ACL中Deny配置导致多条NAT配置中第2条不生效

发布时间:  2014-10-22 浏览次数:  180 下载次数:  0
问题描述
客户需求:  acl中匹配的网段每个网段指定转化为一组公网地址。
故障描述:客户反馈 192.168.20.0/24 网段无法上网。
配置如下:
#
nat address-group 1 219.148.62.179 219.148.62.179
nat address-group 2 219.148.62.180 219.148.62.180
#
acl number 3000 
rule 5 permit ip source 192.168.10.0 0.0.0.255
rule 10 deny ip
acl number 3001 
rule 5 permit ip source 192.168.20.0 0.0.0.255
rule 10 deny ip
#
interface GigabitEthernet0/0/1
ip address 219.148.62.178 255.255.255.240
nat outbound 3000 address-group 1
nat outbound 3001 address-group 2 

处理过程
可能原因:
1.转化的address-group 2 IP地址冲突
2.acl中的deny选项就数据直接丢弃。
3.nat session转化表异常。

操作过程:
1.查看log日志中并没有IP地址冲突告警。叫客户测试将nat outbound 3000 address-group 1 删除后 192.168.20.0/24网段能上网 排查IP地址冲突的可能性。
2.查看acl匹配表发现:
<Huawei>dis acl 3000
Advanced ACL 3000, 2 rules
Acl's step is 5
rule 5 permit ip source 192.168.10.0 0.0.0.255 (2 matches)
rule 10 deny ip (4  matches)
  rule 10 deny 项有匹配次数。将问题锁定为acl deny项导致。
根因
产品文档中对于ACL  deny 解释为拒绝符合条件的报文。

 
解决方案
将acl3000 和acl3001中 的deny匹配项删除 即可。
建议与总结
多条nat 匹配顺序 按配置顺序。 ACL中的DENY  一般都是就数据直接丢弃,很多产品都是包括交换机、AR系列路由器和防火墙。

END