双机热备时nat业务时通时断

发布时间:  2012-07-17 浏览次数:  87 下载次数:  0
问题描述

NAT的典型组网中,PC用户或者手机用户通过NAT转换上网出现时通时不通的现象

告警信息
处理过程
双机热备组网做NAT转换时,配置NAT时没有携带VRRP ID。
执行命令display current-configuration | include nat,查看双机热备下,NAT地址池的配置是否带了VRRP ID。
HRP_M<USG5300>display  current-configuration | include nat
nat address-group 0 global 2.2.0.0 inside 2.2.15.255 vrrp 2
双机热备组网环境中,配置NAT Server或NAT地址池时不添加VRRP ID会导致USG5300上行设备ARP学习错误。因为当USG5300接口Up时,会为与本接口地址在同一网段的的NAT地址池地址和NAT Server的global地址发送免费ARP。如果没有配置VRRP ID,免费ARP中携带的是该接口的实际MAC地址,上行设备会学习到主、备USG5300的接口MAC地址,导致ARP表项错误。如果配置了VRRP参数,发送的免费ARP中携带VRRP虚拟MAC地址,上行设备学习到的ARP表项才是正确的。
执行命令nat address-group group-number [ address-group-name ] start-address end-address [ vpn-instance vpn-instance-name [ vrrp virtual-router-ID ] ],修改NAT地址池的配置。
如: HRP_M[USG5300]nat address-group 1 2.2.2.3 2.2.2.5 vrrp 2
执行命令nat server [ zone zone-name ] global global-address inside host-address [ vrrp virtual-router-ID | vpn-instance vpn-instance-name ] * [ no-reverse ]

nat server [ zone zone-name ] protocol protocol-typeglobal global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-ID | vpn-instance vpn-instance-name ] * [ no-reverse ],修改NAT Server的配置。
如: HRP_M[USG5300]nat server global 6.6.6.3 inside 2.2.2.3 vrrp 3
根因

双机热备组网做NAT转换时,配置NAT时没有携带VRRP ID

建议与总结
在配置nat的时候,需要特别注意双机热备中的配置

END