nat出接口地址关联由于匹配顺序导致转换错误地址

发布时间:  2013-12-18 浏览次数:  257 下载次数:  0
问题描述
    内网地址无法ping通公网地址,拓扑如下:(其中nat转换是在S9706的SPU板卡上)

告警信息
处理过程
    将出接口的nat地址匹配顺序变更一下,即可。如:
#
interface Eth-Trunk0.905
nat outbound 3000 address-group 2
nat outbound 3001 address-group 1
根因
    在SPU板卡上通过display nat session all brief查看nat表项,发现内网源地址10.184.8.39访问公网地址10.235.13.213的nat地址装换为172.26.147.141,但实际nat地址应该转换为172.26.147.154。通过查看配置,发现在出接口下符合这个公网访问地址nat转换地址有两个,如下面事例:
acl 3000
 rule 0 permit ip destination 10.235.13.213 0
#
acl 3001
rule 0 permit ip destination 10.235.13.0 0.0.0.255
#
     nat address-group 1 172.26.147.141 172.26.147.141
     nat address-group 2 172.26.147.154 172.26.147.154
#
interface Eth-Trunk0.905
 nat outbound 3001 address-group 1
 nat outbound 3000 address-group 2
    这样,访问公网的10.235.13.213这个地址的流量会优先匹配第一个nat转换地址,这样由于转换的地址错误,导致内网无法ping通公网。

建议与总结
    在出接口匹配nat转换地址时,需要考虑匹配顺序,放在前面的会优先匹配转换。

END