ME60 双线NAT需求

发布时间:  2016-01-21 浏览次数:  198 下载次数:  2
问题描述

网络拓扑如下:

ME60 V600R008C10SPC300

 

 

用户A-----路由器----ME60------网络1

                ------网络2  

 

用户A地址190.1.100.1通过路由接到ME60通过IPOE三层认证计费,通过认证后做NAT转换访问两个网络 

测试使用190.1.100.1 ping 10.202.162.1   应该转换成10.202.192.1 10.202.195.254里面的地址

使用190.1.100.1 ping 223.6.150.1      应该转换成10.18.16.64 10.18.16.120里面的地址

 

目前单独ping上面的地址会正常NAT转换,同时PING上面的地址转换不正常

 

客户配置:

nat instance shebao_out id 1
service-instance-group 1
nat address-group shebao_out group-id 1 10.202.192.1 10.202.195.254
nat outbound any address-group shebao_out
nat instance internet_out id 2
service-instance-group 1
nat address-group internet_out group-id 2 10.18.16.64 10.18.16.120
nat outbound any address-group internet_out

traffic policy shebaopol
share-mode
traffic policy all-in
share-mode
statistics enable                       
classifier internet_out behavior internet_out
classifier shebao_out behavior shebao_out

 

 

告警信息
需求实现类问题,无告警
处理过程

通过查询ME60 nat session ,发现同一IP地址,会匹配中第一次NAT 的session ID, 后续报文不会根据路由选接口做相应的NAT 转换。

 

根因

原理:

同一个IP地址首次命中NAT 后,后续报文报文会根据ME60 中的NAT session ID 进行转发,因此访问其他目的时,只要IP地址不变,NAT 转换后的IP 是不变的(不会根据你路由做NAT)。

根因 :做NAT 时,NTA session ID的优先级高于路由表的优先级

解决方案

分别按照如下建立2组NAT映射,匹配源IP地址为any。(完整配置在附件中)

END