下一跳配置错误导致NAT不通

发布时间:  2012-07-18 浏览次数:  148 下载次数:  5
问题描述
USG9110下用户做NAT,数据配置完成后不能访问外网。
告警信息
处理过程
1、 把笔记本直接接公网测试,没有问题,排除网络原因。
2、 检查配置,发现静态路由的配置为:
ip route-static 211.148.160.0 255.255.224.0 Eth-Trunk0
更改为:
ip route-static 192.168.10.0 255.255.255.0 172.20.15.222
后ok。
根因
1、链路问题。
 2、配置问题、如路由等。本例就是静态路由的下一跳配置问题导致NAT后的用户不通。
建议与总结

在配置静态路由时,可指定出接口,也可指定下一跳。指定出接口还是指定下一跳要视具体情况而定。下一跳不能为本地接口IP地址,否则路由不会生效。实际上,所有的路由项都必须明确下一跳地址。在发送报文时,首先根据报文的目的地址寻找路由表中与之匹配的路由。只有指定了下一跳,链路层才能找到对应的链路层地址,并转发报文。
指定出接口时需要注意:

1、对于Null0和Loopback接口,配置了出接口就不再配置下一跳。

2、 对于点到点接口,即使不知道对端地址,也可以在路由器配置时指定出接口。这样,即使对端地址发生了改变也无须改变该路由器的配置。如封装PPP协议的接口,通过PPP协商获取对端的IP地址,这时可以不指定下一跳,只需指定出接口即可。

3、对于NBMA、P2MP等接口,它们支持点到多点网络,这时除了配置IP路由外,还需在链路层建立二次路由,即IP地址到链路层地址的映射。通常情况下,建议在配置出接口时,同时配置下一跳。

4、在配置静态路由时,建议不要直接指定广播类型接口作出接口(如以太网接口、Virtual-Template、VLAN接口等)。因为广播类型的接口,会导致出现多个下一跳,无法唯一确定下一跳。在某些特殊应用中,如果必须配置广播类型接口为出接口,则必须同时指定其对应的下一跳。

END