ME60上NAT部署手册.docx
《ME60上NAT部署手册.docx》由会员分享,可在线阅读,更多相关《ME60上NAT部署手册.docx(12页珍藏版)》请在冰豆网上搜索。
ME60上NAT部署手册
ME60上NAT部署手册
文档名称文档密级:
V6R2版本NAT应用场景配置说明
一、概述
NAT(NetworkAddreTranlation,网络地址转换)是一种IP地址共享的技术,用来解决随着Internet规模的日益扩大而带来的IPv4合法地址短缺的问题。
利用NAT技术,可以实现多用户同时使用少量的合法IPv4地址进行Internet访问,并且这种Internet访问对于大多数应用程序是透明的,无需在客户端进行任何特殊配置。
每个用户只拥有私有的IP地址,用户相互之间访问时使用这个地址。
在进行Internet访问时,这个私有的IP地址在私有网络的出口处被临时替换为一个合法的IP地址,同时这种映射关系被记录下来,以使返回的报文可以进行反方向的IP地址替换。
这种映射关系一直持续到本次访问结束。
二、NAT应用场景
NAT有两种基本实现方式:
PAT(PortAddreTranlation)方式:
同时替换报文中的IP地址和端口号。
NoPAT方式:
只替换报文中的IP地址。
PAT可以实现更高效的IP地址共享,是地址转换中最常用的方式。
应用场景重点对pat方式进行说明。
如下图所示:
用户获取一个私网地址192.168.1.10;当用户需要访问网络时,发送一个源IP为
192.168.1.10,源端口为688的UDP报文,通过nat转换为公网地址212.112.10.100,端口为10250的UDP报文,访问网络资源。
对于不同的目的ip、目的端口转换成不同的地址。
2.1基于UCL匹配的nat转换功能
2022-7-25
华为机密,未经许可不得扩散
第1页,共20页
文档名称文档密级:
一个运营商网络的上线用户通过ME60设备的网络地址转换功能连接到Internet。
ME60设备的NAT板分别插在3号槽位、4号槽位上。
用户通过以太网接口GE1/0/0在ME60上线,上线分配私网地址网段为10.10.0.0/16。
ME60设备通过接口POS2/0/0与Internet相连,运营商具有202.38.160.1/24的公网地址。
1)配置用户上线私网地址池、用户组等,实现用户上线功能//配置地址池
ippool1balocal
gateway10.10.0.1255.255.0.0ection010.10.0.110.10.254.254
//配置uer-group,用户匹配用户上线的流量,来做nat转换
uer-group1
//配置用户上线的domain,其中认证方式采用不认证
domain1
authentication-chemedefault0accounting-chemedefault0ip-pool1uer-group1
//配置用户上线接口,实现用户上线interfaceGigabitEthernet1/0/0.2uer-vlan100uer-vlan100qinq1ba
acce-typelayer2-ubcriber
2)配置NAT实例。
有2块nat板,其中3为mater,4为lave;如果只有一块板则只
配置mater即可
natintance1addlot3mater
2022-7-25
华为机密,未经许可不得扩散
第2页,共20页
文档名称文档密级:
addlot4lave
nataddre-group1202.38.160.1202.38.160.254//公网地址池
natoutboundanyaddre-group1//做nat的acl与公网地址池的对应关系,可以做到不同的流匹配到不同的公网地址池,acl只能配置2000~3999,由于nat板上不识别用户,所以对于用户acl6000的流,需要剥离uer-group,重新配置acl3000范围的
3)配置trafficpolicy并在系统视图下应用,使满足一定条件的用户流量做nat转换
aclnumber6000//接入用户的acl需要配置6000以上的rule5permitipourceuer-group1
trafficclaifiernatoperatororif-matchacl6000
trafficbehaviornat//配置nat动作natbindintance1
trafficpolicy1
claifiernatbehaviornat
traffic-policy1inbound//在全局模式下应用此策略
4)通过路由协议发布NAT地址池网段路由
//把公网地址池路由配置成静态路由
iproute-tatic112.34.3.0255.255.255.0NULL0
//通过opf、ii或者bgp路由发布到网络侧
opf1
import-routetatic
或
bgp100
import-routetatic
5)完成配置,用户上线有流量的情况下,即能做nat转换,查看到nateion
2022-7-25
华为机密,未经许可不得扩散第3页,共20页
文档名称文档密级:
2.2基于ACL匹配的nat转换功能
一个公司网络的用户通过NE40E设备的网络地址转换功能连接到Internet。
NE40E设备的NAT板分别插在3号槽位、4号槽位上。
用户通过以太网接口GE1/0/0接入NE40E,用户私网地址网段为10.10.0.0/16。
ME60设备通过接口POS2/0/0与Internet相连,运营商给公司分配202.38.160.1/24的公网地址。
1)配置ACL匹配私网用户IP地址。
//用户获取的地址范围是10.10.0.0/16,满足如下条件的用户进行nat转换功能
aclnumber3000
rule5permitipource10.10.0.00.0.255.255
2)配置NAT实例
natintance1addlot3materaddlot4lave
nataddre-group1202.38.160.1202.38.160.254//获取的公网地址池
natoutbound3000addre-group1//acl与公网地址池对应关系(即私网地址池与公网地址池对应关系)
3)配置trafficpolicy
trafficclaifiernatoperatororif-matchacl3000
trafficbehaviornat//nat动作natbindintance1
trafficpolicy1
claifiernatbehaviornat
2022-7-25
华为机密,未经许可不得扩散
第4页,共20页
文档名称文档密级:
interfaceGigabitEthernet1/0/0.1vlan-typedot1q1
ipaddre10.10.0.1255.255.0.0
traffic-policy1inbound//在接口下应用策略
4)通过路由协议发布NAT地址池网段路由//配置公网地址池,对应的NULL0路由
iproute-tatic112.34.3.0255.255.255.0NULL0
//在opf、ii、bgp等协议中引入静态路由
opf1
import-routetatic…….
或
bgp100…….
import-routetatic…….
5)完成配置,有流量触发的情况下,即能做nat转换,查看到nateion
三、局点应用举例
3.1浙江移动NAT转换方案
浙江移动是vlanif接口上线的用户做nat转换,vlanif接口运行在E-trunk物理链路上。
OLT双归到2台ME60上,配置vrrp,正常情况下用户从做VRRP上线做nat转换。
当链路故障
2022-7-25
华为机密,未经许可不得扩散
第5页,共20页
文档名称文档密级:
主备切换后,用户切换到另外一台设备上做NAT转换。
配置vlanif接口#interfaceVlanif32decriptionGPON_AGipaddre10.186.188.1255.255.254.0#interfaceVlanif96ipaddre10.186.2.1255.255.254.0#配置NAT实例添加NAT的板卡,以及NAT的公网地址natintance1addlot8maternataddre-group1120.193.15.208120.193.15.211natoutboundanyaddre-group1配置NAT的流策略其中配置acl3000,是为当用户pingvlanif的网关时能够通,不做NAT转换。
匹配acl3000的策略必须在nat策略前,否则不生效#aclnumber3000rule5permitipdetination10.186.188.10rule10permitipdetination10.186.2.10#aclnumber3001rule5permitipource10.186.188.00.0.1.255rule10permitipource10.186.2.00.0.1.255#trafficclaifierpermitoperatororif-matchacl3000trafficclaifiernatoperatororif-matchacl3001#trafficbehaviorpermittrafficbehaviornatnatbindintance1#trafficpolicynathare-modetatiticenableclaifierpermitbehaviorpermitclaifiernatbehaviornat在2台ME60的互联接口配置nat的流策略,对满足条件的流量做nat动作2022-7-25
华为机密,未经许可不得扩散
第6页,共20页
文档名称文档密级:
#interfaceEth-Trunk0portwitchdecriptionTOZJLSH-MC-CMNET-RT14-JN_ME60GI1/0/0portlink-typetrunkporttrunkallow-pavlan8to9163296568to6239029123071to30723078to30834055to4062porttrunkallow-pavlan4071to4078traffic-policynatinboundvlan32traffic-policynatinboundvlan96#return在连接OLT的下行接口配置nat的流策略interfaceEth-Trunk2portwitchdecriptionTo_jingning_MA5680Tmodeuer-terminationporttrunkallow-pavlan8to91632to159568to5759029129223071to30723078to3083traffic-policynatinboundvlan32traffic-policynatinboundvlan96modelacp-tatice-trunk1port-queueaf3wfqweight30outbound#Vlanif+VRRP配置
Vlanif+VRRP的配置,一般是设备管理vlanif和wlan的管理vlanif需要配置VRRP。
NE40E上配置:
interfaceVlanif8decriptionmanageripbindingvpn-intanceim-manageripaddre10.216.4.1255.255.252.0ME60上配置说明:
1.在VRRP主上需要配置优先级大于备的优先级别(默认的优先级为100)2.在VRRP主上需要配置抢占延迟时间,而在备上不需要配置
3.在vrrp主和备上分别需要track上行接口,上行接口故障vrrp优先级减少30,就能使
得主优先级比备低而主备状态切换。
2022-7-25
华为机密,未经许可不得扩散
第7页,共20页
文档名称文档密级:
4.在vrrp主和备上分别track下行的接口与所在设备的e-trunk为主的成员接口一致。
如:
ME60-1上Eth-Trunk2,、4、6、8、10所在的E-TRUNK1为主,而Eth-TRUNK3、5、7、9所在E-TRUNK2为备;在ME60-2上在相反。
则track的接口如下。
5.根据方案,需要配置下行接口出现两个接口故障才切换。
所以下行接口故障优先级降低
四、NAT部署限制
1、板卡
NAT功能可以通过两种集中式业务板支持:
SPUC和VSUA。
SPUC为V6R2新开发的业务板,推荐采用该单板承载NAT功能。
VSUA同V1R6版本的防火墙板(SSU),V6R2支持VSUA做为NAT业务板,但范围仅限于ME60形态的NAT功能,主要用于ME60V1R6版本升级到V6R2版本后支持NAT
2022-7-25
华为机密,未经许可不得扩散
第8页,共20页
文档名称文档密级:
功能。
配置前需要确认单板的业务类型是否为NAT,命令为
diplayboard-typelot2
MultierviceEngine60-8'board-type:
Slotboard-type
--------------------------------------2NAT
2、liceneSPUC采用LME0SNAT00的licene项控制,为资源型licene。
Licene个数和已经单板是1:
1的比例关系。
VSUA采用LME0FWF01(同V1R6)的licene控制,为功能型licene。
整机配置一个即可。
当无licene或licene个数不足时,在配置NAT命令时会提示GTLlicene不足。
五、与其他版本NAT差异
与ME60V1R5/V1R6实现差别:
V1R5/V1R6基于防火墙进行配置,V6R2无防火墙配置。
配置模式不同,不能直接做命令行转换。
主要规格各个版本保持一致。
五、常用维护命令与故障排查
5.1常用维护命令
1、查看当前总的会话数
diplaynattatiticnormallot8
TCPeionincurrent:
0UDPeionincurrent:
0ICMPeionincurrent:
0Totaleionincurrent:
0
2、查看当前会话表,其中8号板为nat单板diplaynateiontablelot8
3、当配置有主备NAT板时,通过以下命令查看当前实际状态为mater的业务板。
diplaynatintancetate
2022-7-25
华为机密,未经许可不得扩散
第9页,共20页
natintance1
materlot:
8,activetate:
materlavelot:
2,activetate:
lave
文档名称文档密级:
5.2常用问题FAQ
5.2.1ACL配置
NAT转换是通过在接口下匹配trafficpolicy引流到业务板,然后在业务板匹配ACL选择地址池实现的地址转换。
匹配的顺序为先匹配trafficpolicy引用的ACL,然后在业务板匹配natoutbound引用的ACL。
1)配置trafficpolicy时,使用的ACL注意不能配置ruledeny,除非是需要将匹配该规则的流量全部丢弃。
请参考如下配置,rule10的配置会导致在接口GE6/0/0下的流量除了10.10.0.0/16网段的流量全部被丢弃,而不是转发。
aclnumber3000
rule5permitipource10.10.0.00.0.255.255rule10denyip---------配置错误
trafficclaifier1operatororif-matchacl3000
trafficbehavior1natbindintance1
trafficpolicy1
claifier1behavior1
interfaceGigabitEthernet6/0/0undohutdown
ipaddre2.2.2.1255.255.255.0traffic-policy1inbound
2)NAT实例下的natoutbond引用的ACL同样不能配置ruledeny项,否则匹配ruledeny的报文不会做NAT转换。
以下配置,原配置目的是10.10.10.0/24网段采用地址池1地址进行NAT转换,10.10.20.0/24网段采用地址池2地址进行NAT转换,配置ACL3000时加了一条deny配置,则10.10.20.0/24无法正常转换。
aclnumber3001
2022-7-25
华为机密,未经许可不得扩散
第10页,共20页
文档名称文档密级:
rule5permitipource10.10.10.00.0.0.255rule10denyip---------配置错误
aclnumber3001
rule5permitipource10.10.20.00.0.0.255
natintance1addlot8mater
nataddre-group1112.12.2.1112.12.2.254nataddre-group2112.12.3.1112.12.3.254natoutbound3001addre-group1natoutbound3002addre-group2
5.2.2trafficpolicy配置
用户上线做NAT转换,必须在用户域下配置uer-group,配置UCL(即ACL6000-9999段)匹配用户的uer-group,在全局视图下绑定traffic-policy,不能在用户上线的接口下绑定。
用户上线的情况下,uer-group和用户域是1:
1的对应关系,不支持同一个域有部分用户做NAT,部分用户不做NAT的情况。
非用户上线的流量,配置ACL3000-3999或2000-2999,trafficpolicy只能绑定在具体的接口视图或子接口视图下,不能在全局视图下配置。
Trafficpolicy只能配置inbound方向。
5.2.3配置trafficpolicy和natoutbound时分配需要匹配ACL,两者可以按以下关系配置:
1)用户上线根据UCL配置trafficpolicy,在配置natoutbound时如果不需要区分不同网段用户选地址池,可以直接配置natoutboundanyaddre-group;如果需要根据ACL选择地址池,建议按照匹配用户的私网IP段的模式进行配置。
配置参考:
ippool1balocal
gateway192.168.0.1255.255.255.0ection0192.168.0.1192.168.0.254
uer-group1
domain1ip-pool1uer-group1
2022-4-30
华为机密,未经许可不得扩散
第11页,共20页
文档名称文档密级:
………
aclnumber6000
rule5permitipourceuer-group1
trafficclaifiernatoperatororif-matchacl6000
trafficbehaviornatnatbindintance1
trafficpolicy1
claifiernatbehaviornat
traffic-policy1inbound
用户上线分配的私网IP为192.168.0.1/24网段,可以配置ACL3000匹配该源IP段,natoutbound匹配该ACL
aclnumber3000
rule5permitipource192.168.0.00.0.0.255
natintance1addlot8mater
nataddre-group1112.12.2.1112.12.2.254natoutbound3000addre-group1
或者不关心私网IP时可以不配置natoutbound的acl,直接按照如下配置
natintance1addlot8mater
nataddre-group1112.12.2.1112.12.2.254natoutboundanyaddre-group1
2)非用户上线场景,可以在trafficpolicy和natoutbound中使用相同的ACL.
aclnumber3000
rule5permitipource10.10.0.00.0.0.255
natintance1addlot8mater
nataddre-group1112.12.2.1112.12.2.254natoutbound3000addre-group1
trafficclaifiernatoperatororif-matchacl3000
2022-4-30
华为机密,未经许可不得扩散
第12页,共20页
升级会员 