内网用户因NAT配置错误上外网不正常

发布时间:  2012-07-18 浏览次数:  170 下载次数:  0
问题描述
设备型号:USG5320 V100R003
用户双线接入,有两个内网,如图一
图一

配置完成后出现内网1可以正常上网,内网2不能正常上网,速度慢,经常不能开网页.
告警信息
处理过程
用户在trust到联通域间应用的NAT策略中,policy 0是电信的NAT,内网2的数据流会先匹配policy0,转换为电信的接口公网IP从联通线路出去,可以到达目的端,但回来的数据流会走电信线路回来,来回走不同的运营商,会引起访问速度慢和经常不能开网页的现象.
删除电信的NAT配置后正常,如下配置
 
nat address-group 1 1.1.1.1 1.1.1.1电信地址池
nat address-group 2 2.2.2.2 2.2.2.2联通地址池
nat-policy interzone trust liantong outbound 联通域间
policy 1
action source-nat
policy source 192.168.2.0 0.0.0.255
policy source 192.168.1.0 0.0.0.255
address-group 2联通地址池
根因
  1. 检查路由配置---正常
  2. 检查联通线路----正常
  3. 检查包过滤-------正常
  4. 检查NAT配置----发现配置异常
nat address-group 1 1.1.1.1 1.1.1.1电信地址池
nat address-group 2 2.2.2.2 2.2.2.2联通地址池
nat-policy interzone trust liantong outbound 联通域间
policy 0
action source-nat
policy source 192.168.1.0 0.0.0.255
policy source 192.168.2.0 0.0.0.255
address-group 1电信地址池

policy 1
action source-nat
policy source 192.168.2.0 0.0.0.255
policy source 192.168.1.0 0.0.0.255
address-group 2联通地址池
建议与总结
多线路出口环境中,域间NAT地址池只能调用各自的公网接口IP

END