCL组也可使用目的IPv6地址、IPv6协议类型、ICMPv6类型、TCP源端口/目的端口、UDP源端口/目的端口号等来定义规则。600099993、ACL匹配原则ACL类型匹配顺序从高到低基本ACLVPN实例。源IP地址范围源IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先。规则编号规则编号小的优先。高级ACLVPN实例协议范围指定了IP协议承载的协议类型的规则优先。源IP地址范围源IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先。目的IP地址范围目的IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先。四层端口号TCP/UDP端口号范围四层端口号范围小的规则优先。规则编号规则编号小的优先。基本ACL6VPN实例。源IP地址范围源IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先。下发顺序下发顺序靠前的优先。高级ACL6VPN实例协议范围指定了IP协议承载的协议类型的规则优先。源IP地址范围源IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先。目的IP地址范围目的IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先。四层端口号TCP/UDP端口号范围四层端口号范围小的规则优先。下发顺序下发顺序靠前的优先。二层ACL二层协议类型通配符掩码通配符掩码大协议类型通配符掩码中“1”位的数量多的规则优先。源MAC地址范围源MAC地址范围小MAC地址通配符掩码中“1”位的数量多的规则优先。目的MAC地址范围目的MAC地址范围小MAC地址通配符掩码中“1”位的数量多的规则优先。规则编号规则编号小的优先。用户自定义ACL用户自定义ACL规则的匹配顺序只支持配置顺序即规则编号从小到大的顺序进行匹配。用户ACLACL6协议范围指定了IP协议承载的协议类型的规则优先。源IP地址范围。如果规则的源IP地址均为IP网段则源IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先否则源IP地址为IP网段的规则优先于源IP地址为UCL组的规则。目的IP地址范围。如果规则的目的IP地址均为IP网段则目的IP地址范围小IP地址通配符掩码中“0”位的数量多的规则优先否则目的IP地址为IP网段的规则优先于目的IP地址为UCL组的规则。四层端口号TCP/UDP端口号范围四层端口号范围小的规则优先。规则编号规则编号小的优先。4、IP承载协议协议类型协议编号ICMP1TCP6UDP17GRE47IGMP2IPinIP4OSPF895、配置原则业务模块的ACL默认动作permit所有报文deny所有报文permit少部分报文deny大部分报文deny少部分报文permit大部分报文permit无需应用ACL配置rule deny需先配置rule permit a再配置rule deny b或rule deny说明以上原则适用于报文过滤的情形。当ACL应用于流策略中进行流量监管或者流量统计时如果仅希望对指定的报文进行限速或统计则只需配置rule permit a。只需配置rule deny a无需再配置rule permit b或rule permit说明如果配置rule permit并在流策略中应用ACL且该流策略的流行为behavior配置为deny则设备会拒绝所有报文通过导致全部业务中断。deny路由和组播模块需配置rule permit其他模块无需应用ACL路由和组播模块无需应用ACL其他模块需配置rule deny只需配置rule permit a无需再配置rule deny b或rule deny需先配置rule deny a再配置rule permit b或rule permit二、配置指导1、配置指导# time-range test 08:00 to 18:00 working-day time-range test 14:00 to 18:00 off-day time-range test from 00:00 1/1/2014 to 23:59 12/31/2014 # acl basic 2000 rule 0 permit source 192.168.0.0 0.0.0.255 rule 5 permit source 192.168.1.0 0.0.0.255 rule 10 permit source 192.168.2.0 0.0.0.255 rule 15 permit source 192.168.3.0 0.0.0.255 rule 20 permit source 192.168.5.0 0.0.0.255 rule 30 permit source 192.168.10.0 0.0.0.255 rule 40 permit source 192.168.100.0 0.0.0.255 rule 45 permit source 192.168.201.0 0.0.0.255 rule 50 deny # acl basic 2001 rule 0 permit source 0.0.0.0 255.255.255.0 rule 5 remark 1 # acl basic 2002 rule 45 permit source 0.0.0.0 255.255.255.0 rule 55 permit source 192.168.34.1 0 # acl basic 2007 step 5 start 5 rule 5 permit source 193.169.23.0 0.0.0.255 rule 10 permit source 192.169.24.0 0.0.0.255 rule 15 permit source 192.169.25.0 0.0.0.255 rule 20 permit source 192.169.26.0 0.0.0.255 rule 25 permit source 192.169.27.0 0.0.0.255 rule 30 permit source 192.169.28.0 0.0.0.255 rule 35 permit source 192.169.29.0 0.0.0.255 # acl number 2014 rule 5 permit time-range test # acl basic name aclnum1 description numnu1 rule 10 deny source 0.0.0.0 255.255.255.0 rule 15 permit source 0.0.0.0 255.255.255.0 # acl advanced 3009 step 20 rule 0 remark gj-acl rule 0 permit ip source 192.168.20.0 0.0.0.255 destination 192.168.2.0 0.0.0.255 rule 5 permit ip source 192.168.1.100 0 destination 10.0.0.1 0 rule 10 permit tcp source 192.168.1.200 0 destination 172.16.1.1 0 destination-port eq 3389 rule 20 permit gre destination 192.168.2.0 0.0.0.255 rule 40 permit gre source 192.168.3.0 0.0.0.255 rule 60 permit gre source 192.168.10.1 0 destination 192.168.11.1 0 rule 80 permit tcp source 192.168.23.1 0 destination-port eq ftp rule 100 permit tcp source 10.1.1.50 0 destination 192.168.2.100 0 destination-port range 8000 8080 rule 120 permit tcp source 192.168.34.0 0 destination 192.168.45.0 0 source-port range 1001 1008 destination-port range 1001 1008 # acl advanced 3010 step 10 rule 0 permit icmp source 192.168.1.100 0 destination 10.0.0.1 0 icmp-type echo rule 10 deny icmp destination 172.16.1.1 0 icmp-type echo rule 20 permit tcp destination 192.168.2.100 0 destination-port eq www rule 40 permit tcp source 10.1.1.0 0.0.0.255 destination 192.168.2.100 0 destination-port eq 22 rule 50 permit udp destination 8.8.8.8 0 destination-port eq dns rule 60 deny udp destination 192.168.1.200 0 destination-port eq ntp rule 70 permit gre source 203.0.113.1 0 destination 198.51.100.1 0 rule 80 deny gre destination 192.168.10.1 0 rule 90 permit ospf source 10.0.0.2 0 destination 224.0.0.5 0 rule 100 deny ospf destination 10.0.0.1 0 rule 110 permit ip source 192.168.1.0 0.0.0.255 destination 10.0.0.0 0.0.0.255 rule 120 deny ip source 192.168.99.0 0.0.0.255 # # acl ipv6 basic 2004 step 10 rule 0 permit source 2001::/64 rule 10 permit source 2003::/64 rule 20 permit source 2004::/64 rule 30 permit source 2005::/64 rule 40 permit source 2006::/64 rule 50 permit source 2007::/64 rule 60 permit source 2008::/64 rule 70 permit source 2009::/64 rule 80 permit source 2010::/64 rule 90 permit source 2011::/64 rule 100 permit source 2012::/64 rule 110 deny # acl ipv6 number 3678 step 10 rule 5 permit icmpv6 source 2001:DB8:1::100/128 destination 2001:DB8:2::1/128 icmp6-type echo-request rule 10 deny icmpv6 destination 2001:DB8:3::1/128 icmp6-type echo-request rule 20 permit tcp destination 2001:DB8:4::100/128 destination-port eq www rule 30 permit tcp source 2001:DB8:5::/64 destination 2001:DB8:4::100/128 destination-port eq 22 rule 40 permit udp destination 2001:4860:4860::8888/128 destination-port eq dns rule 50 deny udp destination 2001:DB8:6::200/128 destination-port eq ntp rule 60 permit gre source 2001:DB8:7::1/128 destination 2001:DB8:8::1/128 rule 70 deny gre destination 2001:DB8:9::1/128 rule 80 permit ospf source 2001:DB8:A::2/128 destination FF02::5/128 rule 90 deny ospf destination 2001:DB8:A::1/128 rule 100 permit ipv6 source 2001:DB8:B::/64 destination 2001:DB8:C::/64 rule 110 deny ipv6 source 2001:DB8:D::/64规则即描述报文匹配条件的判断语句。规则编号用于标识ACL规则。可以自行配置规则编号也可以由系统自动分配。ACL规则的编号范围是04294967294。所有规则均按照规则编号从小到大进行排序。系统按照规则编号从小到大的顺序将规则依次与报文匹配一旦匹配上一条规则即停止匹配。动作报文处理动作包括permit/deny两种表示允许/拒绝。匹配项ACL定义了极其丰富的匹配项。除了图中的源地址和生效时间段ACL还支持很多其他规则匹配项。例如二层以太网帧头信息如源MAC、目的MAC、以太帧协议类型三层报文信息如目的IP地址、协议类型以及四层报文信息如TCP/UDP端口号等。ACL名称通过名称来标识ACL就像用域名代替IP地址一样更加方便记忆。这种ACL称为命名型ACL。命名型ACL一旦创建成功便不允许用户再修改其名称。仅基本ACL与基本ACL6以及高级ACL与高级ACL6可以使用相同的ACL名称其他类型ACL之间不能使用相同的ACL名称。命名型ACL实际上是“名字数字”的形式可以在定义命名型ACL时同时指定ACL编号。如果不指定编号则由系统自动分配设备为其分配的编号是该类型ACL可用编号中取值范围内的最大值。ACL编号用于标识ACL也可以单独使用ACL编号表明该ACL是数字型。不同的ACL类型使用不同的ACL编号取值标识。NAT公网地址与私网地址转换1、静态NAT【格式】nat static outbound 内网地址 公网地址[FW] nat static outbound 10.110.10.8 202.38.1.100【调用】[FW] interface gigabitethernet 1/0/2 //这个是去互联网的WAN口[FW-GigabitEthernet1/0/2] nat static enable2、动态NAT-公网地址不重复①创建NAT地址组[FW] nat address-group 0[FW-address-group-0] address202.38.1.2 202.38.1.100②创建ACL[FW]acl basic 2001[FW-acl-ipv4-basic-2001]rule 0 permit③调用规则[FW-GigabitEthernet1/0/2] nat outbound 2000 address-group 03、动态NAT-公网地址重复①开启NAT ALG dns 功能[FW] NAT ALG DNS②创建NAT地址组1、组2.[FW] nat address-group 1[FW-address-group-1]address 202.38.1.2 202.38.1.2[FW] nat address-group 2[FW-address-group-2]address 202.38.1.3202.38.1.3③创建ACL[FW]acl basic 2001[FW-acl-ipv4-basic-2001]rule 0 permit④调用规则[FW-GigabitEthernet1/0/2] NAT inbound 2000 address-group 1 no-pat reversible[FW-GigaWbitEthernet1/0/2] NAT outbound 2000 address-group 24、外网用户通过外网地址公网地址访问内网服务器的操作-地址重复。[FW]interface GigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]display this //在防火墙的出口做NAT服务器映射规则。[FW-GigabitEthernet1/0/2]ip address 222.83.212.246 255.255.255.192[FW-GigabitEthernet1/0/2]nat outbound【防火墙映射服务器格式一】nat server protocoltcp/udp/icmpglobal公网IP地址端口号inside私网地址端口号规则名称【防火墙映射服务器格式二】nat server protocoltcp/udp/icmpglobal公网IP地址端口号端口号inside私网地址端口号端口号规则名称[FW-GigabitEthernet1/0/2]nat server protocol tcp global 222.83.212.246 222 inside 172.16.100.250 222 rule ServerRule_1[FW-GigabitEthernet1/0/2]nat server protocol tcp global 222.83.212.246 9999 inside 1.1.1.1 443 rule ServerRule_2[FW-GigabitEthernet1/0/2]nat server protocol tcp global 222.83.212.246 10000 10020 inside 172.16.100.250 10000 10020 rule ServerRule_3[FW-GigabitEthernet1/0/2]nat server protocol tcp global 222.83.212.246 15000 16999 inside 172.16.100.250 15000 16999 rule ServerRule_4[FW-GigabitEthernet1/0/2]nat server protocol udp global 222.83.212.246 7660 inside 172.16.100.250 7660 rule ServerRule_5[FW-GigabitEthernet1/0/2]nat server protocol udp global 222.83.212.246 15000 16999 inside 172.16.100.250 15000 16999 rule ServerRule_6[FW-GigabitEthernet1/0/2]undo dhcp select server[FW-GigabitEthernet1/0/2]gateway 公网地址网关5、外网用户通过域名访问内网服务器的操作-地址不重复。前提该公司拥有两个外网IP地址202.38.1.2和202.38.1.3①开启NAT ALG NDS功能[FW] NAT ALG DNS②创建基础ACL规则[FW]acl basic 2001[FW-acl-ipv4-basic-2001]rule 0 permit③创建NAT地址组[FW] nat address-group 1[FW-address-group-1]address 202.38.1.2 202.38.1.3④调用规则[FW]interface GigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]NAT server protocol UDP global 202.38.1.2 inside 10.110.10.3 DNS[FW-GigabitEthernet1/0/2]NAT outbound 2001 address-group 1 no-pat reversible6、外网用户通过域名访问内网服务器的操作-地址重复。前提条件:有三个外网IP地址 202.38.1.2、 202.38.1.3和202.38.1.4①开启NAT ALG NDS功能[FW] NAT ALG DNS②创建基础ACL规则[FW]acl basic 2001[FW-acl-ipv4-basic-2001]rule 0 permit③创建NAT地址组[FW] nat address-group 1[FW-address-group-1]address 202.38.1.2 202.38.1.2[FW] nat address-group 2[FW-address-group-1]address 202.38.1.3202.38.1.3④调用规则[FW]interface GigabitEthernet1/0/2[FW-GigabitEthernet1/0/2] nat server protocol udp global 202.38.1.4 inside 192.168.1.3 dns[FW-GigabitEthernet1/0/2] nat outbound 2001 address-group 1 no-pat reversible[FW-GigabitEthernet1/0/2] nat inbound 2001 address-group 27、内网用户通过NAT地址访问内网服务器前提条件GigabitEthernet1/0/1是内网口GigabitEthernet1/0/2外网口。① 创建基础ACL规则[FW]acl basic 2001[FW-acl-ipv4-basic-2001]rule 0 permit② 外网接口配置[FW]interface GigabitEthernet1/0/2[FW-GigabitEthernet1/0/2]nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp[FW-GigabitEthernet1/0/2]nat outbound 2001③ 内网接口配置[FW]interface GigabitEthernet1/0/1[FW-GigabitEthernet1/0/1]nat hairpin enable8、内网用户通过NAT地址互访-P2P网络① 创建基础ACL规则[FW]acl basic 2001[FW-acl-ipv4-basic-2001]rule 0 permit②调用规则[FW-GigabitEthernet1/0/2]nat outbound 2001# 配置PAT方式下的地址转换模式为EIM即只要是来自相同源地址和源端口号的且匹配ACL 2001的报文不论其目的地址是否相同通过PAT转换后其源地址和源端口号都被转换为同一个外部地址和端口号。[Device] nat mapping-behavior endpoint-independent acl 20019、负载分担内部服务器防火墙内网 三台FTP服务器 10.110.10.1/16、10.110.10.2/16、10.110.10.3/16防火墙外网 IP地址 202.38.1.1配置服务器地址组[FW]system-view[FW] nat server-group 0[FW-nat-server-group-0] inside ip 10.110.10.1 port 21[FW-nat-server-group-0] inside ip 10.110.10.2 port 21[FW-nat-server-group-0] inside ip 10.110.10.3 port 21[FW-nat-server-group-0] inside ip X.X.X.X port 21[FW] interface gigabitethernet 1/0/2[FW-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.1 ftp inside server-group 010、NAT DNS mapping前提条件某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中 Web服务器地址为10.110.10.1/16 FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1至202.38.1.3三个公网IP地址。另外公司在外网有一台DNS服务器 IP地址为202.38.1.4。# 开启DNS的NAT ALG功能。[FW]system-view[FW] nat alg dns[FW]GigabitEthernet1/0/2。[FW] interface gigabitethernet 1/0/2# 配置NAT内部Web服务器允许外网主机使用地址202.38.1.2访问内网Web服务器。[FW-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 http# 配置NAT内部FTP服务器允许外网主机使用地址202.38.1.2访问内网FTP服务器。[FW-GigabitEthernet1/0/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换。[FW-GigabitEthernet1/0/2] nat outbound# 配置两条DNS mapping表项Web服务器的域名www.example.com对应IP地址202.38.1.2FTP服务器的域名ftp.example.com对应IP地址202.38.1.2。[FW] nat dns-map domainwww.example.comprotocol tcp ip 202.38.1.2 port http[FW] nat dns-map domainftp.example.comprotocol tcp ip 202.38.1.2 port ftp11、NAT444端口静态映射内部网络用户10.110.10.1 10.110.10.10使用外网地址202.38.1.100访问Internet。内网用户地址基于NAT444端口块静态映射方式复用外网地址202.38.1.100外网地址的端口范围为1000115000端口块大小为500# 创建NAT端口块组1。[FW]system-view[FW] nat port-block-group 1# 添加私网地址成员10.110.10.1 10.110.10.10。[FW-port-block-group-1] local-ip-address 10.110.10.1 10.110.10.10# 添加公网地址成员为202.38.1.100。[FW-port-block-group-1] global-ip-pool 202.38.1.100 202.38.1.100# 配置端口块大小为500公网地址的端口范围为10001 15000。[FW-port-block-group-1] block-size 500[FW-port-block-group-1] port-range 10001 15000[FW-port-block-group-1] quit# 在接口GigabitEthernet1/0/2上配置NAT444端口块静态映射引用端口块组1。[FW] interface gigabitethernet 1/0/2[FW-GigabitEthernet1/0/2]nat outbound port-block-group 112、NAT444端口动态映射某公司内网使用的IP地址为192.168.0.0/16。该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现内部网络中的192.168.1.0/24网段的用户可以访问Internet其它网段的用户不能访问Internet。基于NAT444端口块动态映射方式复用两个外网地址202.38.1.2和202.38.1.3外网地址的端口范围为1024 65535端口块大小为300。当为某用户分配的端口块资源耗尽时再为其增量分配1个端口块。[FW]system-view[FW] nat address-group 0[FW-address-group-0] address 202.38.1.2 202.38.1.3[FW-address-group-0] port-range 1024 65535[FW-address-group-0] port-block block-size 300 extended-block-number 1[FW-address-group-0] quit# 配置ACL 2000仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。[FW] acl basic 2000[FW-acl-ipv4-basic-2000] rule permit any# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换并在转换过程中使用端口信息。[FW] interface gigabitethernet 1/0/2[FW-GigabitEthernet1/0/2] nat outbound 2000 address-group 013、DS-Lite B4端口块动态映射支持DS-Lite协议的私网IPv4主机即 DS-Lite host和公网IPv4 network通过IPv6网络相连。通过在DS-Lite host和AFTR之间建立DS-Lite隧道并在AFTR连接IPv4 network接口上配置NAT为DS-Lite host动态分配端口块实现IPv4私网穿越IPv6网络访问IPv4公网。# 配置接口GigabitEthernet1/0/1的地址。system-view[FW] interface gigabitethernet 1/0/1[FW-GigabitEthernet1/0/1] ip address 20.1.1.1 24# 配置接口GigabitEthernet1/0/2隧道的实际物理接口的地址。[FW] interface gigabitethernet 1/0/2[FW-GigabitEthernet1/0/2] ipv6 address 1::2 64# 创建模式为AFTR端DS-Lite隧道的接口Tunnel2。[FW] interface tunnel 2 mode ds-lite-aftr# 配置Tunnel2接口的IP地址。[FW-Tunnel2] ip address 30.1.2.2 255.255.255.0# 配置Tunnel2接口的源接口为GigabitEthernet1/0/2。[FW-Tunnel2] source gigabitethernet 1/0/2# 将Tunnel2接口加入到安全域IPv6Zone。[FW] security-zone name IPv6Zone[FW-security-zone-IPv6Zone] import interface Tunnel 2# 在接口GigabitEthernet1/0/1上开启DS-Lite隧道功能。[FW] interface gigabitethernet 1/0/1[FW-GigabitEthernet1/0/1] ds-lite enable# 配置NAT地址组0包含两个外网地址20.1.1.11和20.1.1.12外网地址的端口范围为1024 65535端口块大小为300。[FW] nat address-group 0[FW-address-group-0] address 20.1.1.11 20.1.1.12[FW-address-group-0] port-range 1024 65535[FW-address-group-0] port-block block-size 300# 配置IPv6 ACL 2100仅允许对1::/64网段的IPv6源地址进行地址转换。[FW] acl ipv6 basic 2100[FW-acl-ipv6-basic-2100] rule permit source 1::/64# 在接口GigabitEthernet1/0/1上配置出方向动态地址转换允许使用地址组0中的地址对匹配IPv6 ACL2100的DS-Lite B4报文进行源地址转换并在转换过程中使用端口信息。[FW] interface gigabitethernet 1/0/1[FW-GigabitEthernet1/0/1] nat outbound ds-lite-b4 2100 address-group 0