ME60(v6r2)由于策略下发错误导致nat不成功

发布时间:  2011-02-23 浏览次数:  109 下载次数:  0
问题描述
版本:ME60 V600R002C02SPC200,配置nat后用户ping不通外网,无会话生成
nat配置如下:
acl number 6100
 rule 1 permit ip source user-group pppoe destination ip-address any
#
traffic classifier 6100 operator or
 if-match acl 6100
#
traffic behavior 6100
 nat bind instance 1
#
traffic policy action
 classifier 6100 behavior 6100 precedence 1
#
nat instance 1
 add slot 2 master
 nat address-group 1 *.*.*.* (公网地址)
 nat outbound any address-group 1
#
 domain ceshi
  authentication-scheme none
  accounting-scheme none
  ip-pool pool1
  user-group pppoe 
 #
interface GigabitEthernet4/1/1.1998
 pppoe-server bind Virtual-Template 1
 traffic-policy action inbound
 user-vlan 1998
 bas
 .......
使用命令查看会话为空
<JCHDS-MC-CMNET-BS001>display nat session table  slot 2
  This operation will take a few minutes. Press 'Ctrl+C' to 
处理过程

1、检查设备已经加载license
2、检查上层设备已经配置了nat address-group地址的回程路由
3、检查配置发现traff-policy在接口下发的,经过确认bas侧业务在接口下发策略不生效,必须要在全局下发,重新在全局下发后能正常nat转发,使用命令display nat session table slot 2 能看到会话生成

根因
1、ME60没加载license;
2、路由问题,上层设备未做nat address-group地址的回程路由;
3、设备配置或版本问题;
解决方案

N/A

建议与总结
ME60 v6r2版本的nat流策略应用注意:
1、bas侧业务(即domain方式配置的业务),流策略必须要在全局应用 (手册中的nat配置举例有错误,它是在接口下发的);
2、对于来自网络侧三层接口的流量,在三层接口下应用流策略;
3、对于来自网络侧二层接口的流量,在二层接口下应用流策略;

END