文档名称 文档密级:
主备切换后,用户切换到另外一台设备上做NAT转换。 ? 配置vlanif接口 # interface Vlanif32 description GPON_AG ip address 10.186.188.1 255.255.254.0 # interface Vlanif96 ip address 10.186.2.1 255.255.254.0 # ? 配置NAT实例 添加NAT的板卡,以及NAT的公网地址 nat instance 1 add slot 8 master nat address-group 1 120.193.15.208 120.193.15.211 nat outbound any address-group 1 ? 配置NAT的流策略 其中配置acl 3000,是为当用户ping vlanif的网关时能够通,不做NAT转换。匹配acl 3000的策略必须在nat策略前,否则不生效 # acl number 3000 rule 5 permit ip destination 10.186.188.1 0 rule 10 permit ip destination 10.186.2.1 0 # acl number 3001 rule 5 permit ip source 10.186.188.0 0.0.1.255 rule 10 permit ip source 10.186.2.0 0.0.1.255 # traffic classifier permit operator or if-match acl 3000 traffic classifier nat operator or if-match acl 3001 # traffic behavior permit traffic behavior nat nat bind instance 1 # traffic policy nat share-mode statistics enable classifier permit behavior permit classifier nat behavior nat ? 在2台ME60的互联接口配置nat的流策略,对满足条件的流量做nat动作 2014-4-30
华为机密,未经许可不得扩散
第6页, 共20页
文档名称 文档密级:
# interface Eth-Trunk0 portswitch description TO ZJLSH-MC-CMNET-RT14-JN_ME60 GI1/0/0 port link-type trunk port trunk allow-pass vlan 8 to 9 16 32 96 568 to 623 902 912 3071 to 3072 3078 to 3083 4055 to 4062 port trunk allow-pass vlan 4071 to 4078 traffic-policy nat inbound vlan 32 traffic-policy nat inbound vlan 96 # return ? 在连接OLT的下行接口配置nat的流策略 interface Eth-Trunk2 portswitch description To_jingning_MA5680T mode user-termination port trunk allow-pass vlan 8 to 9 16 32 to 159 568 to 575 902 912 922 3071 to 3072 3078 to 3083 traffic-policy nat inbound vlan 32 traffic-policy nat inbound vlan 96 mode lacp-static e-trunk 1 port-queue af3 wfq weight 30 outbound # Vlanif+VRRP配置
Vlanif+VRRP的配置,一般是设备管理vlanif和wlan的管理vlanif需要配置VRRP。 ? NE40E上配置: interface Vlanif8 description manager ip binding vpn-instance ims-manager ip address 10.216.4.1 255.255.252.0 ? ME60上配置 说明:
1. 在VRRP主上需要配置优先级大于备的优先级别(默认的优先级为100) 2. 在VRRP主上需要配置抢占延迟时间,而在备上不需要配置
3. 在vrrp主和备上分别需要track上行接口,上行接口故障vrrp优先级减少30,就能使
得主优先级比备低而主备状态切换。
2014-4-30
华为机密,未经许可不得扩散
第7页, 共20页
文档名称 文档密级:
4. 在vrrp主和备上分别track下行的接口与所在设备的e-trunk为主的成员接口一致。
如:ME60-1上Eth-Trunk2,、4、6、8、10所在的E-TRUNK1为主,而Eth-TRUNK3、5、7、9所在E-TRUNK2为备;在ME60-2上在相反。则track的接口如下。 5. 根据方案,需要配置下行接口出现两个接口故障才切换。所以下行接口故障优先级降低
15,当一条下行链路故障后优先级降低不会导致VRRP主状态低于备设备,而只有两条链路以上故障才能使主设备的优先级低于备设备,主备状态才切换。 ME60-1: interface Vlanif8 description manager ip binding vpn-instance ims-manager ip address 10.216.4.2 255.255.252.0 vrrp vrid 1 virtual-ip 10.216.4.1 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 6 vrrp vrid 1 track interface GigabitEthernet5/0/0 reduced 30 vrrp vrid 1 track interface Eth-Trunk2 reduced 15 vrrp vrid 1 track interface Eth-Trunk4 reduced 15 vrrp vrid 1 track interface Eth-Trunk6 reduced 15 vrrp vrid 1 track interface Eth-Trunk8 reduced 15 vrrp vrid 1 track interface Eth-Trunk10 reduced 15 ME60-2: interface Vlanif8 description manager ip binding vpn-instance ims-manager ip address 10.216.4.3 255.255.252.0 vrrp vrid 1 virtual-ip 10.216.4.1 vrrp vrid 1 track interface GigabitEthernet5/0/0 reduced 30 vrrp vrid 1 track interface Eth-Trunk3 reduced 15 vrrp vrid 1 track interface Eth-Trunk5 reduced 15 vrrp vrid 1 track interface Eth-Trunk7 reduced 15 vrrp vrid 1 track interface Eth-Trunk9 reduced 15
四、NAT部署限制
1、 板卡
NAT功能可以通过两种集中式业务板支持:SPUC和VSUA。
SPUC为V6R2新开发的业务板,推荐采用该单板承载NAT功能。 VSUA同V1R6版本的防火墙板(SSU),V6R2支持VSUA做为NAT业务板,但范围仅限于ME60形态的NAT功能,主要用于ME60 V1R6版本升级到V6R2版本后支持NAT
2014-4-30
华为机密,未经许可不得扩散
第8页, 共20页
文档名称 文档密级:
功能。
配置前需要确认单板的业务类型是否为NAT,命令为
display board-type slot 2
MultiserviceEngine 60-8's board-type: Slot board-type
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2 NAT
2、 license SPUC采用LME0SNAT00的license项控制,为资源型license。License个数和已经单板是1:1的比例关系。
VSUA采用LME0FWF01(同V1R6)的license控制,为功能型license。整机配置一个即可。
当无license或license个数不足时,在配置NAT命令时会提示GTL license不足。
五、与其他版本NAT差异
与ME60 V1R5/V1R6实现差别: V1R5/V1R6基于防火墙进行配置,V6R2无防火墙配置。 配置模式不同,不能直接做命令行转换。 主要规格各个版本保持一致。
五、常用维护命令与故障排查
5.1常用维护命令
1、查看当前总的会话数
display nat statistics normal slot 8
TCP sessions in current : 0 UDP sessions in current : 0 ICMP sessions in current : 0 Total sessions in current : 0
2、查看当前会话表,其中8号板为nat单板 display nat session table slot 8
3、当配置有主备NAT板时,通过以下命令查看当前实际状态为master的业务板。
display nat instance state
2014-4-30
华为机密,未经许可不得扩散
第9页, 共20页
nat instance 1
master slot : 8, active state: master slave slot : 2, active state: slave
文档名称 文档密级:
5.2 常用问题FAQ
5.2.1 ACL配置
NAT转换是通过在接口下匹配traffic policy引流到业务板,然后在业务板匹配ACL选择地址池实现的地址转换。匹配的顺序为先匹配traffic policy引用的ACL,然后在业务板匹配nat outbound引用的ACL。
1)配置traffic policy时,使用的ACL注意不能配置rule deny,除非是需要将匹配该规则的流量全部丢弃。
请参考如下配置,rule 10的配置会导致在接口GE6/0/0下的流量除了10.10.0.0/16网段的流量全部被丢弃,而不是转发。
acl number 3000
rule 5 permit ip source 10.10.0.0 0.0.255.255 rule 10 deny ip ---------配置错误
traffic classifier 1 operator or if-match acl 3000
traffic behavior 1 nat bind instance 1
traffic policy 1
classifier 1 behavior 1
interface GigabitEthernet6/0/0 undo shutdown
ip address 2.2.2.1 255.255.255.0 traffic-policy 1 inbound
2)NAT实例下的nat outbond引用的ACL同样不能配置rule deny项,否则匹配rule deny的报文不会做NAT转换。
以下配置,原配置目的是10.10.10.0/24网段采用地址池1地址进行NAT转换,10.10.20.0/24网段采用地址池2地址进行NAT转换,配置ACL 3000时加了一条deny配置,则10.10.20.0/24无法正常转换。
acl number 3001
2014-4-30
华为机密,未经许可不得扩散
第10页, 共20页