R3640E ACL配置错误导致NAT转换失败

发布时间:  2012-07-26 浏览次数:  87 下载次数:  0
问题描述
R3640E从VRP1.56升级到VRP 1.74-0118后做NAT转换后不能被公网Ping通,不能Telnet。
告警信息

处理过程
1、业务正常,能从路由器内部Ping通公网,上行设备学习Arp等都正常,没有做任何Telnet和Icmp过滤。
2、在上行设备上ping R3640E公网口E0 的IP地址并debug ip icmp发现在不能ping通的同时,回应的echo reply都是Nat地址池里面的IP地址,而不是接口IP地址。
3、在R3640E上debug nat发现地址池的IP在循环做转换,端口号依次增长,具体如下:
debug ip icmp信息:
ICMP Send: echo(Type=8, Code=0), Dst = 211.91.34.194
*1.2467745315 LS_S8505 IP/8/debug_icmp:
ICMP Receive: echo-reply(Type=0, Code=0), Src = 211.91.34.197, Dst = 211.91.34.193
*1.2467886215 LS_S8505 IP/8/debug_icmp:
debug nat信息:
NAT_Forword(Ethernet0):TCP packet(211.91.34.196:40636)---->(211.91.34.197:40637)(Ethernet0-out :)Find a RST TCP Packet 
NAT have Translated IP Address!
(Ethernet0 :)Nat enable,Deliver packet to Nat.
(interface:Ethernet0) NAT Access enable
NAT_Forword(Ethernet0):TCP packet(211.91.34.197:40637)---->(211.91.34.198:40638)(Ethernet0-out :)Find a RST TCP Packet
NAT have Translated IP Address!
(Ethernet0 :)Nat enable,Deliver packet to Nat.
(interface:Ethernet0) NAT Access enable
NAT_Forword(Ethernet0):TCP packet(211.91.34.198:40638)---->(211.91.34.196:40639)(Ethernet0-out :)Find a RST TCP Packet
NAT have Translated IP Address!
(Ethernet0 :)Nat enable,Deliver packet to Nat.
(interface:Ethernet0) NAT Access enable
NAT_Forword(Ethernet0):TCP packet(211.91.34.196:40639)---->(211.91.34.197:40640)(Ethernet0-out :)Find a RST TCP Packet
NAT have Translated IP Address!
(Ethernet0 :)Nat enable,Deliver packet to Nat.
(interface:Ethernet0) NAT Access enable
NAT_Forword(Ethernet0):TCP packet(211.91.34.197:40640)---->(211.91.34.198:40641)(Ethernet0-out :)Find a RST TCP Packet
NAT have Translated IP Address!
(Ethernet0 :)Nat enable,Deliver packet to Nat.
(interface:Ethernet0) NAT Access enable
NAT_Forword(Ethernet0):TCP packet(211.91.34.198:40641)---->(211.91.34.196:40642)(Ethernet0-out :)Find a RST TCP Packet
NAT have Translated IP Address!
(Ethernet0 :)Nat enable,Deliver packet to Nat.
(interface:Ethernet0) NAT Access enable
NAT_Forword(Ethernet0):TCP packet(211.91.34.196:40642)---->(211.91.34.197:40643)(Ethernet0-out :)Find a RST TCP Packet
NAT have Translated IP Address!
4、检查配置发现,进行地址转换的acl 3002是permit any的。至此确认是将NAT地址池地址也进行NAT转换导致的紊乱,将acl 3002修改为permit 不包含接口网段的地址段后,正常。
根因

建议与总结
在配置nat outbound的ACL时候,一定要精确匹配。

END