ar2200 双出口NAT SERVER失败

发布时间:  2016-12-26 浏览次数:  462 下载次数:  0
问题描述
版本信息:
V200R005C20SPC200

组网概述:
AR2200接两个运营商,电信,移动网络

组网拓扑:


配置脚本:
acl name to_Internet 2999                 
 rule 5 permit source 192.168.1.0 0.0.0.255 
 rule 100 deny                            
#                                         
acl name Mobile_2_Internet 3001            
 rule 10 permit ip source 192.168.10.0 0.0.0.255 

acl number 3002                           
 rule 5 permit ip                         

#                                         
traffic classifier mobile_c operator or   
 if-match acl Mobile_2_Internet           
traffic classifier telcom_c operator or   
 if-match acl 3002                                               
#                                         
traffic behavior mobile_b                 
 redirect ip-nexthop 112.14.187.137       
traffic behavior telcom_b                 
 redirect ip-nexthop 60.190.54.253                
#                                         
traffic policy pp                          
 classifier mobile_c behavior mobile_b    
 classifier telcom_c behavior telcom_b    
interface GigabitEthernet0/0/0            
 ip address 192.168.254.1 255.255.255.0   
 traffic-policy pp inbound                
#                                         
interface GigabitEthernet0/0/1            
 description Telcom_Wan                   
 tcp adjust-mss 1460                      
 ip address 60.190.*.* 255.255.255.252 
 nat static protocol tcp global current-interface 810 inside 192.168.1.228 810 netmask 255.255.255.255
 nat static protocol tcp global current-interface 4430 inside 192.168.1.253 443 netmask 255.255.255.255
 nat outbound 2999                        
#                                         
interface GigabitEthernet0/0/2            
 description Mobile_Wan                   
 tcp adjust-mss 1460                      
 ip address 112.14.*.* 255.255.255.252
 nat static protocol tcp global current-interface 810 inside 192.168.1.228 810 netmask 255.255.255.255
 nat static protocol tcp global current-interface 4430 inside 192.168.1.253 443 netmask 255.255.255.255
 nat outbound 3001        
#
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 60.190.*.* preference 200 description Telcom_Wan
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 112.14.*.* preference 220 description Mobile_Wan
ip route-static 192.168.1.0 255.255.255.0 GigabitEthernet0/0/0 192.168.254.254
#

故障现象:
只有电信可以通过外网地址进行访问,移动无法访问到服务器


处理过程
1.检查路由器配置,发现流策略修改了服务器回包出口的下一跳,只指向了电信网络,修改策略,将服务器IP地址从流策略中排除
ACL number 2999
rule 5 permit source 192.168.1.138
rule 10 permit source 192.168.1.228
rule 100 deny any
traffic classifier server operator or
 if-match acl 2999
traffic behavior server
traffic policy pp
 classifier server behavior server
 classifier mobile_c behavior mobile_b    
 classifier telcom_c behavior telcom_b 
 
2.服务器IP通过流策略排除以后,依然无法通过移动访问,检查NAT会话表,检查会话后发现,电信和移动的NAT转换均已成功,确定问题出现在回包方向






3.检查用户设备版本,V2R5版本可以支持源进源出,检查用户NAT会话表,发现为同一个源,无法实现源进源出,建议用户更换源测试


4.用户使用2个不同运营商源进行测试,发现依然无法实现双出口NAT SERVER,检查NAT会话,NAT转换已经完成


5.问题依旧出现在回包方向,流策略已经去除,回包应该使用默认路由回包,查看路由表发现只有一条默认路由


6.检查配置发现之前配置的默认路由不是同优先级导致回包只从电信回包,导致NAT SERVER失败

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 60.190.*.* preference 200 description Telcom_Wan
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 112.14.*.* preference 220 description Mobile_Wan

7.配置为相同路由优先级,问题解决

ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 60.190.*.* preference 200 description Telcom_Wan
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 112.14.*.* preference 200 description Mobile_Wan
根因

默认路由优先级不同导致回包只从一个出接口回包

解决方案
配置默认路由为等价路由
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 60.190.54.253 preference 200 description Telcom_Wan
ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet0/0/2 112.14.187.137 preference 200 description Mobile_Wan
建议与总结

1.AR路由器支持源进源出,但是必须要是不同源

2.AR路由器源进源出必须配置等价默认路由

3.检查配置需耐心仔细,原配置优先级一个为200,一个为220,一直未发现默认路由优先级不同,导致根因找到,无法排除

END