ME60上NAT部署手册.docx

1、ME60上NAT部署手册ME60上NAT部署手册文档名称文档密级：V6R2版本NAT应用场景配置说明一、概述NAT（NetworkAddreTranlation，网络地址转换）是一种IP地址共享的技术，用来解决随着Internet规模的日益扩大而带来的IPv4合法地址短缺的问题。利用NAT技术，可以实现多用户同时使用少量的合法IPv4地址进行Internet访问，并且这种Internet访问对于大多数应用程序是透明的，无需在客户端进行任何特殊配置。每个用户只拥有私有的IP地址，用户相互之间访问时使用这个地址。在进行Internet访问时，这个私有的IP地址在私有网络的出口处被临时替换为一个合法

2、的IP地址，同时这种映射关系被记录下来，以使返回的报文可以进行反方向的IP地址替换。这种映射关系一直持续到本次访问结束。二、NAT应用场景NAT有两种基本实现方式：PAT（PortAddreTranlation）方式：同时替换报文中的IP地址和端口号。NoPAT方式:只替换报文中的IP地址。PAT可以实现更高效的IP地址共享，是地址转换中最常用的方式。应用场景重点对pat方式进行说明。如下图所示：用户获取一个私网地址192.168.1.10；当用户需要访问网络时，发送一个源IP为192.168.1.10，源端口为688的UDP报文，通过nat转换为公网地址212.112.10.100，端口为1

3、0250的UDP报文，访问网络资源。对于不同的目的ip、目的端口转换成不同的地址。2.1基于UCL匹配的nat转换功能2022-7-25华为机密，未经许可不得扩散第1页,共20页文档名称文档密级：一个运营商网络的上线用户通过ME60设备的网络地址转换功能连接到Internet。ME60设备的NAT板分别插在3号槽位、4号槽位上。用户通过以太网接口GE1/0/0在ME60上线，上线分配私网地址网段为10.10.0.0/16。ME60设备通过接口POS2/0/0与Internet相连，运营商具有202.38.160.1/24的公网地址。1）配置用户上线私网地址池、用户组等，实现用户上线功能/配置地

4、址池ippool1balocalgateway10.10.0.1255.255.0.0ection010.10.0.110.10.254.254/配置uer-group,用户匹配用户上线的流量，来做nat转换uer-group1/配置用户上线的domain，其中认证方式采用不认证domain1authentication-chemedefault0accounting-chemedefault0ip-pool1uer-group1/配置用户上线接口，实现用户上线interfaceGigabitEthernet1/0/0.2uer-vlan100uer-vlan100qinq1baacce-ty

5、pelayer2-ubcriber2）配置NAT实例。有2块nat板，其中3为mater，4为lave；如果只有一块板则只配置mater即可natintance1addlot3mater2022-7-25华为机密，未经许可不得扩散第2页,共20页文档名称文档密级：addlot4lavenataddre-group1202.38.160.1202.38.160.254/公网地址池natoutboundanyaddre-group1/做nat的acl与公网地址池的对应关系，可以做到不同的流匹配到不同的公网地址池，acl只能配置20003999，由于nat板上不识别用户，所以对于用户acl6000的

6、流，需要剥离uergroup，重新配置acl3000范围的3）配置trafficpolicy并在系统视图下应用，使满足一定条件的用户流量做nat转换aclnumber6000/接入用户的acl需要配置6000以上的rule5permitipourceuer-group1trafficclaifiernatoperatororif-matchacl6000trafficbehaviornat/配置nat动作natbindintance1trafficpolicy1claifiernatbehaviornattraffic-policy1inbound/在全局模式下应用此策略4）通过路由协议发布N

7、AT地址池网段路由/把公网地址池路由配置成静态路由iproute-tatic112.34.3.0255.255.255.0NULL0/通过opf、ii或者bgp路由发布到网络侧opf1import-routetatic或bgp100import-routetatic5）完成配置，用户上线有流量的情况下，即能做nat转换，查看到nateion2022-7-25华为机密，未经许可不得扩散第3页,共20页文档名称文档密级：2.2基于ACL匹配的nat转换功能一个公司网络的用户通过NE40E设备的网络地址转换功能连接到Internet。NE40E设备的NAT板分别插在3号槽位、4号槽位上。用户通过以太

8、网接口GE1/0/0接入NE40E，用户私网地址网段为10.10.0.0/16。ME60设备通过接口POS2/0/0与Internet相连，运营商给公司分配202.38.160.1/24的公网地址。1)配置ACL匹配私网用户IP地址。/用户获取的地址范围是10.10.0.0/16，满足如下条件的用户进行nat转换功能aclnumber3000rule5permitipource10.10.0.00.0.255.2552）配置NAT实例natintance1addlot3materaddlot4lavenataddre-group1202.38.160.1202.38.160.254/获取的公网

9、地址池natoutbound3000addre-group1/acl与公网地址池对应关系（即私网地址池与公网地址池对应关系）3）配置trafficpolicytrafficclaifiernatoperatororif-matchacl3000trafficbehaviornat/nat动作natbindintance1trafficpolicy1claifiernatbehaviornat2022-7-25华为机密，未经许可不得扩散第4页,共20页文档名称文档密级：interfaceGigabitEthernet1/0/0.1vlan-typedot1q1ipaddre10.10.0.125

10、5.255.0.0traffic-policy1inbound/在接口下应用策略4)通过路由协议发布NAT地址池网段路由/配置公网地址池，对应的NULL0路由iproute-tatic112.34.3.0255.255.255.0NULL0/在opf、ii、bgp等协议中引入静态路由opf1import-routetatic.或bgp100.import-routetatic.5)完成配置，有流量触发的情况下，即能做nat转换，查看到nateion三、局点应用举例3.1浙江移动NAT转换方案浙江移动是vlanif接口上线的用户做nat转换，vlanif接口运行在E-trunk物理链路上。OLT

11、双归到2台ME60上，配置vrrp，正常情况下用户从做VRRP上线做nat转换。当链路故障2022-7-25华为机密，未经许可不得扩散第5页,共20页文档名称文档密级：主备切换后，用户切换到另外一台设备上做NAT转换。配置vlanif接口#interfaceVlanif32decriptionGPON_AGipaddre10.186.188.1255.255.254.0#interfaceVlanif96ipaddre10.186.2.1255.255.254.0#配置NAT实例添加NAT的板卡，以及NAT的公网地址natintance1addlot8maternataddre-group11

12、20.193.15.208120.193.15.211natoutboundanyaddre-group1配置NAT的流策略其中配置acl3000，是为当用户pingvlanif的网关时能够通，不做NAT转换。匹配acl3000的策略必须在nat策略前，否则不生效#aclnumber3000rule5permitipdetination10.186.188.10rule10permitipdetination10.186.2.10#aclnumber3001rule5permitipource10.186.188.00.0.1.255rule10permitipource10.186.2.00

13、.0.1.255#trafficclaifierpermitoperatororif-matchacl3000trafficclaifiernatoperatororif-matchacl3001#trafficbehaviorpermittrafficbehaviornatnatbindintance1#trafficpolicynathare-modetatiticenableclaifierpermitbehaviorpermitclaifiernatbehaviornat在2台ME60的互联接口配置nat的流策略，对满足条件的流量做nat动作2022-7-25华为机密，未经许可不得扩散

14、第6页,共20页文档名称文档密级：#interfaceEth-Trunk0portwitchdecriptionTOZJLSH-MC-CMNET-RT14-JN_ME60GI1/0/0portlink-typetrunkporttrunkallow-pavlan8to9163296568to6239029123071to30723078to30834055to4062porttrunkallow-pavlan4071to4078traffic-policynatinboundvlan32traffic-policynatinboundvlan96#return在连接OLT的下行接口配置nat的

15、流策略interfaceEth-Trunk2portwitchdecriptionTo_jingning_MA5680Tmodeuer-terminationporttrunkallow-pavlan8to91632to159568to5759029129223071to30723078to3083traffic-policynatinboundvlan32traffic-policynatinboundvlan96modelacp-tatice-trunk1port-queueaf3wfqweight30outbound#Vlanif+VRRP配置Vlanif+VRRP的配置，一般是设备管理

16、vlanif和wlan的管理vlanif需要配置VRRP。NE40E上配置：interfaceVlanif8decriptionmanageripbindingvpn-intanceim-manageripaddre10.216.4.1255.255.252.0ME60上配置说明：1.在VRRP主上需要配置优先级大于备的优先级别（默认的优先级为100）2.在VRRP主上需要配置抢占延迟时间，而在备上不需要配置3.在vrrp主和备上分别需要track上行接口，上行接口故障vrrp优先级减少30，就能使得主优先级比备低而主备状态切换。2022-7-25华为机密，未经许可不得扩散第7页,共20页文档

17、名称文档密级：4.在vrrp主和备上分别track下行的接口与所在设备的e-trunk为主的成员接口一致。如：ME60-1上Eth-Trunk2,、4、6、8、10所在的E-TRUNK1为主，而Eth-TRUNK3、5、7、9所在E-TRUNK2为备；在ME60-2上在相反。则track的接口如下。5.根据方案，需要配置下行接口出现两个接口故障才切换。所以下行接口故障优先级降低四、NAT部署限制1、板卡NAT功能可以通过两种集中式业务板支持：SPUC和VSUA。SPUC为V6R2新开发的业务板，推荐采用该单板承载NAT功能。VSUA同V1R6版本的防火墙板（SSU），V6R2支持VSUA做为N

18、AT业务板，但范围仅限于ME60形态的NAT功能，主要用于ME60V1R6版本升级到V6R2版本后支持NAT2022-7-25华为机密，未经许可不得扩散第8页,共20页文档名称文档密级：功能。配置前需要确认单板的业务类型是否为NAT，命令为diplayboard-typelot2MultierviceEngine60-8board-type:Slotboard-type-2NAT2、liceneSPUC采用LME0SNAT00的licene项控制，为资源型licene。Licene个数和已经单板是1：1的比例关系。VSUA采用LME0FWF01（同V1R6）的licene控制，为功能型lice

19、ne。整机配置一个即可。当无licene或licene个数不足时，在配置NAT命令时会提示GTLlicene不足。五、与其他版本NAT差异与ME60V1R5/V1R6实现差别:V1R5/V1R6基于防火墙进行配置，V6R2无防火墙配置。配置模式不同，不能直接做命令行转换。主要规格各个版本保持一致。五、常用维护命令与故障排查5.1常用维护命令1、查看当前总的会话数diplaynattatiticnormallot8TCPeionincurrent:0UDPeionincurrent:0ICMPeionincurrent:0Totaleionincurrent:02、查看当前会话表，其中8号板为n

20、at单板diplaynateiontablelot83、当配置有主备NAT板时，通过以下命令查看当前实际状态为mater的业务板。diplaynatintancetate2022-7-25华为机密，未经许可不得扩散第9页,共20页natintance1materlot:8,activetate:materlavelot:2,activetate:lave文档名称文档密级：5.2常用问题FAQ5.2.1ACL配置NAT转换是通过在接口下匹配trafficpolicy引流到业务板，然后在业务板匹配ACL选择地址池实现的地址转换。匹配的顺序为先匹配trafficpolicy引用的ACL，然后在业务板

21、匹配natoutbound引用的ACL。1）配置trafficpolicy时，使用的ACL注意不能配置ruledeny，除非是需要将匹配该规则的流量全部丢弃。请参考如下配置，rule10的配置会导致在接口GE6/0/0下的流量除了10.10.0.0/16网段的流量全部被丢弃，而不是转发。aclnumber3000rule5permitipource10.10.0.00.0.255.255rule10denyip-配置错误trafficclaifier1operatororif-matchacl3000trafficbehavior1natbindintance1trafficpolicy1cl

22、aifier1behavior1interfaceGigabitEthernet6/0/0undohutdownipaddre2.2.2.1255.255.255.0traffic-policy1inbound2）NAT实例下的natoutbond引用的ACL同样不能配置ruledeny项，否则匹配ruledeny的报文不会做NAT转换。以下配置，原配置目的是10.10.10.0/24网段采用地址池1地址进行NAT转换，10.10.20.0/24网段采用地址池2地址进行NAT转换，配置ACL3000时加了一条deny配置，则10.10.20.0/24无法正常转换。aclnumber300120

23、22-7-25华为机密，未经许可不得扩散第10页,共20页文档名称文档密级：rule5permitipource10.10.10.00.0.0.255rule10denyip-配置错误aclnumber3001rule5permitipource10.10.20.00.0.0.255natintance1addlot8maternataddre-group1112.12.2.1112.12.2.254nataddre-group2112.12.3.1112.12.3.254natoutbound3001addre-group1natoutbound3002addre-group25.2.2tr

24、afficpolicy配置用户上线做NAT转换，必须在用户域下配置uer-group，配置UCL(即ACL6000-9999段)匹配用户的uer-group，在全局视图下绑定traffic-policy，不能在用户上线的接口下绑定。用户上线的情况下，uer-group和用户域是1：1的对应关系，不支持同一个域有部分用户做NAT，部分用户不做NAT的情况。非用户上线的流量，配置ACL3000-3999或2000-2999，trafficpolicy只能绑定在具体的接口视图或子接口视图下，不能在全局视图下配置。Trafficpolicy只能配置inbound方向。5.2.3配置trafficpol

25、icy和natoutbound时分配需要匹配ACL，两者可以按以下关系配置：1）用户上线根据UCL配置trafficpolicy，在配置natoutbound时如果不需要区分不同网段用户选地址池，可以直接配置natoutboundanyaddre-group；如果需要根据ACL选择地址池，建议按照匹配用户的私网IP段的模式进行配置。配置参考：ippool1balocalgateway192.168.0.1255.255.255.0ection0192.168.0.1192.168.0.254uer-group1domain1ip-pool1uer-group12022-4-30华为机密，未经许

26、可不得扩散第11页,共20页文档名称文档密级：aclnumber6000rule5permitipourceuer-group1trafficclaifiernatoperatororif-matchacl6000trafficbehaviornatnatbindintance1trafficpolicy1claifiernatbehaviornattraffic-policy1inbound用户上线分配的私网IP为192.168.0.1/24网段，可以配置ACL3000匹配该源IP段，natoutbound匹配该ACLaclnumber3000rule5permitipource192.16

27、8.0.00.0.0.255natintance1addlot8maternataddre-group1112.12.2.1112.12.2.254natoutbound3000addre-group1或者不关心私网IP时可以不配置natoutbound的acl，直接按照如下配置natintance1addlot8maternataddre-group1112.12.2.1112.12.2.254natoutboundanyaddre-group12）非用户上线场景，可以在trafficpolicy和natoutbound中使用相同的ACL.aclnumber3000rule5permitipource10.10.0.00.0.0.255natintance1addlot8maternataddre-group1112.12.2.1112.12.2.254natoutbound3000addre-group1trafficclaifiernatoperatororif-matchacl30002022-4-30华为机密，未经许可不得扩散第12页,共20页