所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - NAT与IPv6过渡技术 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAT配置注意事项

NAT配置注意事项

配置注意事项

规避措施

影响性

CGN用户域下配置或者RADIUS认证下发策略路由不生效。

在NAT实例下配置策略路由功能。

策略路由不生效。

二层专线下用户不支持分布式NAT。

避免在二层专线下用户上部署分布式NAT。

NAT业务不生效。

NAT实例下不支持配置IPv6地址是直连网段的IPv6重定向。

无规避方案。

重定向失败。

ALG不支持处理TCP分片报文。

通常情况下,TCP报文长度不会超过最大分段大小MMS(Maximum Segment Size),不会产生TCP分片。

无规避方案。

TCP分片报文不丢弃,直接透传。

ALG会话不支持热备份。

无规避方案。

ALG会话热备功能失败。

ICMP会话不支持热备份。

无规避方案。

ICMP热备功能失败。

FTP不支持做ALG的两种场景:私网客户端以passive模式访问公网服务器。公网客户端以port模式访问私网服务器。

此种情况,控制会话与数据会话没有建立关联关系。影响点:数据下载过程中控制会话会被老化。

无规避方案。

文件可以正常传输成功,但是FTP界面显示传输失败。

ALG不支持处理大于2048字节的报文。

无规避方案。

对功能无影响。

ALG支持基于TCP的RTSP协议。不支持基于UDP的RTSP协议。支持基于UDP的SIP协议。不支持基于TCP的SIP协议。

无规避方案。

对功能无影响。

在同一个LS的不同VS下创建的NAT实例、Service-location、Service-instance-group不能配置相同的名称或ID。

同一个LS的不同VS下创建的NAT实例、Service-location、Service-instance-group使用不同的名称或ID。

同一个LS的不同VS下创建的NAT实例、Service-location、Service-instance-group不能配置相同的名称或ID。

在同一个LS的不同VS下创建的DS-Lite实例、NAT64实例、Service-location、Service-instance-group不能配置相同的名称或ID。

同一个LR的不同VR下创建的DS-Lite实例、NAT64实例、Service-location、Service-instance-group使用不同的名称或ID。

同一个LS的不同VS下创建的DS-Lite实例、NAT64实例、Service-location、Service-instance-group不能配置相同的名称或ID。

随板NAT支持的VPN场景中,VPN NAT私网用户无法通过Telnet、FTP方式连接NAT设备。

配置VPN交叉,将NAT设备路由引入到私网VPN。或在引流板配置ACL规则进行规避。

私网VPN用户无法Telnet、FTP方式连接设备。

VSUF单板会话数License、带宽增强License、DS-Lite功能License、NAT64功能License,这些License文件加载成功之后,需要通过命令行为VSUF单板或CPU进行配置激活。

当设备上的License资源比命令行配置激活所需的资源少时,整机重启后License文件生效的单板或CPU可能发生变化。

合理规划,保证License资源充足。

整机重启后License生效的单板或CPU与重启前不一致,业务可能会中断。

出接口部署NAT策略,通过路由查找流量出接口,无法做到源进源出,即不能直接从原始流量的入接口返回。

业务需要源进源出的场景无法满足。

端口级NAT Server场景下,或实例下未使能nat server-mode功能的地址级NAT Server场景下,需要配置地址池(集中板场景下还需要绑定Outbound策略),否则用户流量无法正常转发。

配置地址池(集中板场景下还需要绑定Outbound策略)。

NAT Server对应的用户流量不通。

EasyIp场景(NAT地址池/Server公网地址和接口地址复用),在用户侧接口下配置NAT引流策略或者全局UCL引流策略时,从用户侧发起向被复用的接口地址的ping操作失败。

Ping操作无法成功执行。

EasyIp场景(NAT地址池/Server公网地址和接口地址复用),建议不要使用被复用的接口地址作为BGP等协议的交互地址,否则当NAT业务板出现流量拥塞时,源或目的地址为接口地址、类型为TCP/UDP/ICMP/GRE的非NAT业务报文可能会被丢弃,可能导致协议出现中断。

配置QoS简单流或者复杂流,修改协议报文内部优先级可以降低协议报文丢弃机率(仅对VSUF单板板场景生效)。

发送到借用接口上的协议报文,如BGP协议报文,处理失败。

NAT动态负载分担场景下,当实例下某CPU故障恢复或者实例下添加负载分担成员时:
  • 对于其他原CPU上的分布式用户不会受影响、新用户可以从新CPU上线。
  • 对于其他原CPU上的集中式用户,部分用户会切到新CPU上、流量需要中断重新建流。

    当地址资源充足时未切到新CPU上的用户不受影响,当地址资源不足触发整合空洞端口回收地址资源时、未切到新CPU上的集中式用户也可能流量会中断重新新建。

    因此建议在动态负载分担场景,预留30%的公网地址数量,以保障故障恢复、扩容场景能够快速切换。

原集中式用户部分会断流,原分布式用户不会自动重新负载分担到新CPU上。

CGN框间热备场景下,RBS备份链路、CGN VRRP状态通道、CGN数据备份链路需要配置多链路保护,否则当上述链路中断时,可能会导致部分用户业务中断。

为RBS备份链路、CGN VRRP状态通道、CGN数据备份链路配置多链路保护。

链路中断时可能导致用户业务中断。

CGN框间热备场景下,CGN数据备份链路需要保证有足够的带宽供数据备份和流量绕行,需要为每个CPU预留1.6G带宽供框间用户表、流表等数据备份,需要预留使用此备份链路的CPU最大转发能力之和的带宽供流量绕行。

为CGN数据备份链路预留足够的带宽。

中间链路带宽不足时会导致部分流量绕行时带宽不足被丢弃。

CGN框间热备场景下,多RUI VRRP对应一个CGN HA时,需配置保证RUI主备与CGN主备一致。

配置RUI使用的VRRP和CGN使用的VRRP track相同的内容,实现主备一致。

不一致时正常场景下就会有大量流量绕行中间链路。

CGN框间热备场景下,对应协商CGN主备的VRRP必须选择ignore-if-down参数。

VRRP下配置ignore-if-down命令。

不配置ignore-if-down参数,中间链路故障时,CGN主备框VRRP都是init状态,对整个业务有影响。

CGN框间热备场景下,中间备份链路上MTU的需要设置不少于1500。

中间链路MTU配置不少于1500。

MTU过小可能导致备份失败。

CGN框间热备场景下,中间备份链路使用Eth-Trunk子接口或GE子接口时,需配置子接口的封装类型及关联的VLAN ID,且不支持使用终结模式子接口。

功能互斥。

集中式备份分布式NAT功能与框间备份、NAT Easy-IP、NAT出接口引流策略、IP Change功能互斥。

功能互斥。

集中式NAT备份分布式NAT场景下,分布式NAT设备和集中式NAT设备上不能使用相同的NAT公网地址,因此也不支持NAT Server功能的备份,不支持Port-forwarding功能的备份。

为不同的NAT设备规划不同的公网地址。

集中式设备与分布式设备需要使用不同的公网地址。不支持NAT Server、Port-forwarding功能的备份。

集中式NAT备份分布式NAT场景下,需要配置不同的私网地址或不同的VPN,规划保证不同分布式NAT设备的私网地址路由发布到集中式NAT设备后不能重叠。

规划不同分布式NAT设备上的私网地址路由发布到集中式NAT设备后不重叠。

私网路由重叠时会导致反向流无法正确转发,流量不通。

集中式备份分布式CGN功能,用户使用VPN接入,且NAT实例下配置重定向下一跳为VPN隧道场景,限制用户侧使用的VPN实例要与VPN隧道使用的VPN实例相同,一个NAT实例只支持一个用户VPN接入。

合理部署。

非实例下配置的重定向下一跳VPN的私网流量会被丢弃。

分布式用户在线时:
  • 不能使能或去使能port-single功能。
  • 不能解除service-instance-group。
  • 不能解除被实例绑定的service-instance-group下绑定的service-location。
  • 不能在非port-range模式与port-range模式间切换。
  • 不能修改port-range模块下的扩展分配端口范围。
  • 不能修改port-range模式下的扩展分配次数。
  • 不能进行三元组和五元组切换。
  • 不能解绑outbound。
  • 不能删除实例。

将用户下线或者提前规划好配置,避免配置变更。

需要将用户下线才能变更配置。

强制定时更改私网用户的公网IP功能,当地址池资源不足时,同一个用户可能前后两次分配到相同的公网IP。

预留充足的地址池资源。

用户使用的公网IP未变化。

DNS-MAPPING场景只支持地址级NAT Server,不支持端口级NAT Server。

不支持端口级NAT Server。

NAT44出接口引流支持叠加MPLS如下场景:
  • MPLS IP,出接口是物理口。
  • MPLS IP/L3VPN over TE,包括TE、TE FRR、TE Detour FRR、TE负载分担、TE保护组。
  • MPLS IP/L3VPN over LDP,出接口是物理口,包括LDP、LDP FRR、LDP负载分担、LDP RLFA。
  • MPLS IP/L3VPN over LDP over TE,包括TE、TE FRR、TE Detour FRR、TE负载分担、TE保护组。
  • MPLS IP/L3VPN over BGP over TE,包括TE、TE FRR、TE负载分担、TE保护组。
  • MPLS IP/L3VPN over BGP over LDP,出接口是物理口,包括LDP、LDP FRR、LDP负载分担、LDP RLFA。
  • MPLS IP/L3VPN over BGP over LDP over TE,包括TE、TE FRR、TE负载分担、TE保护组。
  • MPLS IP/L3VPN SRTE,包括Node标签、Link标签。

不支持叠加其他MPLS场景,可能出现流量不通或功能失效(如不能负载分担、不能快速切换等)。

Web叠加CGN场景下,前后域不能分别绑定NAT和DS-Lite两种不同实例类型。

合理规划,前后域只绑定相同的实例类型。

前后域绑定不同的实例类型时,前后域切换时用户可能会下线。

Web叠加CGN场景下,前后域需要绑定相同的NAT44实例,否则会导致无法推送切换成功的Portal。

合理规划,前后域绑定相同的NAT44实例。

前后域绑定不同的NAT44实例时,会导致Portal强推失败。

Web认证叠加CGN场景,前域用户不能直接访问Portal服务器进行认证,必须通过访问其它网站强制到其它Portal服务器,实现Web认证的目的。

Web认证场景,前域用户不能直接访问Portal服务器输入用户名和密码实现Web认证的目的。

同一台设备内,支持同一条流既做NAT又做IPSec的场景如下:

(1)仅支持NAT入接口引流方式,用户侧到网络侧的流量先在私网入口匹配流策略送到NAT单板进行NAT转换,再查路由送到IPSec隧道进行加密处理。

(2)需要划分专门的NAT实例,使用专门的地址池,不支持复用接口地址的EasyIp方式。

其他场景下不支持同一台设备内,同一条流既做NAT又做IPSec。

在其他场景下,同一台设备内的同一条流通过配置既做NAT又做IPSec,流量可能转发不通。

叠加CGN后,网络侧到用户侧方向,不支持网络侧基于用户的inbound方向匹配traffic policy。私网用户互访的场景(用户到用户方向),不支持outbound方向匹配源用户的traffic policy。

配置的traffic policy不生效。

在简化NAT实例下不能再进行NAT 地址池或NAT Server的配置。

请合理规划业务。

请用户按照配置简化NAT部署方案进行业务部署。

配置简化NAT实例与配置分布式NAT功能、配置PCP、配置IPChange、配置基于用户信息的会话数限制互斥。

请合理规划业务。

请用户按照配置简化NAT部署方案进行业务部署。

配置简化NAT功能时,需要先将简化NAT实例配置完毕后才能配置NAT地址池和NAT Server;若未配置简化NAT实例,则不允许配置简化NAT功能使用的NAT地址池和NAT Server。

请按顺序正确配置业务。

请用户按照配置简化NAT部署方案进行业务部署。

配置简化NAT实例时会默认生成HA备份组与HA业务实例组的配置信息,该默认创建的配置信息不允许被非配置简化NAT实例/DS-Lite实例/NAT64实例使用。

请合理规划业务。

请用户按照配置简化NAT部署方案进行业务部署。

配置简化NAT实例会按照defalut命名默认生成HA备份组与HA业务实例组的配置信息,如果设备上已经存在该命名的HA备份组与HA业务实例组的配置信息,则配置简化NAT实例创建失败。

请合理规划业务。

请用户按照配置简化NAT部署方案进行业务部署。

同一个DS-Lite实例,不支持既做框间热备,又做集中式备份集中式。

请合理规划业务。

请用户按照配置DS-Lite集中式备份集中式的部署方案进行业务部署。

部署DS-Lite集中式备份集中式功能时,两台DS-Lite集中式设备需要配置不同的NAT公网地址。

请合理规划业务。

请用户按照配置DS-Lite集中式备份集中式的部署方案进行业务部署。

对于CGN框间热备,需要保证用于决策CGN主备状态的VRRP和HA业务实例组一一对应,以支持CGN主备的独立切换行为。

为不同的HA业务实例组规划不同的VRRP。

CGN框间场景不同HA业务实例组使用相同VRRP场景下,当主备机上不同的HA业务实例组故障时,该VRRP联动这些HA业务实例组进行主备决策,会造成HA业务实例组主备状态异常,导致业务受损。

当配置TCP用户日志模式后,去使能NAT业务引擎时,该引擎上的用户日志传输通道会被删除,用户下线日志无法发送,导致服务器无法收集并记录该日志。

如果客户需要记录用户下线日志时,需先手工下线用户,再去使能NAT业务引擎。

影响CGN用户下线日志的记录。

对于分布式CGN场景,通过ACL策略选择地址池时,ACL策略只允许包含用户信息,即只包含用户的地址和VPN相关信息。

请合理规划业务。

ACL策略包含了其他信息时,会出现无法命中ACL策略导致获取公网资源失败,从而导致NAT处理失败。

对于EasyIp功能,请不要使用被复用的接口地址作为FTP(PASV模式)、NQA、Radius服务器的交互地址,否则当正向流量已经建立后,对于TCP/UDP/ICMP/GRE的非NAT业务报文可能会被误引流导致协议出现中断。

对于端口号大于1024且明确的端口,通过在实例视图下配置exclude-port命令的方式过滤端口号;对于端口号大于1024且不明确的端口,需要规划明确。

接口地址被EasyIP使用后,非NAT的报文会被误引流做NAT。

通过带地址池的IP作为源IP,ping公网的接口地址,如果ping reply报文分成3片及以上,会无法ping通。

避免Ping cgn公网地址池地址或者Ping报文不要超过接口MTU

Ping 公网的接口地址,如果ICMP报文分片超过3片,导致无法Ping通。

在路由负载分担多等价出接口场景下,上行流量查路由时使用源IP地址作为哈希因子进行哈希,寻找到对应的出接口为;在该出接口下命中ACL规则引流做NAT后源IP地址会被替换,此时再根据新的源IP地址进行哈希时对应的出接口可能会改变。

合理规划

NAT ALG报文不支持HA备份场景。

转发面性能告警、建流速率控制基于单板级别,不支持VS粒度。

Forwarding plane performance alarms and flow creation rate control cannot be controlled based on the VR granularity.

简化NAT仅支持出接口引流,可以将引流策略绑定到实例,也可以将引流策略绑定到地址池,在一个接口下两者只能绑定一个。

用户规划明确

请用户按照配置简化NAT部署方案进行业务部署。

下载文档
更新时间:2018-07-12

文档编号:EDOC1100028549

浏览量:20043

下载量:205

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页