- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-NAT配置
本章节下载: 01-NAT配置 (2.31 MB)
2.16.4 配置BRAS上的集中式备份分布式CGN(接口NAT)
2.16.5 配置CR上的集中式备份分布式CGN(接口NAT)
2.16.6 配置BRAS上的集中式备份分布式CGN(全局NAT)
2.16.7 配置CR上的集中式备份分布式CGN(全局NAT)
2.18.7 配置备份组与基于业务备份通道的VRRP备份组绑定
2.19.4 配置温备份UP备份策略模板关联的NAT实例(CP侧)
2.20.4 配置温备负载分担模式的UP备份策略模板(CP侧)
2.30.1 内网用户通过NAT地址访问外网(静态地址转换)配置举例
2.30.2 内网用户通过NAT地址访问外网(地址不重叠)配置举例
2.30.4 外网用户通过域名访问内网服务器(地址不重叠)配置举例
2.31.1 内网用户通过NAT地址访问外网(静态地址转换)配置举例
2.31.2 内网用户通过NAT地址访问外网(地址不重叠)配置举例
2.31.6 PPPoE用户认证与NAT联动支持单机CGN板间热备配置举例
2.31.8 PPPoE用户认证与NAT联动的全局端口块动态映射配置举例
2.31.10 全局NAT负载分担方式下的端口块动态映射配置举例
2.31.12 全局NAT方式的NAT server与NAT outbound同时使用配置举例
2.31.14 转发与控制分离组网支持保护隧道的UP备份配置举例
2.31.15 转发与控制分离N:1温备组网中的CGN框间备份配置举例
2.31.16 转发与控制分离1:N温备组网中的CGN框间备份配置举例
本文中的“CGN单板”指具有CGN功能的单板。
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。
NAT基本概念如下:
· NAT设备:配置了NAT功能的连接内部网络和外部网络的边缘设备。
· NAT接口:NAT设备上应用了NAT相关配置的接口。
· NAT规则:用于进行地址转换的NAT配置称为NAT规则。
· NAT地址:用于进行地址转换的公网IP地址,与外部网络路由可达,可静态指定或动态分配。
· NAT表项:NAT设备上用于记录网络地址转换映射关系的表项。关于NAT表项的详细介绍请参见“1.6 NAT表项”。
· Easy IP功能:NAT转换时直接使用设备上接口的IP地址作为NAT地址。设备上接口的地址可静态指定或通过DHCP或PPPoE等协议动态获取。
当内部网络访问外部网络的报文经过NAT设备时,NAT设备会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从外网侧返回时,NAT设备查找原有的记录,将报文的目的地址再替换回原来的私网地址,并转发给内网侧主机。这个过程对于私网侧或公网侧设备透明。
图1-1 NAT基本工作过程示意图
如图1-1所示,一台NAT设备连接内网和外网,连接外网的接口为NAT接口,当有报文经过NAT设备时,NAT的基本工作过程如下:
(1) 当内网用户主机(192.168.1.3)向外网服务器(1.1.1.2)发送的IP报文通过NAT设备时,NAT设备查看报文的IP头内容,发现该报文是发往外网的,则将其源IP地址字段的内网地址192.168.1.3转换成一个可路由的外网地址20.1.1.1,并将该报文发送给外网服务器,同时在NAT设备上建立表项记录这一映射。
(2) 外网服务器给内网用户发送的应答报文到达NAT设备后,NAT设备使用报文信息匹配建立的表项,然后查找匹配到的表项记录,用内网私有地址192.168.1.3替换初始的目的IP地址20.1.1.1。
上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外网服务器而言,它认为内网用户主机的IP地址就是20.1.1.1,并不知道存在192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。
报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出接口上进行源IP地址转换;对于外网访问内网的报文,在入接口上进行目的地址IP地址转换。
报文入接口和出接口均为NAT接口。报文经过NAT设备时,先后进行两次NAT转换。对于内网访问外网的报文和外网访问内网的报文,均在入接口进行目的IP地址转换,在出接口进行源IP地址转换。这种方式常用于支持地址重叠的VPN间互访。
报文经过NAT设备时,在NAT接口上同时进行一次源IP地址转换和一次目的IP地址转换。对于内网访问外网的报文,在出接口上同时进行源IP地址和目的IP地址的转换;对于外网访问内网的报文,同时在入接口上进行目的地址IP地址和源IP地址的转换。这种方式常用于支持内网用户主动访问与之地址重叠的外网资源。
NAT hairpin功能用于满足位于内网侧的用户之间或内网侧的用户与服务器之间通过NAT地址进行访问的需求。开启NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。它支持两种组网模式:
· P2P:位于内网侧的用户之间通过动态分配的NAT地址互访。内网各主机首先向外网服务器注册自己的外网地址信息,该地址信息为外网侧出方向地址转换的NAT地址,然后内网主机之间通过使用彼此向外网服务器注册的外网地址进行互访。
· C/S:位于内网侧的用户使用NAT地址访问内网服务器。NAT在内网接口上同时转换访问内网服务器的报文的源和目的IP地址,其中,目的IP地址转换通过匹配某外网接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。
一般情况下,DNS(Domain Name System,域名系统)服务器和访问私网服务器的用户都在公网,通过在NAT设备的公网接口上配置内部服务器,可以将公网地址、端口等信息映射到私网内的服务器上,使得公网用户可以通过内部服务器的域名或公网地址来访问内部服务器。但是,如图1-2所示,如果DNS服务器在公网,私网用户希望通过域名来访问私网的Web服务器,则会由于DNS服务器向私网用户发送的响应报文中包含的是私网服务器的公网地址,而导致收到响应报文的私网用户无法利用域名访问私网服务器。通过在设备上配置DNS mapping可以解决该问题。
图1-2 NAT DNS mapping工作示意图
NAT DNS mapping功能是指,通过配置“域名+公网IP地址+公网端口号+协议类型”的映射表,建立内部服务器域名与内部服务器公网信息的对应关系。在配置了NAT的接口上,设备检查接收到的DNS响应报文,根据报文中的域名查找用户配置的DNS mapping映射表,并根据表项内的“公网地址+公网端口+协议类型”信息查找内部服务器地址映射表中该信息对应的私网地址,替换DNS查询结果中的公网地址。这样,私网用户收到的DNS响应报文中就包含了要访问的内部服务器的私网地址,也就能够使用内部服务器域名访问同一私网内的内部服务器。
在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问;或者希望某些外部网络的主机可以访问内部网络,而某些主机不允许访问。即NAT设备只对符合要求的报文进行地址转换。
NAT设备可以利用ACL(Access Control List,访问控制列表)来对地址转换的使用范围进行控制,通过定义ACL规则,并将其与NAT配置相关联,实现只对匹配指定的ACL permit规则的报文才进行地址转换的目的。而且,NAT仅使用规则中定义的源IP地址、源端口号、目的IP地址、目的端口号、传输层协议类型、用户组和VPN实例这几个元素进行报文匹配,忽略其它元素。
静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定,该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式:
NO-PAT(Not Port Address Translation)模式下,一个外网地址同一时间只能分配给一个内网地址进行地址转换,不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时,NAT会将其占用的外网地址释放并分配给其他内网用户使用。
该模式下,NAT设备只对报文的IP地址进行NAT转换,同时会建立一个NO-PAT表项用于记录IP地址映射关系,并可支持所有IP协议的报文。
PAT(Port Address Translation)模式下,一个NAT地址可以同时分配给多个内网地址共用。该模式下,NAT设备需要对报文的IP地址和传输层端口同时进行转换,且只支持TCP、UDP和ICMP(Internet Control Message Protocol,互联网控制消息协议)查询报文。
图1-3 PAT基本原理示意图
如图1-3所示,三个带有内网地址的报文到达NAT设备,其中报文1和报文2来自同一个内网地址但有不同的源端口号,报文1和报文3来自不同的内网地址但具有相同的源端口号。通过PAT映射,三个报文的源IP地址都被转换为同一个外网地址,但每个报文都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。
采用PAT方式可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
目前,PAT支持如下地址转换模式:
· Endpoint-Independent Mapping(不关心对端地址和端口转换模式):只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,该映射关系会被记录下来并生成一个EIM表项;并且NAT设备允许所有外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好的支持位于不同NAT网关之后的主机进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口转换模式):对于来自相同源地址和源端口号的报文,相同的源地址和源端口号并不要求被转换为相同的外部地址和端口号,若其目的地址或目的端口号不同,通过PAT映射后,相同的源地址和源端口号通常会被转换成不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但由于同一个内网主机地址转换后的外部地址不唯一,因此不便于位于不同NAT网关之后的主机使用内网主机转换后的地址进行互访。
· Connection-Dependent Mapping(关心对端地址和端口的非共享转换模式):来自同一源地址和源端口号并且去往特定目的地址和端口号的报文,通过PAT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号。同一源地址和源端口号并且去往不同目的地址和端口号的报文,通过PAT映射后,其源地址和源端口号被转换为不同的外部地址和端口号。与Endpoint-Independent Mapping模式不同的是,这种模式安全性好,即NAT设备只允许这些目的地址对应的外部网络的主机可以通过该转换后的地址和端口来访问这些内部网络的主机。
在实际应用中,内网中的服务器可能需要对外部网络提供一些服务,例如给外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置就定义了NAT地址和端口与内网服务器地址和端口的映射关系。
如图1-4所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备将报文的目的地址与接口上的NAT内部服务器配置进行匹配,并将匹配上的访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成外网IP地址和端口号。
端口块方式是一种基于端口范围的PAT动态地址转换,即一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。例如:假设私网IP地址10.1.1.1独占公网IP地址202.1.1.1的一个端口块10001~10256,则该私网IP向公网发起的所有连接,源IP地址都将被转换为同一个公网IP地址202.1.1.1,而源端口将被转换为端口块10001~10256之内的一个端口。
端口块方式包括静态映射和动态映射两种,主要应用在NAT444或DS-Lite网络中。
端口块静态映射是指,NAT网关设备根据配置自动计算私网IP地址到公网IP地址、端口块的静态映射关系,并创建静态端口块表项。当私网IP地址成员中的某个私网IP地址向公网发起新建连接时,根据私网IP地址匹配静态端口块表项,获取对应的公网IP地址和端口块,并从端口块中动态为其分配一个公网端口,对报文进行地址转换。
配置端口块静态映射时,需要创建一个端口块组,并在端口块组中配置私网IP地址成员、公网IP地址成员、端口范围和端口块大小。假设端口块组中每个公网IP地址的可用端口块数为m(即端口范围除以端口块大小),则端口块静态映射的算法如下:按照从小到大的顺序对私网IP地址成员中的所有IP地址进行排列,最小的m个私网IP地址对应最小的公网IP地址及其端口块,端口块按照起始端口号从小到大的顺序分配;次小的m个私网IP地址对应次小的公网IP地址及其端口块,端口块的分配顺序相同;依次类推。
在NAT与BRAS联动的场景中,用户上线成功后,设备将遍历所有接口上的地址转换配置,当用户流量与某接口的地址转换配置中的ACL规则相匹配时,为该用户分配公网地址以及端口块,并创建动态端口块表项。用户下线后,回收为其分配的端口块资源,删除相应的动态端口块表项。
非联动场景中,当内网用户向公网发起连接时,首先根据动态地址转换中的ACL规则进行过滤,决定是否需要进行源地址转换。对于需要进行源地址转换的连接,当该连接为该用户的首次连接时,从所匹配的动态地址转换配置引用的NAT地址组中获取一个公网IP地址,从该公网IP地址中动态分配一个端口块,创建动态端口块表项,然后从端口块表项中动态分配一个公网端口,进行地址转换。对该用户后续连接的转换,均从生成的动态端口块表项中分配公网端口。当该用户的所有连接都断开时,回收为其分配的端口块资源,删除相应的动态端口块表项。
端口块动态映射支持增量端口块分配。当为某私网IP地址分配的端口块资源耗尽(端口块中的所有端口都被使用)时,如果该私网IP地址向公网发起新的连接,则无法再从端口块中获取端口,无法进行地址转换。此时,如果预先在相应的NAT地址组中配置了增量端口块数,则可以为该私网IP地址分配额外的端口块,进行地址转换。
NAT设备处理一个连接的首报文时便确定了相应的地址转换关系,并同时创建会话表项,该会话表项中添加了NAT扩展信息(例如接口信息、转换方式)。会话表项中记录了首报文的地址转换信息。这类经过NAT处理的会话表项,也称为NAT会话表项。
当该连接的后续报文经过NAT设备时,将与NAT会话表项进行匹配,NAT设备从匹配到的会话表项中得到首报文的转换方式,并根据首报文的转换方式对后续报文进行处理:
· 后续报文方向与首报文相同时,源和目的的转换方式与首报文相同。
· 后续报文方向与首报文相反时,转换方式与首报文相反。即,如果首报文转换了源地址,则后续报文需要转换目的地址;如果首报文转换了目的地址,则后续报文需要转换源地址。
NAT会话表项的更新和老化由会话管理模块维护,关于会话管理的相关介绍请参见“安全配置指导”中的“会话管理”。
如果NAT设备上开启了Endpoint-Independent Mapping模式,则在PAT方式的动态地址转换过程中,会首先创建一个NAT会话表项,然后创建一个用于记录地址和端口的转换关系(内网地址和端口<-->NAT地址和端口)的EIM三元组表项,该表项有以下两个作用:
· 保证后续来自相同源地址和源端口的新建连接与首次连接使用相同的转换关系。
· 允许外网主机向NAT地址和端口发起的新建连接根据EIM表项进行反向地址转换。
该表项在与其相关联的所有NAT会话表项老化后老化。
在NO-PAT方式进行源地址的动态转换过程中,NAT设备首先创建一个NAT会话表项,然后建立一个NO-PAT表项用于记录该转换关系(内网地址<-->NAT地址)。除此之外,在NAT设备进行ALG处理时,也会触发创建NO-PAT表项。NAT ALG的相关介绍请参见“1.8 NAT支持ALG”。
NO-PAT表项有以下两个作用:
· 保证后续来自相同源地址的新建连接与首次连接使用相同的转换关系。
· 允许满足指定条件的主机向NAT地址发起的新建连接根据NO-PAT表项进行反向地址转换。
该表项在与其相关联的所有NAT会话表项老化后老化。
端口块表项记录1个用户在网关转换前的私网IP地址、转换后对应的公网IP地址及其端口块。端口块表项分为静态端口块表项和动态端口块表项。关于端口块表项的详细介绍,请参见“1.5.4 端口块方式”。
NAT ALG用于对应用层报文进行解析和处理,当应用层协议报文中携带地址信息时,NAT会对这些地址信息进行转换。在转换过程中,NAT会生成关联表项,用于记录对应用层协议报文中的地址进行转换的映射关系。后续报文根据关联表记录的映射关系进行转换,应用协议使用转换后的地址和端口信息建立动态通道传输数据。关于关联表的详细信息,请参见“安全配置指导”中的“会话管理”。
支持多VPN实例的NAT允许VPN实例内的用户访问外部网络,同时允许分属于不同VPN实例的用户互访。例如,当某VPN实例内的用户经过NAT设备访问外部网络时,NAT将内部网络主机的IP地址和端口替换为NAT地址和端口,同时还记录了用户的VPN实例信息(如VPN实例名称)。外部网络的回应报文到达NAT设备时,NAT将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时可得知该回应报文应该转发给哪一个VPN实例内的用户。另外,NAT还可利用外部网络地址所携带的VPN实例信息,支持多个VPN实例之间的互访。
同时,NAT内部服务器也支持多VPN实例,这给外部网络提供了访问VPN实例内服务器的机会。例如,VPN1内提供Web服务的主机地址是10.110.1.1,可以使用202.110.10.20作为Web服务器的外部地址,Internet的用户使用202.110.10.20的地址就可以访问到VPN1提供的Web服务。
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
例如,FTP(File Transfer Protocol,文件传输协议)应用由FTP客户端与FTP服务器之间建立的数据连接和控制连接共同实现,而数据连接使用的地址和端口由控制连接协商报文中的载荷信息决定,这就需要ALG利用NAT的相关转换配置完成载荷信息的转换,以保证后续数据连接的正确建立。
CGN(Carrier Grade NAT,运营商级网络地址转换),也称LSN(Large-scale NAT,大规模网络地址转换)。传统NAT多部署在CPE(Customer Premises Equipment,用户侧设备)上,实现少量用户地址的转换。而CGN部署在运营商网络中,通过将承担CGN功能的单板插在其他功能(如BRAS)的设备上,实现大量用户的地址转换,在支持并发用户数、性能、溯源等方面有很大提升。
CGN有多种应用场景,如NAT444、DS-Lite等。
按CGN单板的部署位置可以分为集中式部署和分布式部署:
· 集中式部署指的是将提供CGN功能的设备部署在接近或位于城域网核心的位置,通常部署在CR(Core Router,核心路由器)上,如图1-5和图1-6所示,可以在CR上旁挂插有CGN单板的设备,也可以将CGN单板插在CR上。集中式部署方式比较适合用于用户/流量都比较少的场景下。
图1-5 集中式部署CGN(CR上旁挂插有CGN单板的设备)
图1-6 集中式部署CGN(CR上插入CGN单板)
· 分布式部署相对于集中式部署的网络位置而言,部署在接近或位于城域网边缘的位置,通常部署在BRAS设备上,如图1-7所示,通过将CGN单板插在BRAS设备上实现。分布式部署方式比较适合用在用户/流量都比较多的场景下。
为了避免由于设备或链路故障导致的业务中断,有多种CGN备份方式可供选择,从而保证设备工作的可用性和业务运行的可靠性,提高运营商网络的稳定性。
集中式备份分布式CGN是指由集中部署的CGN对分布式部署的CGN进行备份,在分布式部署的CGN无法正常工作时,提供地址转换服务。
如图1-8所示,在集中式备份分布式CGN的场景中,BRAS设备负责处理用户上线,完成用户认证、授权和计费等功能。CR设备主要负责数据分组和转发。BRAS设备上的CGN单板正常工作时,流量在BRAS设备上的CGN单板进行地址转换;当BRAS上的CGN单板故障时,流量切换到CR设备上的CGN单板进行地址转换。
图1-8 集中式备份分布式CGN组网图(BRAS上的CGN单板正常)
设备支持如下方式将流量切换到CR设备上的CGN单板进行地址转换:
· 路由方式实现流量切换。如图1-9所示,在BRAS上通过路由方式实现流量切换。正常情况下,BRAS上的QoS策略将流量引到本设备的CGN单板进行地址转换。当BRAS上的CGN单板故障时,QoS策略将不再生效,BRAS根据路由表将流量发送到CR设备。在CR上,再通过QoS策略将流量引到CGN单板进行地址转换。
图1-9 集中式备份分布式CGN组网图(路由方式实现流量切换)
· 使用GRE隧道方式实现流量切换。如图1-10所示,在BRAS和CR间使用GRE隧道实现流量切换。正常情况下,BRAS上的QoS策略将流量重定向到本设备的备份组,由备份组中的主节点(主节点为CGN单板)进行地址转换。当BRAS上的CGN单板故障时,通过QoS策略将流量重定向到下一跳,流量经过GRE隧道发送到CR。在CR上,再通过QoS策略将流量引到CGN单板进行地址转换。
图1-10 集中式备份分布式CGN组网图(使用GRE隧道实现流量切换)
使用路由方式实现流量切换,当BRAS上的CGN单板故障时,私网地址路由会进入城域网,为了避免对城域网中的业务造成影响,需要对私网地址进行全网统一规划。使用GRE隧道实现流量切换可避免上述问题的产生,但需要在BRAS上配置专门的GRE隧道以及引流到CR的QoS策略。关于GRE隧道的详细介绍,请参见“三层技术-IP业务配置指导”中的“GRE”。
BRAS上发生故障的CGN单板恢复正常工作时:
· 在路由方式实现流量切换的场景中,BRAS上的QoS策略重新生效,将流量引到本设备的CGN单板上进行地址转换。
· 在使用GRE隧道实现流量切换的场景中,BRAS上的QoS策略中,将流量重定向到备份组的流行为重新生效,将流量重定向到CR的流行为不再生效,流量在BRAS上备份组的主节点(主节点为CGN单板)进行地址转换。
CGN板间备份指的是同一台设备上多块CGN单板之间进行备份。CGN板间备份支持温备和热备两种方式:
· 温备:仅备份端口块表项,不备份会话表项。主备倒换时,公私网NAT关系不会发生变化,但需要重建会话。
· 热备:既备份端口块表项,也备份会话表项。主备倒换时,公私网NAT关系不会发生变化,不需要重建会话。
使用备份组可以实现集中式部署或分布式部署的CGN板间1:1备份、1+1备份、N:1备份和N+1备份。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
以在BRAS设备上通过两块CGN单板实现板间1:1备份为例,如图1-11所示,BRAS设备上的两块CGN单板形成备份组,正常情况下,由备份组中的主节点CGN 1处理NAT业务(通过指定处理基于会话业务的备份组)。如图1-12所示,当主节点出现故障时,由备节点CGN 2处理NAT业务。
图1-11 CGN板间备份组网图(CGN1单板正常)
图1-12 CGN板间备份组网图(CGN1单板故障)
1:1双机CGN框间备份是指,由两台插有CGN单板的设备组成VRRP组来实现框间备份。具体实现机制为:两台插有CGN单板的设备组成VRRP组,备份组借用VRRP技术来决定节点的激活状态,如果VRRP中Master设备故障,选举新的Master设备时,备份组会同时激活位于新Master设备上的节点,从而保证在主设备故障或链路故障触发设备间主备倒换时业务能够正常运行。关于VRRP的详细介绍和配置,请参见“可靠性配置指导”中的“VRRP”;关于备份组的详细介绍和配置,请参见“可靠性配置指导”中的“备份组”。
双机CGN框间备份支持温备和热备两种方式:
· 温备:仅备份端口块表项,不备份会话表项。主备倒换时,公私网NAT关系不会发生变化,但需要重建会话。
· 热备:既备份端口块表项,也备份会话表项。主备倒换时,公私网NAT关系不会发生变化,不需要重建会话。
目前,双机CGN框间备份支持1:1备份和1+1备份两种方式:
· 1:1备份:由主节点处理流量,并将业务数据备份到备节点。
· 1+1备份:两个节点同时处理流量并将业务数据备份到对端。
下面以图1-13和图1-14为例说明1:1备份的实现机制。如图1-13所示,BRAS A和BRAS B组成VRRP备份组,正常情况下,BRAS A是VRRP的主节点,BRAS A上的CGN单板是备份组中的主节点,由BRAS A上的CGN单板处理NAT业务(通过指定处理基于会话业务的备份组),并将业务数据备份到BRAS B设备上的CGN单板。如图1-14所示,当主节点BRAS A上CGN单板出现故障时,BRAS B成为VRRP的主节点,其上的CGN单板也成为备份组的主节点,这时由BRAS B上的CGN单板处理NAT业务。
图1-13 双机CGN框间备份(BRAS A上CGN单板正常)
图1-14 双机CGN框间备份(BRAS A上CGN单板故障)
在转发与控制分离的N:1温备场景中,N个主用UP设备和一个备用UP设备上的NAT实例形成备份关系,进而将NAT实例下的CGN单板形成框间备份关系。在该场景中,选择处理地址转换业务的NAT实例以及NAT业务备份的工作机制如下:
· 由CP决策处理NAT业务的主备UP,只有主UP上处于激活状态的NAT实例可以处理地址转换业务。
· 主UP设备会将NAT用户表信息备份到备UP设备,用户表中包含地址映射关系等信息。当备UP设备升级为主UP设备时,会尽可能根据用户表中的映射关系进行地址转换,以便进行用户溯源。
如图1-15所示,以转发与控制分离的2:1温备为例,说明该场景中CGN框间备份的配置环境搭建过程:
(1) UP A、UP B和UP C加入同一UP备份组。
(2) 在CP、UP A、UP B和UP C上分别创建NAT实例1,在各个UP的NAT实例1下配置相同的地址转换规则。
(3) 在CP上创建温备份的CGN-UP备份策略模板,并绑定NAT实例1。该备份策略模板中,UP A和UP B为主UP,UP C为备UP。UP A上的NAT实例1与备UP C上的NAT实例1形成备份关系,主UP B上的NAT实例1与备UP C上的NAT实例1形成备份关系,进而将UP A和UP C上的CGN单板、UP B和UP C上的CGN单板分别形成框间备份关系。
(4) 在UP A和UP C上创建多机备份实例1,UP A和UP C为多机备份实例1的两端设备。
(5) 在UP B和UP C上创建多机备份实例2,UP B和UP C为多机备份实例2的两端设备。
(6) 将UP A和UP C上的NAT实例1与多机备份实例1绑定,NAT在UP A和UP C上会创建一个业务备份通道,用于备份用户表信息。
(7) 将UP B和UP C上的NAT实例1与多机备份实例2绑定,NAT在UP A和UP C上会创建一个业务备份通道,用于备份用户表信息。
完成上述配置后,转发与控制分离N:1温备场景中的CGN框间备份工作机制如下:
(1) UP A和UP B正常工作时,由各自的NAT实例1中的CGN单板处理NAT业务,并通过各自的备份通道将NAT实例1的用户表备份到UP C上。
(2) 当UP A上NAT实例1中的CGN单板故障后,CP监测到NAT实例1的状态为非激活状态,将UP C切换为主UP,由UP C上的NAT实例1的CGN单板处理NAT业务。同一时刻,备用UP只能为一个主UP提供备份服务,备份采用抢占机制,哪个主用UP先故障就先为哪个UP提供备份。当备用UP在为某故障主用UP提供业务备份期间,如果有新的主用UP故障,则新的故障主UP无可用备份UP,该故障主UP下的NAT业务异常。关于UP备份的详细介绍,请参见“转发与控制分配业务配置指导”中的“UP备份”。
图1-15 N:1温备场景中的CGN框间备份示意图
在转发与控制分离的1:N温备场景中,所有的UP上均有一个主用接口,每个主用接口与另外N个主用接口两两之间形成N对主备备份关系。处理NAT业务的主备UP由CP决策,具体机制如下:
(1) 用户上线时,CP上的UCM模块为上线用户选择主用接口,并从另外N个主用UP的接口中选择其中一个作为该用户的备份接口。UCM模块选择的主用接口和备份接口即形成主备备份关系。同一个主备备份关系可以承载多个不同的用户。
(2) UP上的CGN模块收到CP上的UCM模块通知的用户上线消息后,CGN模块会基于用户上线消息中携带的NAT实例派生出新的NAT实例,并将派生出来的NAT实例与该上线用户关联。我们将用户上线消息中携带的NAT实例称为父实例,该实例派生出来的实例称为NAT子实例;后续,由NAT子实例处理地址转换业务。NAT子实例的主备关系与UCM决策的主备关系保持一致。
(3) 当上线成功的用户的流量到达主用接口后,UP根据CGN策略进行地址转换。
(4) CGN将主用接口所在UP上的用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息备份到备用接口所在的UP。当备用接口升级为主用接口时,新的主用接口所在UP上,用户转换后的公网地址不会发生变化。
关于UP备份的详细介绍,请参见“BRAS业务配置指导”中的“UP备份”;关于UCM的详细介绍,请参见“BRAS业务配置指导”中的“UCM”。
如图1-16所示,以转发与控制分离的1:2温备为例,说明该场景中CGN框间备份的配置环境搭建过程:
(1) UP A、UP B和UP C加入同一UP备份组。
(2) 分别在CP、UP A、UP B和UP C上创建NAT实例1,在各个UP的NAT实例1下配置相同的地址转换规则。
(3) 分别在UP A、UP B和UP C上为每一对备份关系创建多机备份实例。
(4) 分别在UP A、UP B和UP C上将NAT实例与多机备份实例绑定。NAT会创建一个业务备份通道,用于备份用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息。
完成上述配置后,转发与控制分离1:N温备场景中的CGN框间备份环境搭建完成。以UP A的主接口处于主用状态为例,介绍CGN框间备份的工作机制,具体如下:
(1) UP A的主用接口正常工作时,由UP A的NAT实例1中的CGN单板处理NAT业务。如果NAT实例关联的业务实例组中包含多个备份组,则NAT根据负载分担算法将NAT业务均匀地分配到各个备份组。
(2) UP A通过备份通道将NAT实例1的用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息备份到UP B和UP C上。
(3) 当出现UP A的主用接口故障、UP A与CP的CUSP通道故障,或CP监测到的其他故障情况时,CP通知UP A将其主用接口降为备用状态,通知UP B和UP C的接口升为主用状态。
(4) 用户流量到达UP B和UP C的主用接口后,UP B和UP C根据备份信息以及各自的CGN策略进行地址转换。
图1-16 1:N温备场景中的CGN框间备份示意图
NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中,NAT444仅需在运营商侧引入二次NAT,对终端和应用服务器端的更改较小,并且NAT444通过端口块分配方式解决用户溯源等问题,因此成为了运营商的首选IPv6过渡方案。
NAT444解决方案分为集中部署和分布部署两种。
通过在CR(Core Router,核心路由器)设备上安装NAT业务板或者旁挂NAT444设备来实现NAT444。如图1-17所示,用户访问外部网络时,CPE设备上进行第一次NAT转换,然后在BRAS上完成AAA认证和私网地址的分配,认证通过后,用户发起访问外网的报文会在NAT444网关上进行第二次NAT转换。
图1-17 NAT444集中部署组网图
通过在BRAS设备上安装NAT业务板实现NAT444,此种部署方式需要配置BRAS联动功能。如图1-18所示。配置NAT444网关与BRAS联动(通过在认证ISP域中指定具体的用户地址类型),用户通过AAA认证并分配得到私网地址之后,NAT444网关会立即为该用户分配公网地址以及端口块,并将用户的私网IP地址、分配的公网地址及该端口块的映射关系通知给BRAS(如果NAT444网关上可分配的公网资源已耗尽,BRAS会强制用户下线,也不会对用户进行计费)。BRAS记录该地址映射关系,并将这个映射关系上报给AAA服务器。之后,该用户访问外部网络时直接使用NAT444网关已经分配的公网地址和端口块。通过此联动功能,AAA服务器能够获得并统一维护所有用户的地址映射关系,提供更便捷的用户溯源服务。
目前,仅支持对PPPoE和IPoE用户的业务与NAT444网关联动。
图1-18 NAT444分布式部署组网图
分属不同VPN的内部网络主机使用了相同的地址空间,为了实现不同VPN中地址重叠的内网主机互访,需要配置静态NAT,对同一个方向的同一条流的数据报文同时进行源IP地址转换和目的IP地址转换。
如图1-19所示,VPN 1和VPN 2中的内网用户地址均为192.168.1.1。配置静态NAT,将VPN 1中Host A的地址在VPN 2中转换为172.16.1.1,将VPN 2中Host B的地址在VPN 1中转换为172.16.2.1。当静态NAT生效后,Host A使用172.16.2.1能够访问Host B,Host B使用172.16.1.1能够访问Host A。
图1-19 地址中叠的两个VPN之间互访
当内部网络主机使用外网注册地址或者合法的外网地址访问外部网络时,内网主机的IP地址和外网主机的IP地址可能会发生重叠。为了实现内网主机能够成功访问与之地址重叠的外部服务器,需要配置NAT ALG+动态NAT。
如图1-20所示,内网Host通过域名访问外网Web服务器,Host和Web服务器的IP地址均为192.168.1.1。
(1) 内网Host首先向外网的DNS服务器发起DNS查询请求。
(2) DNS服务器发送的DNS应答报文中,Web服务器的域名对应的IP地址为192.168.1.1。DNS应答报文经过NAT设备时,进行DNS的NAT ALG处理,将DNS应答报文中域名对应的IP地址192.168.1.1转换为10.1.1.1(该地址为临时分配的NAT地址)。NAT设备将ALG处理后的DNS应答报文发送给内网Host。
(3) Host访问Web服务器的报文中,源IP地址为192.168.1.1,目的IP地址为10.1.1.1。报文经过NAT设备时,NAT设备根据动态NAT配置将源地址192.168.1.1转换为20.1.1.1;NAT设备检测到目的地址10.1.1.1为临时分配的NAT地址,根据步骤(2)中的转换关系,将10.1.1.1转换为192.168.1.1。
DS-Lite(Dual Stack Lite,轻量级双协议栈)技术综合了IPv4 over IPv6隧道技术和NAT技术,利用隧道技术实现通过IPv6网络连接隔离的IPv4网络,利用NAT技术实现不同的用户网络共享相同的IPv4地址空间,减缓IPv4地址的耗尽速度。关于DS-Lite隧道的详细介绍,请参见“三层技术-IP业务配置指导”中的“IPv4 over IPv6隧道”。
在DS-Lite网络中,B4设备作为用户网络的网关负责执行隧道报文的封装和解封装,AFTR设备作为隧道端点设备和NAT网关负责执行隧道报文的封装、解封装以及对解封装后用户网络报文的源IPv4地址进行转换。
图1-21 DS-Lite网络组网图
在该组网环境下,AFTR设备可基于B4的IPv6地址对B4分配端口块,以B4为网关的私网主机共用该B4的端口块访问IPv4网络。该方式支持基于端口块的用户溯源。
根据NAT规则的应用范围,将NAT地址转换方式分为接口NAT和全局NAT两类:
· 对于接口NAT,需要在接口上应用NAT规则,根据该NAT规则进行NAT操作。
· 对于全局NAT,需要配置NAT实例,通过QoS策略将需要进行地址转换的流量引到NAT实例中,按照NAT实例中的NAT规则进行NAT操作。
接口NAT和全局NAT互斥,存在接口NAT的配置时,将无法配置NAT实例,反之亦然。如果需要将NAT地址转换方式由接口NAT更改为全局NAT,则需要删除所有接口NAT的配置才能配置全局NAT;反之,如果需要将NAT地址转换方式由全局NAT更改为接口NAT,则需要删除所有NAT实例才能配置接口NAT。
NAT通用配置限制和指导如下:
· 若同时存在普通NAT静态地址转换、普通NAT动态地址转换、内部服务器、NAT端口块静态映射、NAT端口块动态映射和DS-Lite B4地址转换的配置,则在地址转换过程中,它们的优先级从高到低依次为:
a. 内部服务器。
b. 普通NAT静态地址转换。
c. NAT端口块静态映射。
d. NAT端口块动态映射和普通NAT动态地址转换,系统在处理IPv4报文时对二者不做区分,统一按照ACL编号由大到小的顺序匹配。
e. DS-Lite B4地址转换的处理优先级与NAT端口块动态映射和NAT动态地址转换处于同一个级别,只不过DS-Lite B4地址转换处理的是IPv6报文。
· 应用NAT后,如果修改QoS策略中ACL的rule规则,不会影响已经NAT处理过的流量,只影响后续的流量。
· 使用MQC方式QoS策略重定向到NAT时:
¡ 在接口或全局配置的MQC方式的QoS策略与接口下配置的策略路由匹配到相同流量,例如两者引用ACL规则相同时,则策略路由优先生效,不再匹配QoS策略。
· 在DS-Lite网络中,请确保DS-Lite隧道物理出接口的MTU值比DS-Lite隧道接口的MTU值至少大40字节(即IPv6基本报文头长度),否则可能导致报文转发失败。
· 当QoS策略的流量重定向动作切换至重定向到指定的单板,或者从重定向到指定单板切换至其他重定向动作后,需要使用reset ip fast-forwarding cache slot命令清除指定单板上的快速转发表中的信息。
· 支持非VPN实例下或相同VPN实例内的地址转换,本功能仅在下表所列单板上配置生效。
表2-1 单板信息一览表
|
单板类型 |
单板丝印 |
|
CEPC单板 |
CEPC-XP4LX、CEPC-XP24LX、CEPC-XP48RX、CEPC-CP4RX、CEPC-CP4RX-L |
|
CSPEX单板 |
CSPEX-1304X、CSPEX-1304S、CSPEX-1404X、CSPEX-1404S、CSPEX-1502X、CSPEX-1504X、CSPEX-1504S、CSPEX-1602X、CSPEX-1804X、CSPEX-1512X、CSPEX-1612X、CSPEX-1812X |
|
SPE单板 |
RX-SPE200 |
在特定场景下,用于定义地址转换的ACL规则,至少包含以下任意一项规则信息参数,如表2-2所示:
表2-2 特定场景下ACL规则的条件
|
场景 |
至少包含以下任意一项规则信息参数 |
|
普通的联动用户接入 |
源IP地址、VPN实例或user-group用户组 |
|
负载均衡的联动用户接入 |
user-group用户组 |
|
通过流量触发分配端口块 |
源IP地址、VPN实例、源端口、协议类型或user-group用户组 |
配置BRAS联动功能时,需要注意:
· 目前,支持BRAS联动功能的用户地址类型包括私网IP地址(private-ipv4)、私网双栈地址(private-ds)和轻量级双栈地址(ds-lite)。
· 用户上线后,无法更改NAT端口块配置。只有在所有用户下线后,才能更改NAT端口块配置。
等价出接口均配置接口NAT时,需要保证等价出接口下的NAT配置完全一致。否则,NAT只能使用其中一个接口下的NAT地址进行地址转换,导致转换结果和预期不符,还会造成NAT地址资源浪费。
(1) 配置全局NAT基本功能
(2) 配置全局NAT地址池
(3) 配置全局NAT的地址转换方式和端口分配方式
(4) (可选)配置允许共享单个公网IP的私网用户的最大数目
(5) (可选)开启增量端口块映射关系上报功能
(6) (可选)提高NAT业务的可靠性
(7) (可选)限制NAT业务板上协议报文上送CPU的速率
(8) (可选)NAT支持转发与控制分离组网
(9) (可选)配置NAT DNS mapping功能
(10) (可选)配置NAT ALG
(11) (可选)开启NAT设备收到免费ARP报文时的应答能力
(12) (可选)配置NAT日志和告警功能
(1) 配置接口上的地址转换方式和端口分配方式
¡ 配置静态地址转换
(2) 指定处理NAT业务的slot
有如下两种方式指定处理NAT业务的slot,请选择其中一种进行配置。
如果需要使用具有NAT能力的业务板进行NAT处理,则必须在配置了NAT业务的接口上指定该业务板。
通过配置本功能并结合QoS策略等功能,才能实现在指定的CGN单板处理NAT业务的目的。
(3) (可选)配置允许共享单个公网IP的私网用户的最大数目
(4) (可选)开启增量端口块映射关系上报功能
(5) 开启流量触发分配端口块功能
在使用CGN单板处理端口块方式的接口NAT业务的情况下,若NAT与BRAS没有联动,则需要开启本功能。
(6) (可选)提高NAT业务的可靠性
(7) (可选)限制NAT业务板上协议报文上送CPU的速率
(8) (可选)配置NAT hairpin功能
(9) (可选)配置NAT DNS mapping功能
(10) (可选)配置NAT ALG
(11) (可选)配置NAT日志和告警功能
全局NAT适用于出接口不固定的场景,当出接口发生变化时,用户无需更改相关配置。
在全局NAT中,由于提供NAT业务的CGN单板没有接口,因此需要通过QoS策略将用户流量由入接口板引到CGN单板进行地址转换。实现机制如下:
· NAT实例关联业务实例组,此业务实例组关联备份组,备份组中的节点为CGN单板。关于业务实例组的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
· 通过QoS策略将用户流量引到NAT实例。NAT使用备份组中的主节点为匹配NAT实例中地址转换规则的用户流量提供地址转换服务。
在NAT与BRAS联动的场景中,对于上线成功的用户,接入设备将其加入一个负载分担用户组,并为其分配一个NAT实例,然后设备根据QoS策略将负载分担用户组的用户报文引到与其绑定的NAT实例中,NAT为匹配NAT实例中地址转换规则的用户报文提供地址转换服务。配置的总体思路如图2-1所示:
图2-1 NAT与BRAS联动场景的配置思路图
在非NAT与BRAS联动的场景中,设备根据QoS策略将用户流量引到相应的NAT实例中,NAT为匹配NAT实例中地址转换规则的用户流量提供地址转换服务。配置的总体思路如图2-2所示:
图2-2 非NAT与BRAS联动场景的配置思路图
NAT实例满足如下条件时才能生效:
· NAT实例与业务实例组关联。
· NAT实例关联的业务实例组和备份组关联,且该备份组中的主节点可以正常处理业务。
NAT与BRAS联动时,如果已经有与某NAT实例绑定的用户上线,则无法删除该NAT实例。
在NAT与BRAS联动的场景中,如果同一NAT实例下同时存在NAT端口块静态映射和NAT端口块动态映射,且NAT实例已经为使用不同类型的端口块的用户分配了端口块,需要保证使用两类端口块的私网用户的IP地址不重叠,否则可能导致用户报文被丢弃。
配置NAT实例前,需要创建业务实例组,并将业务实例组和备份组关联。关于业务实例组的详细介绍,请参见“可靠性配置指导”中的“业务实例组”;关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
QoS策略中的流行为绑定的NAT实例名称必须与ISP域下负载分担用户组绑定的NAT实例名称保持一致。
(1) 进入系统视图。
system-view
(2) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(3) 将NAT实例与业务实例组关联。
service-instance-group service-instance-group-name
缺省情况下,NAT实例未关联任何业务实例组。
(4) 配置全局NAT地址转换规则。请至少选择其中一项进行配置。
¡ 配置NAT端口块静态映射。
请参见“2.9.4 配置全局NAT的端口块静态映射”
¡ 配置NAT端口块动态映射。
请参见“2.9.6 配置全局NAT的端口块动态映射”
¡ 配置DS-Lite B4端口块映射。
请参见“2.12.4 配置全局NAT的DS-Lite B4地址转换”
(5) 退回系统视图。
quit
(6) 配置负载分担用户组与NAT实例绑定。
a. 创建ISP域并进入其视图。
domain name isp-name
b. 指定负载分担用户组,并配置负载分担用户组和NAT实例的绑定关系。
user-group name group-name bind nat-instance instance-name
关于上述命令的详细介绍,请参见“安全配置指导”中的“AAA”。
(7) 退回系统视图。
quit
(8) 配置和应用QoS策略。
a. 配置ACL。
此ACL用于匹配特定用户组的用户报文,即ACL规则中需要指定user-group参数。关于ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
b. 定义匹配NAT业务流的类,使用上一步中的ACL作为匹配数据包的规则;定义流行为,将该流行为与NAT实例绑定。
c. 创建QoS策略,并将类和流行为绑定。
d. 在用户流量的入方向上应用QoS策略。
关于上述QoS命令的详细介绍,请参见“ACL和QoS配置指导”中的“QoS策略”。
(1) 进入系统视图。
system-view
(2) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(3) 将NAT实例与业务实例组关联。
service-instance-group service-instance-group-name
缺省情况下,NAT实例未关联任何业务实例组。
(4) 配置全局NAT地址转换规则。请至少选择其中一项进行配置。
¡ 配置静态地址转换
请参见“2.6.3 3. 配置全局NAT的出方向一对一静态地址转换”和“2.6.4 3. 配置全局NAT的出方向网段对网段静态地址转换”
¡ 配置出方向动态地址转换。
请参见“2.7.3 4. 配置全局NAT的出方向动态地址转换”
¡ 配置普通内部服务器。
请参见“2.8.4 配置全局NAT的普通内部服务器”
¡ 配置NAT端口块静态映射。
请参见“2.9.4 配置全局NAT的端口块静态映射”和“2.9.6 配置全局NAT的端口块动态映射”
¡ 配置DS-Lite B4端口块映射。
请参见“2.12.4 配置全局NAT的DS-Lite B4地址转换”
(5) 退回系统视图。
quit
(6) 配置和应用QoS策略。
a. 配置ACL。
此ACL用于匹配源IP地址。关于ACL的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
b. 定义匹配NAT业务流的类,使用上一步中的ACL作为匹配数据包的规则;定义流行为,将该流行为与NAT实例绑定。
c. 创建QoS策略,并将类和流行为绑定。
d. 在用户流量的入方向上应用QoS策略。
关于上述QoS命令的详细介绍,请参见“ACL和QoS配置指导”中的“QoS策略”。
全局NAT地址池是公网IPv4地址的集合,为统一管理设备上的NAT地址提供了便利,解决了NAT资源分配不均、资源浪费的问题。使用全局NAT地址池后,地址资源将通过全局地址池统一调控,由流量或者用户需求动态触发地址资源的申请和释放。
静态全局地址池,用于为单台设备提供统一的NAT地址管理功能。其工作机制如下:
(1) 将NAT地址组与静态全局NAT地址池绑定后,全局NAT地址池将为该NAT地址组分配初始网段。
(2) 内网用户向公网发起首次连接时,NAT设备使用静态全局NAT地址池为NAT地址组分配的初始网段中的地址进行地址转换。
(3) 当NAT地址组中初始网段地址的使用率大于等于申请阈值时,该NAT地址组向绑定的全局NAT地址池申请扩展地址段;当NAT地址组中地址的使用率小于释放阈值时,该NAT地址组向全局NAT地址池释放未被使用的扩展地址段。
动态全局地址池,用于在转发与控制分离组网中为所有UP设备提供统一的NAT地址申请与管理功能。
非1:N温备场景中,动态全局NAT地址池的工作机制如下:
(1) 在UP上创建动态全局NAT地址池,并将动态全局NAT地址池与CP上nat-central类型的IP地址池绑定,或者与包含nat-central类型的IP地址池组绑定。
(2) UP设备进行地址转换操作前,会向CP设备上的nat-central类型的IP地址池或包含nat-central类型的IP地址池组申请子网段地址空间。
(3) CP将申请到的子网段地址空间分配给UP设备上的动态全局NAT地址池进行地址转换。
(4) NAT设备周期性统计动态全局NAT地址池的地址使用率,当动态全局NAT地址池的地址使用率大于等于申请阈值时,UP向CP申请新的地址段;当动态全局NAT地址池的地址使用率小于释放阈值时,UP通知CP回收空闲的地址段。
非1:N温备场景中,在UP设备上将NAT地址组与动态全局NAT地址池绑定后,其工作机制如下:
(1) 全局NAT地址池将为该NAT地址组分配初始网段。
(2) 内网用户向公网发起首次连接时,NAT设备使用动态全局NAT地址池为NAT地址组分配的初始网段中的地址进行地址转换。
(3) 当NAT地址组中初始网段地址的使用率大于等于申请阈值时,该NAT地址组向绑定的全局NAT地址池申请扩展地址段;当NAT地址组中地址的使用率小于释放阈值时,该NAT地址组向全局NAT地址池释放未被使用的扩展地址段。
1:N温备场景中,用户上线成功后,会触发如下派生行为:
· NAT实例会派生出名称以“Sub”开头的子实例。派生出的子实例继承父实例的配置。
· 与CP上nat-central类型的IP地址池绑定的动态全局NAT地址池,派生出名称以“Sub”开头的子地址池。派生出的子地址池继承父地址池的配置。
· 与动态全局NAT地址池绑定的NAT地址组,派生出名称以“Sub”开头的子地址组。派生出的子地址组继承父地址组的配置。
完成上述派生行为后,1:N温备场景中由动态全局NAT子地址池、NAT子地址组进行地址申请和管理工作。动态全局NAT子地址池、NAT子地址组的工作机制与非1:N温备场景中动态全局NAT地址池、NAT地址组的工作机制相同。
(1) 进入系统视图。
system-view
(2) 创建静态全局NAT地址池,并进入全局NAT地址池视图。
nat ip-pool pool-name
(3) 配置全局NAT地址池的地址段。
section section-id start-ip mask { mask-length | mask }
缺省情况下,未配置全局NAT地址池的地址段。
(4) 配置全局NAT地址池的初始地址段掩码长度/掩码和扩展地址段长度/掩码。
subnet length initial { mask-length | mask } [ extend { mask-length | mask } ]
缺省情况下,全局NAT地址池的初始地址段掩码长度和扩展地址段掩码长度为27,即掩码为255.255.255.224。
(5) 配置全局NAT地址池的地址段申请阈值和释放阈值。
ip-usage-threshold upper-limit upper-value lower-limit lower-value
缺省情况下,全局NAT地址池的地址段申请阈值为80%,释放阈值为20%。
(1) 进入系统视图。
system-view
(2) 创建动态全局NAT地址池,并进入全局NAT地址池视图。
nat ip-pool pool-name dynamic [ backup ]
(3) 将动态全局NAT地址池与DHCP服务器上的IP地址池或地址池组绑定。
bind dhcp-server-pool server-pool-name
缺省情况下,动态全局NAT地址池未绑定任何DHCP服务器上的IP地址池或地址池组。
(4) 配置全局NAT地址池的初始地址段掩码长度/掩码和扩展地址段长度/掩码。
subnet length initial { mask-length | mask } [ extend { mask-length | mask } ]
缺省情况下,全局NAT地址池的初始地址段掩码长度和扩展地址段掩码长度为27,即掩码为255.255.255.224。
(5) 配置全局NAT地址池的地址段申请阈值和释放阈值。
ip-usage-threshold upper-limit upper-value lower-limit lower-value
缺省情况下,全局NAT地址池的地址段申请阈值为80%,释放阈值为20%。
入方向的静态地址转换建议与接口上的出方向动态地址转换(nat outbound)、内部服务器(nat server)或出方向静态地址转换(nat static outbound)配合使用,以实现双向NAT。
使用CGN单板处理NAT业务的环境中,对于出方向静态地址转换,需要将出方向静态地址转换映射与节点为CGN单板的备份组绑定,否则会导致反向报文地址转换失败。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
nat static enable命令和nat instance命令互斥,不能同时配置。
· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。
· 对于入方向静态地址转换,需要手动添加路由:目的地址为静态地址转换配置中指定的local-ip或local-network;下一跳为静态地址转换配置中指定的外网地址,或者报文出接口的实际下一跳地址。
出方向一对一静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网IP地址local-ip进行匹配,并将匹配的源IP地址转换为global-ip。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网IP地址global-ip进行匹配,并将匹配的目的IP地址转换为local-ip。
(1) 进入系统视图。
system-view
(2) 配置出方向一对一静态地址转换映射。
nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启接口上的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置出方向一对一静态地址转换映射。
nat static outbound local-ip [ vpn-instance local-vpn-instance-name ] global-ip [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]
(3) 进入NAT实例视图。
nat instance instance-name id id
(4) 开启NAT实例的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
出方向网段对网段静态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络到一个外部公有网络的地址转换,具体过程如下:
· 对于经过该接口发送的内网访问外网的报文,将其源IP地址与指定的内网网络地址进行匹配,并将匹配的源IP地址转换为指定外网网络地址之一。
· 对于该接口接收到的外网访问内网的报文,将其目的IP地址与指定的外网网络地址进行匹配,并将匹配的目的IP地址转换为指定的内网网络地址之一。
(1) 进入系统视图。
system-view
(2) 配置出方向网段对网段静态地址转换映射。
nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]
(3) 进入接口视图。
interface interface-type interface-number
(4) 开启接口上的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 配置出方向网段对网段静态地址转换映射。
nat static outbound net-to-net local-start-address local-end-address [ vpn-instance local-vpn-instance-name ] global global-network { mask-length | mask } [ vpn-instance global-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } [ reversible ] ] [ failover-group group-name ]
(3) 进入NAT实例视图。
nat instance instance-name id id
(4) 开启NAT实例的NAT静态地址转换功能。
nat static enable
缺省情况下,NAT静态地址转换功能处于关闭状态。
在同时配置了多条动态地址转换的情况下:
· 指定了ACL参数的动态地址转换配置的优先级高于未指定ACL参数的动态地址转换配置。
· 对于指定了ACL参数的动态地址转换配置,其优先级由ACL编号的大小决定,编号越大,优先级越高。
· 在NAT与BRAS联动的场景中,用户上线成功后,设备将按照接口索引从小到大的顺序遍历所有接口上的地址转换配置,流量优先与接口索引较小的地址转换配置中的ACL规则进行匹配,匹配成功后,不再与接口索引较大的地址转换配置中的ACL规则进行匹配。因此,请谨慎配置各接口的地址转换中的ACL规则,避免出现流量匹配错误导致地址转换失败的情况。
对于多形态防火墙设备,如果NO-PAT方式的地址转换需要进行DNS ALG处理,则配置的地址组成员个数应不少于安全业务板数乘以内部服务器数的个数,从而保证每个处理NAT业务的业务引擎上都有足够的地址资源用于转换。
· 配置控制地址转换范围的ACL。ACL配置的相关介绍请参见“ACL和QoS配置指导”中的“ACL”。
· 确定是否直接使用接口的IP地址作为转换后的报文源地址。
· 配置根据实际网络情况,合理规划可用于地址转换的公网IP地址组。
· 确定地址转换过程中是否使用端口信息。
出方向动态地址转换用于实现一个内部私有网络地址到一个外部公有网络地址的转换。
对于接口上的出方向动态地址转换,通常在外网侧接口上执行相关配置。
配置接口上的出方向动态地址转换后,将无法配置nat instance命令,反之亦然。
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。(仅部分产品支持)
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
该配置只对出方向动态地址转换的PAT方式起作用。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) 添加地址成员。
address start-address end-address
缺省情况下,不存在地址成员。
可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。
(5) 退回系统视图。
quit
(6) 进入接口视图。
interface interface-type interface-number
(7) 配置接口上的出方向动态地址转换。请至少选择其中一项进行配置。
¡ NO-PAT方式。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] no-pat [ reversible ]
¡ PAT方式。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ vpn-instance vpn-instance-name ] [ port-preserved ]
一个接口下可配置多个出方向的动态地址转换。
|
参数 |
功能 |
|
address-group |
不指定该参数时,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能 |
|
no-pat reversible |
在指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址 |
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
该配置只对PAT方式的出方向动态地址转换有效。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) 添加地址成员。
address start-address end-address
缺省情况下,不存在地址成员。
可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。
(5) 退回系统视图。
quit
(6) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(7) 配置全局NAT的出方向动态地址转换。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] | [ port-preserved ] ]
缺省情况下,不存在全局NAT出方向动态地址转换配置。
不同的NAT实例中的出方向动态地址转换不能使用同一个NAT地址组。
PAT模式的地址转换中,有两种端口分配方式:
· 端口复用分配:三元组(源地址、源端口号、协议类型)不同的会话或五元组(源地址、源端口号、协议类型、目的地址、目的端口号)不同的会话可以共享同一个转换后的源端口。三元组或五元组信息中有一个元素不同即为不同的会话。
· 逐端口分配:三元组(源地址、源端口号、协议类型)不同的会话或五元组(源地址、源端口号、协议类型、目的地址、目的端口号)不同的会话,必须使用不同的转换后的源端口。三元组或五元组信息中有一个元素不同即为不同的会话。
逐端口分配方式适用于用户业务较少、所需端口数较少的情况。
通过本配置指定一种端口分配方式后,在一分钟之内不允许切换为另一种端口分配方式。
port-single-alloc enable命令与port-block命令互斥,不能同时配置。
(1) 进入系统视图。
system-view
(2) 进入NAT地址组视图。
nat address-group group-id
(3) 启用逐端口分配方式。
port-single-alloc enable
缺省情况下,端口的分配方式为端口复用分配方式。
内部服务器通常配置在外网侧接口上。通过在NAT设备上配置内部服务器,建立一个或多个内网服务器内网地址和端口与外网地址和端口的映射关系,使外部网络用户能够通过配置的外网地址和端口来访问内网服务器。内部服务器可以位于一个普通的内网内,也可以位于一个VPN实例内。
内部服务器可以通过如下配置方式实现。
· 普通内部服务器:将内网服务器的地址和端口映射为外网地址和端口,允许外部网络中的主机通过配置的外网地址和端口访问位于内网的服务器。
· 负载分担内部服务器:在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的多台主机可以共同对外提供某种服务。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可根据内网服务器的权重和当前连接数,选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。
· 基于ACL的内部服务器:普通内部服务器方式必须指定公网地址,基于ACL内部服务器不用指定具体的公网地址,而是指定公网地址的集合,即通过ACL规则匹配过滤的一部分公网地址。对于符合ACL规则的报文,它的目的地址统一转换成相同的内部服务器地址和端口,它是普通内部服务器的扩展。
配置接口上的内部服务器后,将无法配置nat instance命令,反之亦然。
对于接口上的内部服务器,通常在外网侧接口上执行相关配置。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置普通内部服务器。请至少选择其中一项进行配置。
¡ 外网地址单一,未使用外网端口或外网端口单一。
nat server [ protocol pro-type ] global { global-address | current-interface | interface interface-type interface-number } [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ] [ reversible ]
¡ 外网地址单一,外网端口连续。
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 [ vpn-instance global-vpn-instance-name ] inside { { local-address | local-address1 local-address2 } local-port | local-address local-port1 local-port2 } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
¡ 外网地址连续,未使用外网端口。
nat server protocol pro-type global global-address1 global-address2 [ vpn-instance global-vpn-instance-name ] inside { local-address | local-address1 local-address2 } [ local-port ] [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
¡ 外网地址连续,外网端口单一。
nat server protocol pro-type global global-address1 global-address2 global-port [ vpn-instance global-vpn-instance-name ] inside { local-address [ local-port1 local-port2 ] | [ local-address | local-address1 local-address2 ] [ local-port ] } [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
一个接口下可以配置多个普通内部服务器。
(1) 进入系统视图。
system-view
(2) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(3) 将NAT实例与业务实例组关联。
service-instance-group service-instance-group-name
缺省情况下,NAT实例未关联任何业务实例组。
(4) 配置全局NAT的普通内部服务器。请至少选择其中一项进行配置。
¡ 外网地址单一,未使用外网端口。
nat server global global-address [ vpn-instance global-vpn-instance-name ] inside local-address [ vpn-instance local-vpn-instance-name ] [ reversible ]
¡ 外网地址单一,外网端口单一。
nat server protocol pro-type global global-address [ global-port ] [ vpn-instance global-vpn-instance-name ] inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ] [ reversible ]
¡ 外网地址使用接口的地址,外网端口单一。
nat server protocol pro-type global interface interface-type interface-number global-port [ vpn-instance global-vpn-instance-name ] inside local-address local-port [ vpn-instance local-vpn-instance-name ] [ reversible ]
在配置负载均衡内部服务器时,若配置一个外网地址,N个连续的外网端口号对应一个内部服务器组,或N个连续的外网地址,一个外网端口号对应一个内部服务器组,则内部服务器组的成员个数不能小于N,即同一用户不能通过不同的外网地址或外网端口号访问相同内网服务器的同一服务。
(1) 进入系统视图。
system-view
(2) 创建内部服务器组,并进入服务器组视图。
nat server-group group-id
(3) 添加内部服务器组成员。
inside ip inside-ip port port-number [ weight weight-value ]
一个内部服务器组内可以添加多个组成员。
(4) 退回系统视图。
quit
(5) 进入接口视图。
interface interface-type interface-number
(6) 配置负载分担内部服务器。
nat server protocol pro-type global { { global-address | current-interface | interface interface-type interface-number } { global-port | global-port1 global-port2 } | global-address1 global-address2 global-port } [ vpn-instance global-vpn-instance-name ] inside server-group group-id [ vpn-instance local-vpn-instance-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } ]
一个接口下可以配置多个负载分担内部服务器。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 配置基于ACL的内部服务器。
nat server global { ipv4-acl-number | name ipv4-acl-name } inside local-address [ local-port ] [ vpn-instance local-vpn-instance-name ]
一个接口下可以配置多个基于ACL的内部服务器。
NAT端口块地址转换是出方向地址转换,通常配置在外网侧接口上。例如,在NAT444场景中,通过在NAT444网关设备上配置NAT端口块地址转换,可以实现基于端口块的公网IP地址复用,使一个私网IP地址在一个时间段内独占一个公网IP地址的某个端口块。
对于NAT端口块动态映射,必须在NAT地址组中配置端口块参数,以实现基于端口块的地址转换。
配置接口上的NAT端口块静态映射或接口上的NAT端口块动态映射后,将无法配置nat instance命令,反之亦然。
对于接口上的NAT端口块静态映射,通常在外网侧接口上执行相关配置。
(1) 进入系统视图。
system-view
(2) 创建NAT端口块组,并进入NAT端口块组视图。
nat port-block-group group-id
(3) 添加私网地址成员。
local-ip-address start-address end-address
一个端口块组内,可以配置多个私网地址成员,但各私网地址成员之间的IP地址不能重叠。
(4) 添加公网地址成员。
global-ip-pool start-address end-address
一个端口块组内,可以配置多个公网地址成员,但各公网地址成员之间的IP地址不能重叠。
(5) 配置公网地址的端口范围。
port-range start-port-number end-port-number
缺省情况下,公网地址的端口范围为1~65535。
(6) 配置端口块大小。
block-size block-size
缺省情况下,端口块大小为256。
(7) (可选)限制分配给协议的端口数量。
port-limit { icmp | tcp | total | udp } number
缺省情况下,不对分配给协议的端口数量做限制。
(8) 退回系统视图。
quit
(9) 进入接口视图。
interface interface-type interface-number
(10) 配置NAT端口块静态映射。
nat outbound port-block-group group-id
缺省情况下,不存在NAT端口块静态映射配置。
一个接口下可配置多条基于不同端口块组的NAT端口块静态映射。
不同的NAT实例不能引用同一个端口块组。
(1) 进入系统视图。
system-view
(2) 创建NAT端口块组,并进入NAT端口块组视图。
nat port-block-group group-id
(3) 添加私网地址成员。
local-ip-address start-address end-address
一个端口块组内,可以配置多个私网地址成员,但各私网地址成员之间的IP地址不能重叠。
(4) 添加公网地址成员。
global-ip-pool start-address end-address
一个端口块组内,可以配置多个公网地址成员,但各公网地址成员之间的IP地址不能重叠。
(5) 配置公网地址的端口范围。
port-range start-port-number end-port-number
缺省情况下,公网地址的端口范围为1~65535。
(6) 配置端口块大小。
block-size block-size
缺省情况下,端口块大小为256。
(7) (可选)限制分配给协议的端口数量。
port-limit { icmp | tcp | total | udp } number
缺省情况下,不对分配给协议的端口数量做限制。
(8) 退回系统视图。
quit
(9) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(10) 配置全局NAT的端口块静态映射。
nat outbound port-block-group group-id
缺省情况下,不存在NAT端口块静态映射配置。
在IRF组网且NAT与BRAS联动的场景中,建议同时开启NAT端口块热备份功能和会话业务热备份功能(通过session synchronization enable命令),以保证主备倒换时尽可能缩短流量中断的时间。关于会话的详细介绍,请参见“安全配置指导”中的“会话管理”。
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。(仅部分产品支持)
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) 添加地址成员。
address start-address end-address
可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。
(5) (可选)配置端口范围。
port-range start-port-number end-port-number
缺省情况下,端口范围为1~65535。
该配置仅对PAT方式地址转换生效。
(6) (可选)限制分配给协议的端口数量。
port-limit { icmp | tcp | total | udp } number
缺省情况下,不对分配给协议的端口数量做限制。
(7) 配置端口块参数。
port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size] ]
缺省情况下,未配置NAT地址组的端口块参数。
该配置仅对PAT方式地址转换生效。
(8) 退回系统视图。
quit
(9) 进入接口视图。
interface interface-type interface-number
(10) 配置PAT方式出方向动态地址转换。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group group-id ] [ vpn-instance vpn-instance-name ] [ port-preserved ]
port-preserved参数对NAT端口块动态映射无效。
全局NAT的端口块动态映射可以使用NAT地址组中的地址成员作为地址转换后的地址,也可以使用全局NAT地址池中的地址资源作为地址转换后的地址,但这两种方式互斥,只能选择其中一种方式进行配置。
NAT地址组与全局NAT地址池绑定后,不允许执行如下操作:
· 通过address命令向该NAT地址组中添加地址成员。
· 取消该NAT地址组中端口块参数的配置。
· NO-PAT方式的出方向动态地址转换规则中指定该地址组。
同一个NAT地址组只能绑定一个全局NAT地址池,不同的NAT地址组可以绑定同一个全局NAT地址池。
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) 添加地址成员。
address start-address end-address
可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。
(5) (可选)配置端口范围。
port-range start-port-number end-port-number
缺省情况下,端口范围为1~65535。
该配置仅对PAT方式地址转换生效。
(6) (可选)限制分配给协议的端口数量。
port-limit { icmp | tcp | total | udp } number
缺省情况下,不对分配给协议的端口数量做限制。
(7) 配置端口块参数。
port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size] ]
缺省情况下,未配置NAT地址组的端口块参数。
该配置仅对PAT方式地址转换生效。
(8) 退回系统视图。
quit
(9) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(10) 配置PAT方式出方向动态地址转换。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] [ port-preserved ]
port-preserved参数对NAT端口块动态映射无效。
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) (可选)配置端口范围。
port-range start-port-number end-port-number
缺省情况下,端口范围为1~65535。
该配置仅对PAT方式地址转换生效。
(5) (可选)限制分配给协议的端口数量。
port-limit { icmp | tcp | total | udp } number
缺省情况下,不对分配给协议的端口数量做限制。
(6) 配置端口块参数。
port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size] ]
缺省情况下,未配置NAT地址组的端口块参数。
该配置仅对PAT方式地址转换生效。
(7) 退回系统视图。
quit
(8) 进入NAT实例视图。
nat instance instance-name id id
(9) 配置PAT方式出方向动态地址转换。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group group-id [ vpn-instance vpn-instance-name ] [ port-preserved ]
port-preserved参数对NAT端口块动态映射无效。
(10) 配置NAT地址组与全局NAT地址池绑定。
nat address-group group-id bind-ip-pool pool-name
缺省情况下,NAT地址组未绑定任何全局NAT地址池。
PAT模式或端口块方式的地址转换中,一个公网IP可以被多个私网用户共享。当私网用户接入数过多导致端口分配失败时,新上线的用户将无法访问外网,已经上线的用户将无法发起新的连接。使用本功能可以限制共享单个公网IP的私网用户数,把用户均摊到各个公网IP下,从而避免过多用户同时将同一个公网IP作为转换后的地址。
配置本功能后,只对新上线的用户数进行限制。已上线用户不受此功能限制。
(1) 进入系统视图。
system-view
(2) 进入NAT地址组视图。
nat address-group group-id
(3) 配置允许共享单个公网IP的私网用户的最大数目。
nat per-global-ip user-limit max-number
缺省情况下,不限制允许共享单个公网IP的私网用户数。
在NAT与BRAS联动的场景中,用户通过RADIUS认证并分配得到私网地址之后,设备会为其预先分配公网IP和端口块,并创建地址映射关系,然后通过RADIUS报文将上线用户获得的私网IP地址及其对应的公网IP和端口块等信息上报给RADIUS服务器。RADIUS服务器获得用户的地址映射关系后,将这些信息记录到在线用户信息中,以提供用户溯源服务。之后,如果用户向公网发起的连接使用了增量端口块,设备并不会将私网IP地址及其对应的公网IP和增量端口块等信息上报给RADIUS服务器,导致无法对使用增量端口块的用户进行溯源。开启本功能可以避免上述问题的产生。
当存在PPPoE或IPoE在线用户时,无法改变本功能的开启或关闭状态。
在系统视图下开启增量端口块映射关系上报功能后,将无法配置nat instance命令,反之亦然。
(1) 进入系统视图。
system-view
(2) 开启NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能。
nat extended-port-block report-radius enable
缺省情况下,NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入NAT实例视图。
nat instance instance-name id id
(3) 开启NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能。
nat extended-port-block report-radius enable
缺省情况下,NAT设备将用户私网IP与增量端口块的映射关系上报给RADIUS服务器的功能处于关闭状态。
配置接口上的DS-Lite B4地址转换后,将无法配置nat instance命令,反之亦然。
在配置接口上的DS-Lite B4地址转换之前,请确保B4设备和AFTR之间IPv6报文路由可达。
对于接口上的DS-Lite B4地址转换,通常在外网侧接口上执行相关配置。
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。(仅部分产品支持)
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) 添加地址成员。
address start-address end-address
可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。
(5) (可选)配置端口范围。
port-range start-port-number end-port-number
缺省情况下,端口范围为1-65535。
该配置仅对PAT方式地址转换生效。
(6) 配置端口块参数。
port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size] ]
缺省情况下,未配置NAT地址组的端口块参数。
该配置仅对PAT方式地址转换生效。
(7) 退回系统视图。
quit
(8) 进入接口视图。
interface interface-type interface-number
(9) 配置接口上的DS-Lite B4端口块映射。
nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id
缺省情况下,不存在DS-Lite B4端口块映射。
(1) 进入系统视图。
system-view
(2) (可选)配置PAT方式地址转换的模式为Endpoint-Independent Mapping。
nat mapping-behavior endpoint-independent { tcp [ tcp-5-tuple ] | udp [ udp-5-tuple ] } *
缺省情况下,PAT方式地址转换的模式为Connection-Dependent Mapping。
(3) 创建NAT地址组,并进入NAT地址组视图。
nat address-group group-id
(4) 添加地址成员。
address start-address end-address
可通过多次执行本命令添加多个地址成员,但是地址成员的地址不能重叠。
(5) (可选)配置端口范围。
port-range start-port-number end-port-number
缺省情况下,端口范围为1-65535。
该配置仅对PAT方式地址转换生效。
(6) 配置端口块参数。
port-block block-size block-size [ extended-block-number extended-block-number [ extended-block-size extended-block-size] ]
缺省情况下,未配置NAT地址组的端口块参数。
该配置仅对PAT方式地址转换生效。
(7) 退回系统视图。
quit
(8) 创建NAT实例并进入NAT实例视图。
nat instance instance-name id id
(9) 配置全局NAT的DS-Lite B4端口块映射。
nat outbound ds-lite-b4 { ipv6-acl-number | name ipv6-acl-name } address-group group-id
缺省情况下,不存在DS-Lite B4端口块映射。
如果需要使用具有NAT能力的业务板进行NAT处理,则必须在配置了NAT业务的接口上指定该业务板,才能使通过该接口进行NAT转换的报文重定向到业务板上进行处理。在NAT业务板上进行业务处理,可以提高NAT业务处理的性能。
指定处理NAT业务的slot后,将无法配置nat instance命令,反之亦然。
在配置处理NAT的业务板前,需要完成以下任务:
(1) 创建QoS策略,该策略中的流分类用于匹配NAT业务的流量,流行为用于将NAT业务的流量重定向到具有NAT能力的业务板。
(2) 在设备的入接口上应用上述QoS策略。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 指定处理NAT的业务板。
(独立运行模式)
nat service slot slot-number
(IRF模式)
nat service chassis chassis-number slot slot-number
缺省情况下,未指定处理NAT的业务板。
对于接口NAT,通过指定备份组,设备会将需要进行动态NAT(包括动态地址转换和NAT端口块动态映射)或NAT端口块静态映射的流量引到指定的备份组处理,提高了NAT业务处理的性能。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
使用CGN单板提供NAT功能的环境中,需要按照如下要求进行配置,否则可能会导致反向地址转换出错:
· 对于动态地址转换和NAT端口块动态映射,需要将NAT地址组与节点为CGN单板的备份组绑定。
· 对于NAT端口块静态映射,需要将NAT地址端口块组与节点为CGN单板的备份组绑定。
· 对于Easy IP方式的出方向动态地址转换,需要为其指定节点为CGN单板的备份组。
如果设备上创建了手动备份组,则只能指定手动备份组,不允许再指定自动备份组。
绑定的备份组可以不存在,但要使配置生效,必须通过failover group命令创建备份组。
· 配置BFD功能的接口请勿开启Easy IP功能,否则可能导致BFD功能不能正常使用。关于BFD的详细介绍请参见“可靠性配置指导”中的“BFD”。
· 配置路由协议的接口请勿开启Easy IP功能,否则可能导致路由协议不能正常使用。
· 配置Easy IP功能时,必须将提供NAT处理的业务板指定为流量出接口所在单板。
执行以下配置后,将无法配置nat instance命令,反之亦然:
· 将NAT地址组与备份组绑定
· 将NAT端口块组与备份组绑定
· 为Easy IP方式的动态地址转换指定备份组
在配置地址转换的备份组前,需要完成以下任务:
(1) 创建QoS策略,该策略中的流分类用于匹配NAT业务的流量,流行为用于将NAT业务的流量重定向到备份组。
(2) 在设备的入接口上应用上述QoS策略。
(3) 配置处理基于会话业务的备份组,该备份组与QoS策略中流行为重定向的备份组保持一致。
关于QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS策略”。
(1) 进入系统视图。
system-view
(2) 进入NAT地址组视图。
nat address-group group-id
(3) 配置NAT地址组与备份组绑定。
failover-group group-name
缺省情况下,NAT地址组未绑定任何备份组。
(1) 进入系统视图。
system-view
(2) 进入NAT端口块组视图。
nat port-block-group group-id
(3) 配置NAT端口块组与备份组绑定。
failover-group group-name
缺省情况下,NAT端口块组未绑定任何备份组。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 为Easy IP方式的动态地址转换指定备份组。
nat outbound easy-ip failover-group group-name [ channel channel-id ]
缺省情况下,没有为Easy IP方式的动态地址转换指定备份组。
对于端口块方式的地址转换,若NAT与BRAS没有联动,则需要开启本功能来驱动NAT设备通过用户的业务流量来触发端口块分配。在NAT与BRAS联动场景中,用户上线会触发端口块的分配,无需开启本功能。
在系统视图下开启流量触发分配端口块功能后,将无法配置nat instance命令。反之,如果配置了nat instance命令,将无法在系统视图下开启本功能。
(1) 进入系统视图。
system-view
(2) 开启流量触发分配端口块功能。
nat port-block flow-trigger enable
缺省情况下,流量触发分配端口块功能处于关闭状态。
(1) 进入系统视图。
system-view
(2) 进入NAT实例视图。
nat instance instance-name [ id id ]
(3) 开启流量触发分配端口块功能。
nat port-block flow-trigger enable
缺省情况下,流量触发分配端口块功能处于关闭状态。
网络中同时存在分布式部署CGN和集中式部署CGN的设备,并使用集中式部署的CGN对分布式部署的CGN进行NAT业务能力的备份。通常情况下,由分布式部署CGN的设备处理NAT业务。集中式备份分布式CGN指的是在分布式部署的CGN单板发生故障时,流量切换到集中式部署CGN的设备上,由集中式部署的CGN负责进行地址转换,从而实现对分布式部署CGN的NAT业务能力备份。当分布式部署的CGN单板故障恢复时,流量回切到分布式部署CGN的设备上进行地址转换。部署CGN的设备利用QoS策略或策略路由对流量的方向进行控制。关于QoS策略的详细介绍,请参见“ACL和QoS配置指导”中的“QoS策略”;关于策略路由的详细介绍,请参见“三次技术-IP路由配置指导”中的“策略路由”。
对于接口NAT,流量在CGN单板发生故障时自动切换,并在故障恢复后自动回切。
对于全局NAT,支持流量自动切换以及自动回切,也支持在特定需求下通过命令行手工切换,以及禁止自动回切。
在流量切换期间,已上线的用户不会下线。
集中式部署CGN设备上配置的公网地址不能与分布式部署CGN设备上配置的公网地址重复,保证公网地址在互联网上的唯一性。
对于接口NAT,QoS策略中流行为重定向的备份组必须与处理基于会话业务的备份组保持一致。
集中式部署不支持DS-Lite组网。
配置集中式备份分布式CGN前,需要完成如下配置:
· 创建备份组,并将CGN单板作为备份组的主节点。对于全局NAT,还需要配置业务实例组,并将业务实例组和备份组关联。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。关于业务实例组的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。
· 配置NAT基本功能。
(1) 配置引流策略(适用于路由方式实现流量切换)
a. 定义匹配NAT业务流的类,以及重定向到备份组的流行为。
b. 创建QoS策略,将类和流行为绑定。
c. 在设备的入接口上应用QoS策略。
(2) (可选)配置CGN板间热备。
a. 进入系统视图。
system-view
b. 开启会话业务热备份功能。
session synchronization enable
缺省情况下,仅备份端口块表项,不备份会话表项。关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
当备份组主、备节点均为CGN单板且需要进行CGN板间热备时,才需要开启本功能。
(3) 配置引流策略(适用于通过GRE隧道方式实现流量切换)
a. 定义两个均可匹配NAT业务流的类(假设为类A和类B),以及两个不同的流行为,分别为重定向到备份组的流行为和重定向到下一跳的流行为,其中下一跳地址为CR(Core Router,核心路由器)上某接口(通常为CR设备上的Loopback接口)的IP地址,且需要满足路由可达和出接口为Tunnel接口两个条件。
请优先定义重定向到备份组的流行为,否则即便BRAS上的CGN单板正常,流量也会被重定向到CR设备。
b. 创建QoS策略,将类A与重定向到备份组的流行为绑定;将类B与重定向到下一跳的流行为绑定。
c. 在设备的入接口上应用QoS策略。
(4) 配置处理基于会话业务的备份组。
session service-location acl [ ipv6 ] { acl-number | name acl-name } failover-group group-name
缺省情况下,未指定处理基于会话业务的备份组。
关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
(5) 开启集中式备份分布式CGN功能。
nat centralized-backup enable
缺省情况下,集中备份分布CGN功能处于关闭状态。
(1) 在CR上配置策略路由,并设置报文转发的下一跳为旁挂设备的Loopback接口的IP地址。
(2) 在旁挂设备上配置引流策略。
a. 定义匹配NAT业务流的类,以及重定向到备份组的流行为。
b. 创建QoS策略,将类和流行为绑定。
c. 在设备的入接口上应用QoS策略。
(3) 在旁挂设备上配置处理基于会话业务的备份组。
session service-location acl [ ipv6 ] { acl-number | name acl-name } failover-group group-name
缺省情况下,未指定处理基于会话业务的备份组。
关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
(4) 在旁挂设备上开启流量触发分配端口块功能。
nat port-block flow-trigger enable
缺省情况下,流量触发分配端口块功能处于关闭状态。
只有在旁挂设备上开启本功能,才能为需要进行地址转换的流量分配端口块。
(1) 配置引流策略。
a. 定义匹配NAT业务流的类,以及重定向到备份组的流行为。
b. 创建QoS策略,将类和流行为绑定。
c. 在设备的入接口上应用QoS策略。
(2) 配置处理基于会话业务的备份组。
session service-location acl [ ipv6 ] { acl-number | name acl-name } failover-group group-name
缺省情况下,未指定处理基于会话业务的备份组。
关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
(3) 开启流量触发分配端口块功能。
a. 进入系统视图。
system-view
b. 开启流量触发分配端口块功能。
nat port-block flow-trigger enable
缺省情况下,流量触发分配端口块功能处于关闭状态。
只有在CR设备上开启本功能,才能为切换到CR设备上需要进行地址转换的流量分配端口块。
执行nat centralized-backup manual switch命令后,切换到集中式部署CGN设备上的流量不会自动回切到分布式部署CGN的设备上进行地址转换。当分布式部署CGN的设备可用时,建议用户通过undo nat centralized-backup manual switch命令允许流量自动回切到分布式部署CGN的设备上进行地址转换。
在NAT与BRAS联动的场景中,执行nat centralized-backup manual switch命令时,需要保证NAT实例下存在生效的地址转换规则配置,否则会导致用户上线失败。
(1) 进入系统视图。
system-view
(2) 配置引流策略(适用于路由方式实现流量切换)
a. 定义匹配NAT业务流的类,以及重定向到NAT实例的流行为。
b. 创建QoS策略,将类和流行为绑定。
c. 在设备的入接口上应用QoS策略。
(3) 配置引流策略(适用于通过GRE隧道方式实现流量切换)
a. 定义两个均可匹配NAT业务流的类(假设为类A和类B),以及两个不同的流行为,分别为重定向到NAT实例的流行为和重定向到下一跳的流行为,其中下一跳地址为CR设备上某接口(通常为CR设备上的Loopback接口)的IP地址,且需要满足路由可达和出接口为Tunnel接口两个条件。
请优先定义重定向到NAT实例的流行为,否则即便BRAS上的CGN单板正常,流量也会被重定向到CR设备。
b. 创建QoS策略,将类A与重定向到NAT实例的流行为绑定;将类B与重定向到下一跳的流行为绑定。
c. 在设备的入接口上应用QoS策略。
(4) 进入NAT实例视图。
nat instance instance-name [ id id ]
(5) 开启集中式备份分布式CGN功能。
nat centralized-backup enable
缺省情况下,集中备份分布CGN功能处于关闭状态。
(6) (可选)将分布式部署CGN设备上的流量手工强制切换到集中式部署CGN设备上进行地址转换。
nat centralized-backup manual switch
缺省情况下,仅在分布式部署CGN设备上的CGN单板故障时,流量才会切换到集中式部署CGN的设备上进行地址转换。
(7) (可选)禁止集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换。
nat centralized-backup auto switchback disable
缺省情况下,允许集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换。
若无特殊需求,建议用户不要配置本命令。
(8) (可选)配置集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间。
nat centralized-backup switchback delay delay-time
缺省情况下,集中式备份分布式CGN设备上的流量自动回切到分布式部署CGN设备上进行地址转换的延迟时间为60秒。
(1) 进入系统视图。
system-view
(2) 在CR上配置策略路由,并设置报文转发的下一跳为旁挂设备的Loopback接口的IP地址。
(3) 在旁挂设备上配置引流策略
a. 定义匹配NAT业务流的类,以及重定向到NAT实例的流行为。
b. 创建QoS策略,将类和流行为绑定。
c. 在设备的入接口上应用QoS策略。
(4) 开启流量触发分配端口块功能。
nat port-block flow-trigger enable
缺省情况下,流量触发分配端口块功能处于关闭状态。
(5) 在旁挂设备上开启流量触发分配端口块功能。
a. 进入NAT实例视图。
nat instance instance-name [ id id ]
b. 开启流量触发分配端口块功能。
nat port-block flow-trigger enable
缺省情况下,流量触发分配端口块功能处于关闭状态。
只有在旁挂设备上开启本功能,才能为需要进行地址转换的流量分配端口块。
(1) 进入系统视图。
system-view
(2) 配置引流策略
a. 定义匹配NAT业务流的类,以及重定向到NAT实例的流行为。
b. 创建QoS策略,将类和流行为绑定。
c. 在设备的入接口上应用QoS策略。
同一设备CGN板间热备是指,部署在同一台物理设备上多个CGN单板之间的业务备份。
互为备份的CGN单板通过备份组来管理,分为主节点和备节点。通常情况下,主节点处于激活状态,处理NAT业务;备节点处于非激活状态,不处理NAT业务,为主节点提供冗余备份。主节点故障时,备节点会变成激活状态,接替主节点工作。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(1) 开启热备功能。(仅适用于部分产品)
a. 进入系统视图。
system-view
b. 开启会话业务热备份功能。
session synchronization enable
缺省情况下,会话业务热备份功能处于关闭状态。关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
(1) 进入系统视图。
system-view
(2) 创建备份组,并进入备份组视图。
failover group group-name [ id group-id ]
缺省情况下,存在自动备份组,自动备份组的名称中包含字符串AutoBackup。(支持自动备份组的设备)
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(3) 将节点加入手动备份组。
(独立运行模式)
bind slot slot-number cpu cpu-number { primary | secondary }
(IRF模式)
bind chassis chassis-number slot slot-number cpu cpu-number { primary | secondary }
缺省情况下,备份组内不存在节点。
不同备份组的主节点不能相同,同一备份组的主节点和备节点不能相同。
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
在CGN部署场景中,配置本功能后才能将NAT会话的流量引流到指定的备份组中进行NAT业务处理。
(1) 进入系统视图。
system-view
(2) 配置处理基于会话业务的备份组。
session service-location acl [ ipv6 ] { acl-number | name acl-name } failover-group group-name
缺省情况下,未指定处理基于会话业务的备份组。
关于本命令的详细介绍,请参加“安全配置指导”中的“会话管理”。
双机CGN框间热备配置任务如下:
(1) 开启热备功能
(2) 配置双机CGN框间热备的备份组
(6) 配置处理基于会话业务的备份组
(7) 配置NAT实例与多机备份实例绑定
在NAT与BRAS联动、转发与控制分离组网、私网侧用户VPN接入场景中,需要执行本配置。
(8) 配置保护隧道
在可能出现上下行流量路径不对称的场景中,需要执行本配置。
双机CGN框间热备是指,部署在两台独立物理设备上的CGN单板间的业务备份。在该备份方式下:
· 两台设备上的CGN单板在逻辑上作为同一个备份组的主备节点。
· 在两台设备间的三层直连链路上建立备份通道,通过该备份通道同步NAT表项和关联表项。关于NAT表项和关联表项的详细介绍,请参见“1.6 NAT表项和关联表项”。
· 在备份通道所在接口上创建一个VRRP备份组,并将两台设备上的备份组与该VRRP备份组进行绑定。备份组主备节点的激活状态由VRRP决定。VRRP中Master设备上的备份组节点处于激活状态,Backup设备上的备份组节点处于非激活状态。只有处于激活状态的节点才能处理NAT业务。
双机CGN框间热备的机制如下:
(1) 位于VRRP备份组中Master设备上的节点处理NAT业务,并通过备份通道将NAT表项和关联表项同步给Backup设备上的备份组节点。
(2) 当VRRP中的Master设备故障时,原来的Backup设备成为新的Master设备,由新Master设备上的备份组节点处理NAT业务。
关于VRRP的详细介绍和配置请参见“可靠性配置指导”中的“VRRP”。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
图2-3 双机CGN框间热备示意图
对于双机CGN框间热备,可以通过设置备份链路接口的MTU值来调整备份速率。修改备份链路接口的MTU值后,需要先关闭NAT端口块热备份功能和会话业务热备份功能,再重新开启NAT端口块热备份功能和会话业务热备份功能,才能使修改后的备份链路接口MTU值生效。关于MTU的详细介绍,请参见“接口管理配置指导”中的“以太网接口”。
(1) 配置CGN框间热备。(仅适用于部分产品)
a. 进入系统视图。
system-view
b. 开启会话业务热备份功能。
session synchronization enable
缺省情况下,会话业务热备份功能处于关闭状态。关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
(2) 配置双机CGN框间业务备份的备份组。
具体配置请参见“可靠性配置指导”中的“备份组”。
(3) 配置处理基于会话业务的备份组。
session service-location acl [ ipv6 ] { acl-number | name acl-name } failover-group group-name
缺省情况下,未指定处理基于会话业务的备份组。
关于本命令的详细介绍,请参加“安全配置指导”中的“会话管理”。
(4) 配置Track与备份组联动。
配置Track项关联备份组后,Track项会监控备份组节点的拔出或插入动作。当备份组节点拔出时,在该节点所在系统中配置的Track项状态变为Negative;当备份组节点插入时,在该节点所在系统中配置的Track项状态变为Positive。具体配置请参见“可靠性配置指导”中的“Track”。
(5) 配置双机CGN框间热备的VRRP备份组。
本节仅为配置VRRP的常用步骤,详细的配置步骤请参见“可靠性配置指导”中的“VRRP”。
a. 进入接口视图。
interface interface-type interface-number
该接口为备份链路的接口。
b. 创建备份组,并配置备份组的虚拟IP地址。
vrrp vrid virtual-router-id virtual-ip virtual-address
主备设备上的virtual-router-id和virtual-address必须相同。
c. 配置路由器在备份组中的优先级。
vrrp vrid virtual-router-id priority priority-value
需要为同一VRRP备份组中的设备设置不同的优先级,优先级较高的设备为VRRP中的主用设备。
d. 配置监视指定的Track项。
vrrp vrid virtual-router-id track track-entry-number { forwarder-switchover member-ip ip-address | priority reduced [ priority-reduced ] | switchover | weight reduced [ weight-reduced ] }
VRRP备份组通过监视Track项来调整VRRP中备份组的优先级。
组成双机CGN框间热备的两台设备上,分别创建名称和编号相同的备份组,并将各自的CGN单板加入备份组。
(1) 进入系统视图。
system-view
(2) 创建备份组,并进入备份组视图。
failover group group-name id group-id
缺省情况下,存在自动备份组,自动备份组的名称中包含字符串AutoBackup。(支持自动备份组的设备)
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(3) 将CGN单板加入备份组。
(独立运行模式)
bind slot slot-number cpu cpu-number vrrp
(IRF模式)
bind chassis chassis-number slot slot-number cpu cpu-number vrrp
缺省情况下,备份组内不存在节点。
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(1) 进入系统视图。
system-view
(2) 进入备份组视图。
failover group group-name [ id group-id ]
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(3) 指定备份通道。
remote-backup local ip-address peer peer-ip-address port port-number
缺省情况下,未指定双机CGN框间热备业务备份时使用的备份通道。
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
本节仅罗列VRRP的基本配置,VRRP的更多配置请参见“可靠性配置指导”中的“VRRP”。
(1) 进入系统视图。
system-view
(2) 配置Track与备份组联动。
track track-entry-number failover-group group-name
配置本命令后,Track项会监控备份组节点的拔出或插入动作。当备份组节点拔出时,在该节点所在系统中配置的Track项状态变为Negative;当备份组节点插入时,在该节点所在系统中配置的Track项状态变为Positive。
关于本命令的详细介绍,请参见“可靠性配置指导”中的“Track”。
(3) 退回系统视图。
quit
(4) 进入接口视图。
interface interface-type interface-number
该接口为备份链路的接口。
(5) 创建VRRP备份组,并配置VRRP备份组的虚拟IP地址。
vrrp vrid virtual-router-id virtual-ip virtual-address
主备设备上的virtual-router-id和virtual-address必须相同。
(6) 配置路由器在备份组中的优先级。
vrrp vrid virtual-router-id priority priority-value
需要为同一VRRP备份组中的设备设置不同的优先级,优先级较高的设备为VRRP中的主用设备。
(7) 配置VRRP监控与备份组联动的Track项。
vrrp vrid virtual-router-id track track-entry-number { forwarder-switchover member-ip ip-address | priority reduced [ priority-reduced ] | switchover | weight reduced [ weight-reduced ] }
VRRP备份组通过监控Track项来调整VRRP中备份组的优先级。
(1) 进入系统视图。
system-view
(2) 进入备份组视图。
failover group group-name [ id group-id ]
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(3) 绑定VRRP备份组。
bind-vrrp virtual-router-id interface interface-type interface-number
缺省情况下,未绑定VRRP备份组。
在CGN部署场景中,配置本功能后才能将NAT会话的流量引流到指定的备份组中进行NAT业务处理。
(1) 进入系统视图。
system-view
(2) 配置处理基于会话业务的备份组。
session service-location acl [ ipv6 ] { acl-number | name acl-name } failover-group group-name
缺省情况下,未指定处理基于会话业务的备份组。
关于本命令的详细介绍,请参见“安全配置指导”中的“会话管理”。
NAT实例与多机备份实例绑定后,NAT通过多机备份建立数据备份通道。通过该备份通道,主设备向备设备备份如下信息:
· NAT模块为NAT与BRAS联动上线用户创建的用户表。
· 转发与控制分离场景中,DHCP服务器为NAT分配的地址段信息。
· 私网侧VPN用户访问公网的场景中,NAT会话中的VPN信息。
NAT建立数据备份通道的步骤如下:
(1) NAT实例与多机备份实例绑定。
(2) NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接,该连接即为NAT数据的备份通道。
只有设备在多机备份实例中处于Master状态时,该设备上的NAT实例才能处理NAT业务。否则,即便该设备的CGN单板处于激活状态也不能处理NAT业务。
(1) 进入系统视图。
system-view
(2) 创建多机备份对端并进入多机备份对端视图。
vsrp peer peer-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(3) 退回系统视图。
quit
(4) 进入NAT实例视图。
nat instance instance-name id id
(5) 将NAT实例与多机备份实例绑定。
bind vsrp-instance vsrp-instance-name
缺省情况下,NAT实例未绑定多机备份实例。
(6) 退回系统视图。
quit
(7) (可选)配置NAT通过VSRP建立数据备份通道时使用的TCP端口号。
nat vsrp-port port-number
缺省情况下,NAT通过VSRP建立数据备份通道时使用的TCP端口号为60011。
需要保证双机框间备份的两台设备上通过本命令配置的端口号一致,否则TCP连接建立失败,无法进行NAT业务的数据备份。
如图2-4所示的网络环境中,私网侧链路故障触发VRRP 1的Master切换为Device B,但是VRRP 2的Master仍然为Device A,导致上下行流量路径不一致。当用户侧去往网络侧的流量到达双机CGN框间备份的备设备(Device B)时,由于备设备无法处理NAT业务,这些流量将被丢弃。为了解决上下行流量路径不对称导致的流量丢弃问题,NAT使用多机备份提供的保护隧道将流量透传到能够处理NAT业务的主设备上。
对于通过VPN接入的用户,还需要在NAT设备上配置允许该VPN接入保护隧道,否则私网侧VPN流量到达双机框间备份的备设备时,备设备无法使用保护隧道透传流量。
图2-4 接入侧和双机CGN框间备份的主设备不一致组网示意图
配置了保护隧道之后,私网侧流量到达VRRP中不同角色的设备时,处理方式如表2-3所示。
表2-3 VRRP中不同角色的设备处理私网侧流量的方式
|
NAT设备在VRRP中的角色 |
QoS策略中需要配置的流行为 |
处理需要进行地址转换的流量的方式 |
|
Master |
重定向到NAT实例 |
执行地址转换 |
|
Backup |
重定向到下一跳,下一跳地址为保护隧道对端地址 |
不能执行地址转换,使用保护隧道透传流量 |
私网侧用户通过VPN接入时,需要注意:
· 本端和对端需要配置相同的VPN实例。
· 需要配置nat protect-tunnel inside-vpn命令。
对于保护隧道引用的ACL规则,请都指定VPN实例或都不指定VPN实例,不允许只在ACL部分规则中指定VPN实例。关于ACL规则的详细介绍,请参见“ACL和QoS配置指导”中的“ACL”。
(1) 进入系统视图。
system-view
(2) 创建多机备份对端并进入多机备份对端视图。
vsrp peer peer-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(3) 配置保护隧道。请选择其中一项进行配置。
¡ 配置使用MPLS LSP隧道作为保护隧道。
protect lsp-tunnel for-all-instance peer-ip ip-address
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
¡ 配置使用SRv6隧道作为保护隧道。
protect srv6-tunnel for-all-instance locater locater-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(4) 退回系统视图。
quit
(5) 进入NAT实例视图。
nat instance instance-name id id
(6) (可选)配置允许进入保护隧道的流量所属的私网侧VPN实例。
nat protect-tunnel inside-vpn vpn-instance-name
缺省情况下,不允许私网侧VPN实例流量进入保护隧道。
需要保证允许进入保护隧道的流量所属的私网侧VPN实例与用户所属的VPN实例名称一致。
(2) 配置温备份UP备份策略模板关联的NAT实例(CP侧)
(4) 配置温备非负载分担模式(UP侧)
(6) 配置保护隧道(UP侧)
在可能出现上下行流量路径不对称的场景中,需要执行本配置。
CP以及互为备份的UP上需要创建相同的NAT实例。
互为备份的UP上的NAT实例下需要配置相同的地址转换规则。
(1) 进入系统视图。
system-view
(2) 创建CGN-UP备份策略模板并进入CGN-UP备份策略模板视图。
cgn-backup-profile profile-id warm-standby nat-instance instance-name
(3) 配置CGN-UP备份策略模板的备用UP。
backup up-id up-id
缺省情况下,未配置CGN-UP备份策略模板的备用UP。
(4) 配置CGN-UP备份策略模板的主用UP。
master up-id up-id
缺省情况下,未配置CGN-UP备份策略模板的主用UP。
在转发与控制分离的N:1温备场景中,当CP上创建了多个绑定了不同的NAT实例的CGN-UP备份策略模板,且这些CGN-UP备份策略模板下指定了相同主UP时,用户上线时随机使用不同NAT实例。发生主备切换和故障回切时,用户切换前后的NAT实例不保证相同。配置本功能后可以使用户在温备主备切换或故障回切前后使用的NAT实例不变。关于温备份UP备份策略模板的详细介绍,请参见CP设备“BRAS业务配置指导”中的“UP备份”。
需要在温备份的UP备份策略模板视图下执行backup-interface命令,配置UP备份策略模板的备用接口之后再配置本功能。
(1) 进入系统视图。
system-view
(2) 创建UP备份策略模板指定备份模式为温备份,并进入UP备份策略模板视图。
up-backup-profile profile-id warm-standby
(3) 配置温备份UP备份策略模板关联的NAT实例。
bind nat-instance instance-name
缺省情况下,温备份UP备份策略模板未关联的NAT实例。
NAT实例关联业务实例组,此业务实例组关联备份组,备份组中的节点为CGN单板。在转发与控制分离N:1温备场景中,仅主UP上激活状态的NAT实例中的CGN单板可以处理地址转换业务。关于业务实例组的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(1) 进入系统视图。
system-view
(2) 创建备份组,并进入备份组视图。
failover group group-name [ id group-id ]
缺省情况下,存在自动备份组,自动备份组的名称中包含字符串AutoBackup。(支持自动备份组的设备)
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(3) 将节点加入手动备份组。
(独立运行模式)
bind slot slot-number cpu cpu-number primary
(IRF模式)
bind chassis chassis-number slot slot-number cpu cpu-number primary
缺省情况下,备份组内不存在节点。
(4) 退回系统视图。
quit
(5) 创建业务实例组并进入业务实例组视图。
service-instance-group service-instance-group-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。
(6) 将业务实例组和备份组关联。
failover-group failover-group-name
缺省情况下,业务实例组未关联备份组。
关于本命令的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。
(7) 退回系统视图。
quit
(8) 进入NAT实例视图。
nat instance instance-name [ id id ]
(9) 将NAT实例与业务实例组关联。
service-instance-group service-instance-group-name
缺省情况下,NAT实例未关联任何业务实例组。
在转发与控制分离的N:1温备场景中,当主备UP切换时,为了尽可能保证用户转换后的公网地址不发生变化,以便进行用户溯源,需要在所有的主UP和备UP设备上将CGN的备份模式配置为温备。在CGN温备模式下,主UP设备会将用户表信息备份到备UP设备,用户表中包含地址映射关系等信息。当备UP设备升级为主UP设备时,会尽可能根据用户表中的映射关系进行地址转换。
(1) 进入NAT实例视图。
nat instance instance-name [ id id ]
(2) 配置转控分离场景下的CGN备份模式为温备非负载分担模式。
cu warm-standby-mode enable
缺省情况下,转控分离场景下的CGN不进行备份。
在CGN温备模式下,NAT实例与多机备份实例绑定后,NAT通过多机备份建立数据备份通道。通过该备份通道,主设备向备设备备份如下信息:
· NAT模块为NAT与BRAS联动上线用户创建的用户表。用户表中包含地址映射关系等信息。
· 私网侧VPN用户访问公网的场景中,备份标签信息。
NAT建立数据备份通道的步骤如下:
(1) NAT实例与多机备份实例绑定。
(2) 互为备份的UP设备上的NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接,该连接即为NAT数据的备份通道。
(1) 进入系统视图。
system-view
(2) 创建多机备份对端并进入多机备份对端视图。
vsrp peer peer-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(3) 退回系统视图。
quit
(4) 进入NAT实例视图。
nat instance instance-name [ id id ]
(5) 将NAT实例与多机备份实例绑定。
bind vsrp-instance vsrp-instance-name
缺省情况下,NAT实例未绑定多机备份实例。
(6) 退回系统视图。
quit
(7) (可选)配置NAT通过VSRP建立数据备份通道时使用的TCP端口号。
nat vsrp-port port-number
缺省情况下,NAT通过VSRP建立数据备份通道时使用的TCP端口号为60011。
需要保证CGN框间备份的主UP设备和备UP设备上通过本命令配置的端口号一致,否则TCP连接建立失败,无法进行NAT业务的数据备份。
如图2-5所示的网络环境中,接入侧的主UP为UP A和UP B,NAT业务的主UP为UP B和UP C,当用户侧去往网络侧的流量到达UP A时,由于UP A无法处理NAT业务,这些流量将被丢弃。为了解决上下行流量路径不对称导致的流量丢弃问题,NAT使用多机备份提供的保护隧道将流量透传到能够处理NAT业务的UP C上。
图2-5 接入侧和N:1温备场景中的CGN框间备份的主设备不一致组网示意图
私网侧用户通过VPN接入时,需要注意:
· 本端和对端需要配置相同的VPN实例。
· 需要配置nat protect-tunnel inside-vpn命令。
(1) 进入系统视图。
system-view
(2) 进入多机备份对端视图。
vsrp peer peer-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(3) 配置保护隧道。请选择其中一项进行配置。
¡ 配置使用MPLS LSP隧道作为保护隧道。
protect lsp-tunnel for-all-instance peer-ip ip-address
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
¡ 配置使用SRv6隧道作为保护隧道。
protect srv6-tunnel for-all-instance locater locater-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(4) 退回系统视图。
quit
(5) 进入NAT实例视图。
nat instance instance-name [ id id ]
(6) 将NAT实例与多机备份实例绑定。
bind vsrp-instance vsrp-instance-name
缺省情况下,NAT实例未绑定多机备份实例。
(7) (可选)配置允许进入保护隧道的流量所属的私网侧VPN实例。
nat protect-tunnel inside-vpn vpn-instance-name
缺省情况下,不允许私网侧VPN实例流量进入保护隧道。
需要保证允许进入保护隧道的流量所属的私网侧VPN实例与用户所属的VPN实例名称一致。
(1) 配置UP备份组(CP侧)
(4) 配置温备负载分担模式(UP侧)
CP以及两两之间互为备份的UP上需要创建相同的NAT实例,且NAT实例下需要配置相同的地址转换规则。
将互为备份的多台UP加入到同一个UP备份组。当UP备份组中的某个UP故障时,系统会将该UP的用户流量切换到其他UP上,保证用户业务的不中断。
当UP备份组中UP上存在加入了UP备份策略的接口时,不允许删除该UP备份组。
一个UP最多只能加入到一个UP备份组。
当UP正处于迁移过程中时,不允许将该UP加入或退出UP备份组。
如果UP备份组中的UP正在进行迁移,则不允许进行以下操作:
· 将其他UP加入该备份组
· 从该UP备份组删除UP
· 删除该UP备份组
(1) 进入系统视图。
system-view
(2) 创建UP备份组,并进入UP备份组视图。
up-backup-group group-name
(3) 将UP加入到UP备份组。
backup up-id up-id [ local-ip local-ip-address ]
不同UP加入同一UP备份组时,不能配置相同的local-ip-address。
在1:N温备负载分担模式的转发与控制分离场景下,需要指定N+1个主用接口。每个主用接口与另外N个主用接口两两之间形成N对主备备份关系。关于温备份UP备份策略模板的详细介绍,请参见CP设备“BRAS业务配置指导”中的“UP备份”。
在1:N温备负载分担模式的转发与控制分离场景下:
· 主用接口不少于2个,不超过16个,N个主用接口之间两两形成温备备份关系。
· 主用接口不能是子接口,任意两个主用接口不能位于同一UP设备。
· 在同一个UP备份策略模板中,各个主用接口的virtual-router-id值不能重复,且virtual-router-id取值范围为1~16。
(1) 进入系统视图。
system-view
(2) 创建温备负载分担备份模式的UP备份策略模板,并进入UP备份策略模板视图。
up-backup-profile profile-id warm-load-balance
(3) 配置UP备份策略模板的主用接口。
master-interface interface-type interface-number vrid virtual-router-id
缺省情况下,未配置UP备份策略模板的主用接口。
NAT实例关联业务实例组,此业务实例组关联备份组,备份组中的节点为CGN单板。在转发与控制分离1:N温备场景中,CGN根据CP下发的主备关系选择处理NAT业务的设备,由该设备上NAT实例中备份组的主节点处理NAT业务。
(1) 进入系统视图。
system-view
(2) 创建备份组,并进入备份组视图。
failover group group-name [ id group-id ]
缺省情况下,存在自动备份组,自动备份组的名称中包含字符串AutoBackup。(支持自动备份组的设备)
关于本命令的详细介绍,请参见“可靠性配置指导”中的“备份组”。
(3) 将节点加入手动备份组。
(独立运行模式)
bind slot slot-number cpu cpu-number primary
(IRF模式)
bind chassis chassis-number slot slot-number cpu cpu-number primary
缺省情况下,备份组内不存在节点。
(4) 退回系统视图。
quit
(5) 创建业务实例组并进入业务实例组视图。
service-instance-group service-instance-group-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。
(6) 将业务实例组和备份组关联。
failover-group failover-group-name
缺省情况下,业务实例组未关联备份组。
关于本命令的详细介绍,请参见“可靠性配置指导”中的“业务实例组”。
(7) 退回系统视图。
quit
(8) 进入NAT实例视图。
nat instance instance-name [ id id ]
(9) 将NAT实例与业务实例组关联。
service-instance-group service-instance-group-name
缺省情况下,NAT实例未关联任何业务实例组。
在转发与控制分离的1:N温备场景中,为了让CGN根据CP下发的主备关系形成CGN的主备关系,需要在所有的UP设备上开启温备负载分担模式。在温备负载分担模式下,主用状态的UP设备会将用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息备份到备用状态的UP设备上。当备UP设备升级为主UP设备时,根据用户表中的映射关系进行地址转换,用户转换后的公网地址不会发生变化。
(1) 进入系统视图。
system-view
(2) 进入NAT实例视图。
nat instance instance-name [ id id ]
(3) 配置转控分离场景下的CGN备份模式为温备负载分担模式。
cu warm-load-balance-mode enable
缺省情况下,转控分离场景下的CGN不进行备份。
在CGN温备模式下,NAT实例与多机备份实例绑定后,NAT通过多机备份建立数据备份通道。通过该备份通道,主设备向备设备备份如下信息:
· NAT模块为NAT与BRAS联动上线用户创建的用户表,以及全局NAT地址池的地址段信息、NAT地址组中的地址成员信息。用户表中包含地址映射关系等信息。
· 私网侧VPN用户访问公网的场景中,备份标签信息。
NAT建立数据备份通道的步骤如下:
(1) NAT实例与多机备份实例绑定。
(2) 互为备份的UP设备上的NAT模块根据多机备份实例两端设备的IP地址信息建立TCP连接,该连接即为NAT数据的备份通道。
(1) 进入系统视图。
system-view
(2) 创建多机备份对端并进入多机备份对端视图。
vsrp peer peer-name
关于本命令的详细介绍,请参见“可靠性配置指导”中的“多机备份”。
(3) 退回系统视图。
quit
(4) 进入NAT实例视图。
nat instance instance-name [ id id ]
(5) 将NAT实例与多机备份实例绑定。
bind vsrp-instance vsrp-instance-name
缺省情况下,NAT实例未绑定多机备份实例。
(6) 退回系统视图。
quit
(7) (可选)配置NAT通过VSRP建立数据备份通道时使用的TCP端口号。
nat vsrp-port port-number
缺省情况下,NAT通过VSRP建立数据备份通道时使用的TCP端口号为60011。
需要保证CGN框间备份的主UP设备和备UP设备上通过本命令配置的端口号一致,否则TCP连接建立失败,无法进行NAT业务的数据备份。
如图2-6所示,NAT实例与业务实例组关联,该业务实例组关联了多个备份组,这些备份组之间进行负载分担,共同组成了一个负载分担组。同一备份组的主节点和备节点可以进行NAT业务备份。
NAT设备根据负载分担算法,将流量或上线用户比较均匀地分配到负载分担组中的各个备份组,从而实现NAT业务的负载分担。当负载分担组中的某个备份组失效时,NAT设备的处理机制如下:
· 在NAT与BRAS联动的场景中,NAT设备根据负载分担算法,将失效备份组上的全部用户迁移到当前用户最少的备份组处理。
· 非联动场景中,NAT设备根据负载分担算法将失效备份组上的流量分配到剩余的备份组处理。
在NAT与BRAS联动的场景中,如果某个备份组的主节点故障,但是备份组无法感知到故障时,该备份组中的备节点不会切换为主节点,也不会触发NAT实例将用户迁移到其他备份组中,导致用户无法通过该NAT实例进行地址转换。此时,这部分用户的流量转发出现异常。
为了解决上述问题,支持手工将用户迁移到NAT实例下能够正常工作的备份组中,由该备份的主节点处理用户的NAT业务。
图2-6 全局NAT的业务备份与负载分担
业务实例组与多个备份组关联时,被关联的备份组不能是参与跨系统板间业务备份的备份组,即被关联的备份组必须属于同一系统。
(1) 创建多个备份组,并指定主备节点。
具体配置请参见“可靠性配置指导”中的“备份组”。
(2) 将业务实例组和多个备份组关联。
具体配置请参见“可靠性配置指导”中的“业务实例组”。
(3) 进入NAT实例视图。
nat instance instance-name id id
(4) 将NAT实例与业务实例组关联。
service-instance-group service-instance-group-name
缺省情况下,NAT实例未关联任何业务实例组。
(5) (可选)手工切换处理用户表中指定用户NAT业务的备份组。
user-table { ipv4 ipv4-address | ipv6 ipv6-address } [ vpn-instance vpn-instance-name ] change-failover-group group-name
缺省情况下,设备自动选择处理用户NAT业务的备份组。
NAT业务板上协议报文上送CPU的速率过快时,CPU将高负荷运行,可能无法及时调度其他任务,进而引发业务异常。为了避免上述问题的产生,可以使用本功能对NAT业务板上协议报文上送CPU的速率进行限制,当NAT业务板上的协议报文上送CPU的速率超过限定值时,NAT业务板认为存在攻击,进入攻击防范状态,丢弃后续收到的协议报文。
通过display session statistics命令可以查看NAT业务板上单播会话的统计信息,其中包括系统创建单播会话的速率,以及创建各协议会话的速率,当某协议创建会话的速率过高时,可以使用本功能限制该协议报文上送CPU的速率。
(1) 进入系统视图。
system-view
(2) 限制NAT业务板上的协议报文上送CPU的速率。
(独立运行模式)
nat attack-defense { alg | other | tcp | tcp-syn } rate rate slot slot-number [ cpu cpu-number ]
nat attack-defense { forward | reverse } udp rate rate slot slot-number [ cpu cpu-number ]
(IRF模式)
nat attack-defense { alg | other | tcp | tcp-syn } rate rate chassis chassis-number slot slot-number [ cpu cpu-number ]
nat attack-defense { forward | reverse } udp rate rate chassis chassis-number slot slot-number [ cpu cpu-number ]
缺省情况下,限制正向UDP报文上送CPU的速率为4000Kpps,反向UDP报文上送CPU的速率为65Mbps;限制正向TCP SYN报文上送CPU的速率为4000Kpps;限制TCP报文(正向TCP SYN报文除外)上送CPU的速率为64Kpps;限制ALG解析和处理后的报文上送CPU的速率为500Kpps;限制其他协议类型报文上送CPU的速率为65Mbps。
在普通组网中,NAT设备工作在普通模式,即NAT模块的控制业务及数据转发业务均由本设备完成。
在转发与控制分离组网中,根据NAT设备承担的业务类型分为CP(Control Plane,控制平面)设备和UP(User Plane,转发平面)设备,其中:
· 用户接入管理、地址分配以及用户认证、授权和由CP设备(一般由vBRAS设备承担)来完成。
· 地址转换、用户数据报文转发、NAT ALG等用户平面的业务由UP设备完成。
CP和UP之间通过建立CSUP和VXLAN两条传输通道实现表项下发和协议报文的控制。其中,CSUP作为CP和UP之间的控制通道,实现业务表项下发、查询以及接口资源上报等功能;VXLAN隧道作为CP和UP之间的协议通道,实现协议报文交互。关于CUSP的详细介绍,请参见“BRAS业务配置指导”中的“CP-UP连接管理配置”。
CP作为DHCP服务器,采用nat-central类型的IP地址池或包含nat-central类型的IP地址池组为UP设备上的动态全局NAT地址池分配地址。关于IP地址池的详细介绍,请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。
在UP上将动态全局NAT地址池与CP上nat-central类型的IP地址池池或包含nat-central类型的IP地址池组绑定,地址的申请和释放机制如下:
(1) UP设备进行地址转换操作前,会向CP设备上nat-central类型的IP地址池或包含nat-central类型的IP地址池组申请子网段地址空间。
(2) CP将申请到的子网段地址空间分配给UP设备上的动态全局NAT地址池进行地址转换。
(3) NAT设备周期性统计动态全局NAT地址池中地址的使用率,当动态全局NAT地址池的地址使用率大于等于申请阈值时,UP向CP申请新的地址段;当动态全局NAT地址池的地址使用率小于释放阈值时,UP通知CP回收空闲的地址段。
目前仅支持PPPoE和IPoE用户。
本节配置仅供参考,有关CP上配置的详细介绍,请参见担任CP角色的设备的产品手册。
(1) 进入系统视图。
system-view
(2) 配置nat-central类型的IP地址池或包含nat-central类型的IP地址池组。
具体配置请参见“三层技术-IP业务”中的“DHCP服务器”。
在UP备份组网中,请先指定主备UP设备上的本端和对端的动态全局地址池标识符,再将动态全局NAT地址池与CP上的IP地址池或地址池组绑定,否则会导致指定主备UP设备上本端和对端动态全局地址池标识符的配置失败。
(1) 进入系统视图。
system-view
(2) 进入动态全局NAT地址池视图。
nat ip-pool pool-name dynamic [ backup ]
(3) (可选)指定主备UP设备上的本端和对端的动态全局地址池标识符。
up-backup local-up-id up-id1 peer-up-id up-id2
缺省情况下,未配置主备UP设备上的本端和对端的动态全局地址池标识符。
UP备份组网中,需要在主备UP上配置本命令。
(4) 将动态全局NAT地址池与CP上nat-central类型的IP地址池绑定,或者与包含nat-central类型的IP地址池组绑定。
bind dhcp-server-pool server-pool-name
缺省情况下,动态全局NAT地址池未绑定任何IP地址池或地址池组。
绑定的IP地址池的名称需要与CP上NAT类型的IP地址池或本地NAT类型的IP地址池或地址池组名称一致。
NAT hairpin功能需要与内部服务器(nat server)、出方向动态地址转换(nat outbound)或出方向静态地址转换(nat static outbound)配合工作,且这些配置所在的接口必须在同一个接口板,否则NAT hairpin功能无法正常工作。
P2P方式下,外网侧的出方向地址转换必须配置为PAT转换方式,并开启EIM模式。
开启NAT hairpin功能后,将无法配置nat instance命令,反之亦然。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 开启NAT hairpin功能。
nat hairpin enable
缺省情况下,NAT hairpin功能处于关闭状态。
DNS mapping功能需要和内部服务器配合使用,由nat server配置定义内部服务器对外提供服务的外网IP地址和端口号,由DNS mapping建立“内部服务器域名<-->外网IP地址+外网端口号+协议类型”的映射关系。
(1) 进入系统视图。
system-view
(2) 配置一条域名到内部服务器的映射。
nat dns-map domain domain-name protocol pro-type { interface interface-type interface-number | ip global-ip } port global-port
可配置多条域名到内部服务器的映射。
ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的解析和处理。通常情况下,NAT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析和处理。然而对于一些应用层协议,它们的报文的数据载荷中可能包含IP地址或端口信息,这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。
对于不同场景中的协议报文,需要开启不同的ALG功能:
· 针对非PPPoE代拨用户的协议报文,需要开启相关协议的NAT ALG功能(通过nat alg命令),才能对协议报文进行ALG处理。
· 针对PPPoE代拨用户的协议报文,需要为代拨用户报文开启ALG功能(通过nat user-agency alg命令),才能对此类用户的协议报文进行ALG处理。关于PPPoE代拨功能的详细介绍,请参见“BRAS业务”中的“PPP”。
Connection-Dependent Mapping模式下,NAT进行ALG处理时,和端口块关联的连接数可能会超过用户通过block-size命令设置的端口块大小,即此时通过display nat port-block命令查看到的端口块表项的“Connections”字段的取值可能会超过“Port block”字段的取值。此为正常现象,无需处理。
nat user-agency alg命令仅在标准模式下支持。
(1) 进入系统视图。
system-view
(2) 开启NAT ALG功能。请选择其中一项进行配置。
¡ 开启指定或所有协议类型的NAT ALG功能。
nat alg { all | dns | ftp | h323 | icmp-error | ils | mgcp | nbt | pptp | rsh | rtsp | sccp | sip | sqlnet | tftp | xdmcp }
缺省情况下,FTP协议、ICMP差错控制报文和RTSP协议的NAT ALG功能处于开启状态,其他协议类型的NAT ALG功能处于关闭状态。
¡ 为代拨用户报文开启ALG功能。
nat user-agency alg { all | ftp | icmp-error | sip }
缺省情况下,代拨用户的FTP协议报文、ICMP差错控制报文的ALG功能处于开启状态,SIP协议报文的ALG功能处于关闭状态。
缺省情况下,NAT设备收到同一网络中其他设备发送的免费ARP报文后,如果报文中携带的IP地址与NAT设备上的NAT地址相同,NAT设备将发送ARP应答报文。发送免费ARP报文的设备收到应答报文即认为IP地址发生冲突,那么设备将不会使用该IP地址,并打印日志提示管理员修改IP地址。
在同一网络中,已经保证其他设备上的地址不会与NAT设备上的地址冲突的情况下,可以关闭NAT设备收到免费ARP报文时的应答能力,以减少NAT设备向网络中发送ARP应答报文的数量。
(1) 进入系统视图。
system-view
(2) 进入NAT实例视图。
nat instance instance-name id id
(3) 开启NAT设备收到免费ARP报文时的应答能力。
nat gratuitous-arp-reply enable
缺省情况下,NAT收到免费ARP报文时的应答能力处于开启状态。
NAT会话日志是为了满足网络管理员安全审计的需要,对NAT会话(报文经过设备时,源或目的信息被NAT进行过转换的连接)信息进行的记录,包括IP地址及端口的转换信息、用户的访问信息以及用户的网络流量信息。
有三种情况可以触发设备生成NAT会话日志:
· 新建NAT会话。
· 删除NAT会话。新增高优先级的配置、删除配置、报文匹配规则变更、NAT会话老化以及执行删除NAT会话的命令时,都可能导致NAT会话被删除。
· 存在NAT活跃流。NAT活跃流是指在一定时间内存在的NAT会话。当设置的生成活跃流日志的时间间隔到达时,当前存在的NAT会话信息就被记录并生成日志。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT相关日志功能。请至少选择其中一项进行配置。
¡ 开启NAT新建会话的日志功能。
nat log flow-begin
¡ 开启NAT删除会话的日志功能。
nat log flow-end
¡ 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔。
nat log flow-active time-value
缺省情况下,创建、删除NAT会话或存在NAT活跃流时,均不生成NAT日志。
在NAT444场景中,为了满足运营商对互联网用户的溯源需要,对每个用户的私网IP地址进行端口块分配或回收时,都会输出一条基于用户的日志,记录私网IP地址和端口块的映射关系。在进行用户溯源时,只需根据报文的公网IP地址和端口找到对应的端口块分配日志信息,即可确定私网IP地址。
有两种情况可以触发设备输出NAT444用户日志:
· 端口块分配:端口块静态映射方式下,在某私网IP地址的第一个新建连接通过端口块进行地址转换时输出日志;端口块动态映射方式下,在为某私网IP地址分配端口块或增量端口块时输出日志。
· 端口块回收:端口块静态映射方式下,在某私网IP地址的最后一个连接拆除时输出日志;端口块动态映射方式下,在释放端口块资源(并删除端口块表项)时输出日志。
在配置NAT444用户日志功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT444用户日志。详细配置请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
ACL参数对NAT444用户日志功能无效。
(3) 开启端口块用户日志功能。请至少选择其中一项进行配置。
¡ 开启端口块分配的NAT444用户日志功能。
nat log port-block-assign
¡ 开启端口块回收的NAT444用户日志功能。
nat log port-block-withdraw
缺省情况下,分配和回收端口块时,均不输出NAT444用户日志。
当NAT端口块地址转换发生端口块分配失败的情况时,通过开启本功能,系统会输出端口块分配失败的日志。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT端口块分配失败的日志功能。
nat log port-block-alloc-fail
缺省情况下,NAT端口块分配失败的日志功能处于关闭状态。
当动态方式的NAT地址转换发生端口分配失败的情况时,通过开启本功能,系统会输出端口分配失败的日志。通常,端口块中所有的端口资源都被占用时会导致端口分配失败。
在开启本功能前,必须先配置将用户定制日志发送到日志主机的功能,否则无法产生NAT端口分配失败的日志。详细配置请参见“网络管理和监控配置指导”中的“快速日志输出”。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT端口块分配失败的日志功能。
nat log port-alloc-fail
缺省情况下,NAT端口分配失败的日志功能处于关闭状态。
开启本功能后,当全局NAT地址池无法将IP地址添加到地址池时,设备会输出日志信息进行提示。
导致UP无法将IP地址添加到全局NAT地址池的常见情况包括:
· UP上的动态全局NAT地址池向CP申请到的子网段中的IP地址与其他全局NAT地址池中的地址重叠。
· UP上的全局NAT地址池中包含的地址数量已经达到上限。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 进入全局NAT地址池视图。
nat ip-pool pool-name [ dynamic [ backup ] ]
(4) 开启全局NAT地址池中地址添加失败的日志功能。
nat log ip-add-fail
缺省情况下,全局NAT地址池中地址添加失败的日志功能处于关闭状态。
当全局NAT地址池中的地址资源用尽导致无法通过全局NAT地址池进行地址分配时,系统会输出日志信息。当全局NAT地址池中地址使用率降低至87.5%时,系统也会输出日志进行提示。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 进入全局NAT地址池视图。
nat ip-pool pool-name [ dynamic [ backup ] ]
(4) 开启全局NAT地址池中地址分配失败的日志功能。
nat log ip-alloc-fail
缺省情况下,全局NAT地址池中地址分配失败的日志功能处于关闭状态。
在NAT资源使用率超过设定的阈值时,系统会输出日志信息进行预警。包括如下几种情况:
· 在NAT端口块地址转换中,当端口块或端口的使用率超过阈值时,系统会输出日志信息进行预警。
· 全局NAT地址池中的地址使用率超过阈值时,系统将会输出日志信息进行预警。当全局NAT地址池中的地址的使用率降低到使用率阈值的87.5%时,系统也会输出日志进行提示。
· 当CGN单板带宽使用率大于或等于设定的告警阈值时,系统将会输出日志信息进行预警。当CGN单板带宽使用率小于设定的告警阈值的87.5%时,系统会输出带宽使用率恢复日志信息。
如果使用全局地址池方式,建议设置的NAT端口块使用率阈值大于全局NAT地址池的地址段申请阈值。
(1) 进入系统视图。
system-view
(2) 开启NAT日志功能。
nat log enable [ acl { ipv4-acl-number | name ipv4-acl-name } ]
缺省情况下,NAT日志功能处于关闭状态。
(3) 开启NAT端口块中端口使用率的阈值信息日志功能,并设置NAT端口使用率的阈值。
nat log port-block port-usage threshold value
缺省情况下,NAT端口块中端口使用率的阈值信息日志功能处于关闭状态。
(4) 配置NAT端口块使用率的阈值。
nat log port-block usage threshold value
缺省情况下,NAT端口块使用率的阈值为90%。
(5) 配置全局NAT地址池中地址使用率的阈值。
a. 进入全局NAT地址池视图。
nat ip-pool pool-name [ dynamic [ backup ] ]
b. 配置全局NAT地址池中地址使用率的阈值。
nat log ip-usage threshold value
缺省情况下,全局NAT地址池中地址使用率阈值为80%。
(6) 配置NAT CGN单板带宽使用率的告警阈值。
nat log bandwidth-usage threshold threshold-value
缺省情况下,NAT CGN单板带宽使用率的告警阈值为90%。
(7) 配置NAT地址组资源使用率的告警阈值。
nat address-group-usage threshold threshold-value
缺省情况下,NAT地址组资源使用率告警阈值为90%。
开启NAT告警功能后,当资源使用率超过设定的阈值时,系统会生成告警信息。
各类NAT告警功能的具体工作机制如下:
· 开启NAT模块地址组端口块分配失败的告警功能后,当NAT地址组端口块资源耗尽无法为新流量分配端口块时,设备会生成告警信息。当NAT地址组的端口块使用率小于87.5%时,设备也会生成告警信息进行提示。
· 开启NAT模块地址组资源使用率告警功能后,当设备上NAT地址组资源使用率大于或等于nat address-group-usage threshold命令设置的阈值时,设备会生成地址组资源使用率告警信息进行预警;当设备上NAT地址组资源使用率小于nat address-group-usage threshold命令设置的阈值的87.5%时,设备也会生成告警信息进行提示。
· 开启NAT模块CGN单板带宽使用率告警功能后,当设备上CGN单板的带宽使用率大于或等于nat log bandwidth threshold命令设置的阈值时,设备会生成带宽使用率告警信息进行预警;当设备带宽使用率小于nat log bandwidth threshold命令设置的阈值时,设备也会生成告警信息进行提示。
· 开启NAT模块全局NAT地址池添加IP地址失败的告警功能后,当UP把自己从CP的IP地址池申请的子网段中的IP地址添加到动态全局NAT地址池失败时,设备会生成告警信息。
· 开启NAT模块全局NAT地址池地址分配失败的告警功能后,当全局NAT地址池中的地址资源耗尽无法进行地址分配时,设备会生成告警信息。当全局NAT地址池中地址使用率小于或等于87.5%时,设备也会生成告警信息进行提示。
· 开启全局NAT地址池地址使用率告警功能后,当设备上NAT地址池地址使用率大于或等于ip-usage-threshold命令设置的upper-limit阈值时,设备会生成地址池地址使用率告警信息进行预警;当设备上NAT地址池地址使用率小于ip-usage-threshold命令设置的upper-limit阈值时,设备也会生成告警信息进行提示。
· 开启NAT模块地址组端口分配失败的告警功能后,当NAT公网端口资源耗尽无法为新流量分配端口时,设备会生成告警信息。当地址组的端口使用率小于87.5%时,设备也会生成告警信息进行提示。
· 开启NAT模块端口块中端口使用率的告警功能后,当端口块中端口使用率大于或等于nat log port-block port-usage threshold命令设置的阈值时,设备会生成告警信息。当端口块中端口资源的使用率小于或等于nat log port-block port-usage threshold命令设置的阈值的87.5%时,设备也会生成告警信息进行提示。
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。关于告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
(1) 进入系统视图。
system-view
(2) 开启NAT模块的告警功能。
snmp-agent trap enable nat [ address-group-alloc-fail | address-group-usage | bandwidth-usage | ip-pool-add-fail | ip-pool-alloc-fail | ip-pool-usage | port-alloc-fail | port-usage ]
缺省情况下,NAT模块的告警功能处于开启状态。
在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除NAT表项。
表2-4 NAT显示和维护
|
操作 |
命令 |
|
显示所有的NAT配置信息 |
display nat all |
|
显示NAT地址组的配置信息 |
display nat address-group [ group-id ] [ resource-usage [ verbose ] ] |
|
显示NAT DNS mapping的配置信息 |
display nat dns-map |
|
显示NAT EIM表项信息 |
(独立运行模式) display nat eim [ slot slot-number [ cpu cpu-number ] ] [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] (IRF模式) display nat eim [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ]
|
|
显示NAT EIM表项的统计信息 |
(独立运行模式) display nat eim statistics [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display nat eim statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
|
|
显示NAT实例的配置信息 |
display nat instance [ instance-name instance-name ] [ brief | verbose ] |
|
显示NAT实例下地址组绑定的全局NAT地址池信息 |
display nat instance instance-name instance-name address-group group-id [ failover-group group-name ] [ resource-usage ] |
|
在UP上查看NAT实例处理接入用户地址转换业务的统计信息 |
display nat instance [ instance-name instance-name ] statistics |
|
显示全局NAT地址池的配置信息以及全局NAT地址池的使用情况 |
display nat ip-pool [ pool-name [ section section-id ] ] |
|
显示NAT日志功能的配置信息 |
display nat log |
|
显示NAT使用的MPLS保护隧道信息 |
display nat mpls-tunnel [ instance instance-name ] |
|
显示NAT NO-PAT表项信息 |
(独立运行模式) display nat no-pat [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display nat no-pat [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
|
|
显示NAT出接口动态地址转换关系的配置信息 |
display nat outbound |
|
显示NAT内部服务器的配置信息 |
display nat server |
|
显示NAT内部服务器组的配置信息 |
display nat server-group [ group-id ] |
|
显示NAT会话 |
(独立运行模式) display nat session [ { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn -instance-name ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ slot slot-number [ cpu cpu-number ] ] [ brief | verbose ] (IRF模式) display nat session [ { source-ip source-ip | destination-ip destination-ip } * [ vpn-instance vpn -instance-name ] ] [ protocol { dccp | icmp | raw-ip | sctp | tcp | udp | udp-lite } ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ brief | verbose ]
|
|
显示NAT使用的SRv6保护隧道信息 |
display nat srv6-tunnel [ instance instance-name ] |
|
显示NAT静态地址转换的配置信息 |
display nat static |
|
显示NAT统计信息 |
(独立运行模式) display nat statistics [ summary ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display nat statistics [ summary ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
|
|
显示CGN单板处理报文的统计信息 |
(独立运行模式) display nat statistics packet [ slot slot-number [ cpu cpu-number ] ] (IRF模式) display nat statistics packet [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
显示已上线用户的信息 |
(独立运行模式) display nat user-table [ local { ipv4 ipv4-address | ipv6 ipv6–address } | user-id user-id | user-name user-name | nat-instance instance-name ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] (IRF模式) display nat user-table [ local { ipv4 ipv4-address | ipv6 ipv6–address } | user-id user-id | user-name user-name | nat-instance instance-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
|
|
显示NAT端口块静态映射的配置信息 |
display nat outbound port-block-group |
|
显示NAT端口块组配置信息 |
display nat port-block-group [ group-id ] |
|
显示端口块表项 |
(独立运行模式) display nat port-block { dynamic | static } [ { global-ip | local-ip } ipv4-source-address ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] display nat port-block dynamic ds-lite-b4 [ ipv6 ipv6-source-address ] [ slot slot-number [ cpu cpu-number ] ] [ verbose ] (IRF模式) display nat port-block { dynamic | static } [ { global-ip | local-ip } ipv4-source-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ] display nat port-block dynamic ds-lite-b4 [ ipv6 ipv6-source-address ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] [ verbose ]
|
|
删除NAT EIM表项信息 |
(独立运行模式) reset nat eim [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] [ slot slot-number ] (IRF模式) reset nat eim [ protocol { icmp | tcp | udp } ] [ local-ip { b4 ipv6-address | local-ip } ] [ local-port local-port ] [ global-ip global-ip ] [ global-port global-port ] [ chassis chassis-number slot slot-number ] |
|
在UP上删除NAT实例处理接入用户地址转换业务的统计信息 |
reset nat instance [ instance-name instance-name ] statistics |
|
删除NAT会话 |
(独立运行模式) reset nat session [ protocol { tcp | udp } ] [ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset nat session [ protocol { tcp | udp } ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
|
清除CGN单板处理报文的统计信息 |
(独立运行模式) reset nat statistics packet[ slot slot-number [ cpu cpu-number ] ] (IRF模式) reset nat statistics packet[ chassis chassis-number slot slot-number [ cpu cpu-number ] ] |
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
图2-7 内网用户通过NAT地址访问外网(静态地址转换)配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置重定向报文的访问控制列表2001。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 配置QoS策略将报文重定向到2号槽位的单板。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 2001
[Router-classifier-1] quit
[Router] traffic behavior 1
[Router-behavior-1] redirect slot 2
[Router-behavior-1] quit
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy 1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
<Router> system-view
[Router] nat static outbound 10.110.10.8 202.38.1.100
# 使配置的静态地址转换在接口Ten-GigabitEthernet3/1/2上生效。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat static enable
# 指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat static
Static NAT mappings:
Totally 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Config status: Active
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: Ten-GigabitEthernet3/1/2
Service card : Slot 2
Config status: Active
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 10.110.10.8/42496
Destination IP/port: 202.38.1.111/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 202.38.1.111/42496
Destination IP/port: 202.38.1.100/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: INVALID
Role: -
Failover group ID: -
Start time: 2012-08-16 09:30:49 TTL: 27s
Initiator->Responder: 5 packets 420 bytes
Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
图2-8 内网用户通过NAT访问外网(地址不重叠)配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置重定向报文的访问控制列表2001。由于本例中重定向到提供NAT服务的业务板的报文为需要地址转换的报文,因此ACL 2001中定义的ACL规则与ACL 2000相同,但也可以根据实际组网需求定义不同的规则。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 配置QoS策略将报文重定向到2号槽位的单板。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 2001
[Router-classifier-1] quit
[Router] traffic behavior 1
[Router-behavior-1] redirect slot 2
[Router-behavior-1] quit
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy 1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
<Router> system-view
[Router] nat address-group 0
[Router-address-group-0] address 202.38.1.2 202.38.1.3
[Router-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 在接口Ten-GigabitEthernet3/1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat outbound 2000 address-group 0
# 指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group name/ID: 0/0
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Service card: Slot 2
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.10/52992
Destination IP/port: 200.1.1.10/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 200.1.1.10/4
Destination IP/port: 202.38.1.3/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: INVALID
Role: -
Failover group ID: -
Start time: 2012-08-15 14:53:29 TTL: 12s
Initiator->Responder: 1 packets 84 bytes
Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能:
· 外部的主机可以访问内部的服务器。
· 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
图2-9 外网用户通过外网地址访问内网服务器配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置重定向报文的访问控制列表2001。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 配置QoS策略将报文重定向到2号槽位的单板。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 2001
[Router-classifier-1] quit
[Router] traffic behavior 1
[Router-behavior-1] redirect slot 2
[Router-behavior-1] quit
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy 1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 进入接口Ten-GigabitEthernet3/1/2。
<Router> system-view
[Router] interface ten-gigabitethernet 3/1/2
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp
# 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 http
# 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 http
# 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp
# 指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT internal server information:
Totally 4 internal servers.
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/21
Local IP/port : 10.110.10.3/21
Service card : Slot 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/25
Local IP/port : 10.110.10.4/25
Service card : Slot 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/80
Local IP/port : 10.110.10.1/80
Service card : Slot 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/8080
Local IP/port : 10.110.10.2/80
Service card : Slot 2
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 202.38.1.10/1694
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 10.110.10.3/21
Destination IP/port: 202.38.1.10/1694
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: FTP
Role: -
Failover group ID: -
Start time: 2012-08-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
· 某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。
· 该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。
· 该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。
需要实现,外网主机可以通过域名访问内网的Web服务器。
图2-10 外网用户通过域名访问内网服务器(地址不重叠)配置组网图
· 外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置重定向报文的访问控制列表2001。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 配置QoS策略将报文重定向到2号槽位的单板。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 2001
[Router-classifier-1] quit
[Router] traffic behavior 1
[Router-behavior-1] redirect slot 2
[Router-behavior-1] quit
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy 1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 开启DNS协议的ALG功能。
<Router> system-view
[Router] nat alg dns
# 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 10.110.10.2 0
[Router-acl-ipv4-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员202.38.1.3。
[Router-address-group-1] address 202.38.1.3 202.38.1.3
[Router-address-group-1] quit
# 在接口Ten-GigabitEthernet3/1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 dns
# 在接口Ten-GigabitEthernet3/1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-Ten-GigabitEthernet3/1/2] nat outbound 2000 address-group 1 no-pat reversible
# 指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group name/ID: 1/1
Address information:
Start address End address
202.38.1.3 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: 2000 Address group: 1 Port-preserved: N
NO-PAT: Y Reversible: Y
Service card: Slot 2
Config status: Active
NAT internal server information:
Totally 1 internal servers.
Interface: Ten-GigabitEthernet3/1/2
Protocol: 17(UDP)
Global IP/port: 202.38.1.2/53
Local IP/port : 10.110.10.3/53
Service card : Slot 2
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 200.1.1.2/1694
Destination IP/port: 202.38.1.3/8080
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 10.110.10.2/8080
Destination IP/port: 202.1.1.2/1694
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: HTTP
Role: -
Failover group ID: -
Start time: 2012-08-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
· 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。
· 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。
需要实现如下功能:
· 外网主机可以通过202.38.1.2访问内网中的FTP服务器。
· 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。
图2-11 内网用户通过NAT地址访问内网服务器配置组网图
该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。
· 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。
· 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口开启NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 利用QoS功能将需要进行NAT转换的流量牵引到业务板,具体配置过程略。
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
<Router> system-view
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 在接口Ten-GigabitEthernet3/1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp
# 在接口Ten-GigabitEthernet3/1/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口Ten-GigabitEthernet3/1/2的IP地址进行源地址转换。
[Router-Ten-GigabitEthernet3/1/2] nat outbound 2000
# 在接口Ten-GigabitEthernet3/1/2上指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 在接口Ten-GigabitEthernet3/1/1上开启NAT hairpin功能。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] nat hairpin enable
# 在接口Ten-GigabitEthernet3/1/1上指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/1] nat service slot 2
[Router-Ten-GigabitEthernet3/1/1] quit
# 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。
[Router]display nat all
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: 2000 Address group: --- Port-preserved: N
NO-PAT: N Reversible: N
Service card: Slot 2
Config status: Active
NAT internal server information:
Totally 1 internal servers.
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/21
Local IP/port : 192.168.1.4/21
Service card : Slot 2
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT hairpinning:
Totally 1 interfaces enabled with NAT hairpinning.
Interface: Ten-GigabitEthernet3/1/1
Service card : Slot 2
Config status: Active
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.2/1694
Destination IP/port: 202.38.1.2/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 192.168.1.4/21
Destination IP/port: 202.38.1.1/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: FTP
Role: -
Failover group ID: -
Start time: 2012-08-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
某公司两个部门由于需要业务隔而分属不同的VPN实例,且两个部门内部使用了相同的子网地址空间。现在要求这两个部门的主机Host A 和Host B之间能够通过NAT地址互相访问。
图2-12 地址重叠的两个内网之间互访配置组网图
这是一个典型的两次NAT应用:两个VPN之间主机交互的报文的源IP地址和目的IP地址都需要转换,即需要在连接两个VPN的接口上先后进行两次NAT,这可以通过在NAT设备的两侧接口上分别配置静态地址转换实现。
# 按照组网图配置各接口的VPN实例和IP地址,具体配置过程略。
# 利用QoS功能将需要进行NAT转换的流量牵引到业务板,首先定义IPv4基本ACL 2001,对源IP地址为192.168.1.0/24网段的报文进行分类。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 定义类user,匹配IPv4基本ACL 2001。
[Router] traffic classifier user
[Router-classifier-user] if-match acl 2001
[Router-classifier-user] quit
# 定义流行为nat,动作为重定向至业务板所在2号槽位的单板。
[Router] traffic behavior nat
[Router-behavior-nat] redirect slot 2
[Router-behavior-nat] quit
# 定义策略policy,为类user指定流行为nat。
[Router] qos policy policy
[Router-qospolicy-policy] classifier user behavior nat
[Router-qospolicy-policy] quit
# 将策略policy应用到端口Ten-GigabitEthernet3/1/2的入方向上。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] qos apply policy policy inbound
# 将策略policy应用到端口Ten-GigabitEthernet3/1/1的入方向上。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy policy inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 配置VPN 1内的IP地址192.168.1.2到VPN 2内的IP地址172.16.1.2之间的静态地址转换映射。
<Router> system-view
[Router] nat static outbound 192.168.1.2 vpn-instance vpn1 172.16.1.2 vpn-instance vpn2
# 配置VPN 2内的IP地址192.168.1.2到VPN 1内的IP地址172.16.2.2之间的静态地址转换映射。
[Router] nat static outbound 192.168.1.2 vpn-instance vpn2 172.16.2.2 vpn-instance vpn1
# 在接口Ten-GigabitEthernet3/1/2上配置静态地址转换。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat static enable
# 在接口Ten-GigabitEthernet3/1/2上指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 在接口Ten-GigabitEthernet3/1/1上配置静态地址转换。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] nat static enable
# 在接口Ten-GigabitEthernet3/1/1上指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/1] nat service slot 2
[Router-Ten-GigabitEthernet3/1/1] quit
# 以上配置完成后,Host A和Host B可以互通,且Host A的对外地址为172.16.1.2,Host B的对外地址为172.16.2.2。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
Static NAT mappings:
Totally 2 outbound static NAT mappings.
IP-to-IP:
Local IP : 192.168.1.2
Global IP : 172.16.1.2
Local VPN : vpn1
Global VPN : vpn2
Config status: Active
IP-to-IP:
Local IP : 192.168.1.2
Global IP : 172.16.2.2
Local VPN : vpn2
Global VPN : vpn1
Config status: Active
Interfaces enabled with static NAT:
Totally 2 interfaces enabled with static NAT.
Interface: Ten-GigabitEthernet3/1/1
Service card : Slot 2
Config status: Active
Interface: Ten-GigabitEthernet3/1/2
Service card : Slot 2
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到Host A访问Host B时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.2/42496
Destination IP/port: 172.16.2.2/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: vpn1/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 192.168.1.2/42496
Destination IP/port: 172.16.1.2/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: vpn2/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: INVALID
Role: -
Failover group ID: -
Start time: 2012-08-16 09:30:49 TTL: 27s
Initiator->Responder: 5 packets 420 bytes
Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
某公司内部拥有3台FTP服务器对外提供FTP服务。
需要实现如下功能:
· 使用IP地址为202.38.1.1作为公司对外提供服务的IP地址。
· 3台FTP服务器可以同时对外提供服务,并进行负载分担。
图2-13 负载分担内部服务器配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置重定向报文的访问控制列表2001。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 配置QoS策略将报文重定向到2号槽位的单板。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 2001
[Router-classifier-1] quit
[Router] traffic behavior 1
[Router-behavior-1] redirect slot 2
[Router-behavior-1] quit
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy 1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 配置内部服务器组0及其成员10.110.10.1、10.110.10.2和10.110.10.3。
<Router> system-view
[Router] nat server-group 0
[Router-nat-server-group-0] inside ip 10.110.10.1 port 21
[Router-nat-server-group-0] inside ip 10.110.10.2 port 21
[Router-nat-server-group-0] inside ip 10.110.10.3 port 21
[Router-nat-server-group-0] quit
# 在接口Ten-GigabitEthernet3/1/2上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供FTP服务。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 ftp inside server-group 0
# 指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,外网主机可以访问内网FTP服务器组。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT server group information:
Totally 1 NAT server groups.
Group Number Inside IP Port Weight
0 10.110.10.1 21 100
10.110.10.2 21 100
10.110.10.3 21 100
NAT internal server information:
Totally 1 internal servers.
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/21
Local IP/port : server group 0
10.110.10.1/21 (Connections: 1)
10.110.10.2/21 (Connections: 2)
10.110.10.3/21 (Connections: 2)
Service card : Slot 2
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到外网主机访问内网某FTP server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 202.38.1.25/53957
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 10.110.10.3/21
Destination IP/port: 202.38.1.25/53957
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: FTP
Role: -
Failover group ID: -
Start time: 2012-08-16 11:06:07 TTL: 26s
Initiator->Responder: 1 packets 60 bytes
Responder->Initiator: 2 packets 120 bytes
Total sessions found: 1
某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1至202.38.1.3三个公网IP地址。另外公司在外网有一台DNS服务器,IP地址为202.38.1.4。
需要实现如下功能:
· 选用202.38.1.2作为公司对外提供服务的IP地址。
· 外网用户可以通过域名或IP地址访问内部服务器。
· 内网用户可以通过域名访问内部服务器。
图2-14 NAT DNS mapping配置组网图
· 内网服务器对外提供服务,需要配置NAT内部服务器将各服务器的内网IP地址和端口映射为一个外网地址和端口。
· 内网主机通过域名访问内网服务器时,首先需要通过出接口地址转换分配的外网地址访问外网的DNS服务器,并获取内网服务器的内网IP地址。由于DNS服务器向内网主机发送的响应报文中包含的是内网服务器的外网地址,因此NAT设备需要将DNS报文载荷内的外网地址转换为内网地址,这可以通过查找DNS mapping映射表配合DNS ALG功能实现。DNS mapping映射表用于实现根据“域名+外网IP地址+外网端口号+协议类型”查找到对应的“内网IP+内网端口号”。
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置重定向报文的访问控制列表2001。
<Router> system-view
[Router] acl basic 2001
[Router-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2001] quit
# 配置QoS策略将报文重定向到2号槽位的单板。
[Router] traffic classifier 1
[Router-classifier-1] if-match acl 2001
[Router-classifier-1] quit
[Router] traffic behavior 1
[Router-behavior-1] redirect slot 2
[Router-behavior-1] quit
[Router] qos policy 1
[Router-qospolicy-1] classifier 1 behavior 1
[Router-qospolicy-1] quit
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy 1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
[Router] quit
# 开启DNS的NAT ALG功能。
<Router> system-view
[Router] nat alg dns
# 进入接口Ten-GigabitEthernet3/1/2。
[Router] interface ten-gigabitethernet 3/1/2
# 配置NAT内部Web服务器,允许外网主机使用地址202.38.1.2访问内网Web服务器。
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 http
# 配置NAT内部FTP服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器。
[Router-Ten-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp
# 在接口Ten-GigabitEthernet3/1/2上配置Easy IP方式的出方向动态地址转换。
[Router-Ten-GigabitEthernet3/1/2] nat outbound
# 指定2号单板为提供NAT服务的业务板。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router-Ten-GigabitEthernet3/1/2] nat service slot 2
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置两条DNS mapping表项:Web服务器的域名www.server.com对应IP地址202.38.1.2;FTP服务器的域名ftp.server.com对应IP地址202.38.1.2。
[Router] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port http
[Router] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp
# 以上配置完成后,内网主机和外网主机均可以通过域名访问内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: --- Address group: --- Port-preserved: N
NO-PAT: N Reversible: N
Service card: Slot 2
Config status: Active
NAT internal server information:
Totally 2 internal servers.
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/21
Local IP/port : 10.110.10.2/21
Service card : Slot 2
Config status : Active
Interface: Ten-GigabitEthernet3/1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/80
Local IP/port : 10.110.10.1/80
Service card : Slot 2
Config status : Active
NAT DNS mapping information:
Totally 2 NAT DNS mappings.
Domain name: ftp.server.com
Global IP : 202.38.1.2
Global port: 21
Protocol : TCP(6)
Config status: Active
Domain name: www.server.com
Global IP : 202.38.1.2
Global port: 80
Protocol : TCP(6)
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
· 私网上的Host通过Device访问公网。
· Device开启NAT转换功能,对私网用户和公网设备之间往来的报文做NAT转换,开启NAT日志功能,并配置NAT日志输出至信息中心。
· 通过查看信息中心的记录,实现对私网用户的监控。
图2-15 NAT日志输出至信息中心配置组网图
按组网图所示配置各接口的IP地址,并确保Host与Device之间路由可达。
# 配置Flow日志输出到信息中心。
<Device> system-view
[Device] userlog flow syslog
# 开启NAT日志功能。
[Device] nat log enable
# 开启NAT新建会话的日志功能。
[Device] nat log flow-begin
# 开启NAT删除会话的日志功能。
[Device] nat log flow-end
# 开启NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔为10分钟。
[Device] nat log flow-active 10
[Device] quit
# 通过查看日志缓冲区监视私网用户的访问记录。
<Device> dir
Directory of cf:/
38 -rw- 141 Aug 07 2015 17:54:43 ifindex.dat
39 drw- - May 20 2015 14:36:20 logfile
249852 KB total (232072 KB free)
File system type of cf: FAT32
<Device> cd logfile
<Device> dir
<Device> more logfile.log
……略……
%Aug 10 20:06:30:182 2015 Device NAT/6/NAT_FLOW: Protocol(1001)=ICMP;SrcIPAd
dr(1003)=10.110.10.8;SrcPort(1004)=259;NatSrcIPAddr(1005)=202.38.1.100;NatSrcPor
t(1006)=0;DstIPAddr(1007)=202.38.1.2;DstPort(1008)=2048;NatDstIPAddr(1009)=202.3
8.1.2;NatDstPort(1010)=259;InitPktCount(1044)=0;InitByteCount(1046)=0;RplyPktCou
nt(1045)=0;RplyByteCount(1047)=0;RcvVPNInstance(1042)=;SndVPNInstance(1043)=;Rcv
DSLiteTunnelPeer(1040)=;SndDSLiteTunnelPeer(1041)=;BeginTime_e(1013)=08102015200
630; EndTime_e(1014)=08102015200700;Event(1048)=(8)Session created;
……略……
该举例里的NAT日志信息表示的具体含义如表2-5所示。
表2-5 NAT日志显示信息描述表
|
字段 |
描述 |
|
Protocol(1001)=ICMP |
IP承载的协议为ICMP协议 |
|
SrcIPAddr(1003)=10.110.10.8 |
NAT转换前报文的源地址 |
|
SrcPort(1004)=259 |
NAT转换前报文的TCP/UDP源端口号 |
|
NatSrcIPAddr(1005)=202.38.1.100 |
NAT转换后报文的源地址 |
|
NatSrcPort(1006)=0 |
NAT转换后报文的TCP/UDP源端口号 |
|
DstIPAddr(1007)=202.38.1.2 |
NAT转换前报文的目的地址 |
|
DstPort(1008)=2048 |
NAT转换前报文的TCP/UDP目的端口号 |
|
NatDstIPAddr(1009)=202.38.1.2 |
NAT转换后报文的目的地址 |
|
NatDstPort(1010)=259 |
NAT转换后的TCP/UDP目的端口号 |
|
BeginTime_e(1013)=08102015200630 |
流起始时间,格式为MMDDYYYYHHMMSS |
|
EndTime_e(1014)=08102015200700 |
流结束时间,格式为MMDDYYYYHHMMSS |
通过在设备Device上配置NAT日志输出至日志服务器功能,实现对用户上网行为的监控。
图2-16 NAT日志输出至日志服务器配置组网图
按组网图所示配置各接口的IP地址,并确保Device与User、Log Server之间路由可达。
# 开启NAT日志功能。
<Device> system-view
[Device] nat log enable
# 开启NAT新建、删除会话和活跃流的日志功能。
[Device] nat log flow-begin
[Device] nat log flow-end
[Device] nat log flow-active 10
# 配置Flow日志报文版本号为3.0。
[Device] userlog flow export version 3
# 配置Flow日志信息发送给Flow日志主机,日志主机的IP地址为1.2.3.6,端口号为2000。
[Device] userlog flow export host 1.2.3.6 port 2000
# 配置发送Flow日志的源IP地址为2.2.2.2。
[Device] userlog flow export source-ip 2.2.2.2
[Device] quit
# 查看Flow日志的配置和统计信息。
<Device> display userlog export
Flow:
Export flow log as UDP Packet.
Version: 3.0
Source ipv4 address: 2.2.2.2
Source ipv6 address:
Log load balance function: Disabled
Local time stamp: Disabled
Number of log hosts: 1
Log host 1:
Host/Port: 1.2.3.6/2000
Total logs/UDP packets exported: 112/87
以下配置举例中,通过bind命令加入备份组的节点均为CGN单板。所有示例中slot所在的槽位号仅为示例,请以CGN单板所在的实际槽位号为准。
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
图2-17 内网用户通过NAT地址访问外网(静态地址转换)配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 将指定slot配置为备份组cgn的主节点。
<Router> system-view
[Router] failover group cgn id 1
[Router-failover-group-cgn] bind slot 2 primary
[Router-failover-group-cgn] quit
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
[Router] nat static outbound 10.110.10.8 202.38.1.100 failover-group cgn
# 配置ACL规则,ACL 2000,仅允许对内部网络中10.110.10.0/24网段的用户报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 配置流分类cgn,配置流行为cgn,将匹配ACL 2000的流量引入备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl 2000
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/1] quit
# 使配置的静态地址转换在接口Ten-GigabitEthernet3/1/2上生效。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat static enable
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配ACL 2000的会话设置备份组ID。
[Router] session service-location acl 2000 failover-group cgn
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat static
Static NAT mappings:
Totally 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Failover group name: cgn
Config status: Active
Interfaces enabled with static NAT:
Totally 1 interfaces enabled with static NAT.
Interface: Ten-GigabitEthernet3/1/2
Config status: Active
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
[Router] display nat session slot 2 verbose
Slot 2:
Initiator:
Source IP/port: 10.110.10.8/1024
Destination IP/port: 202.38.1.111/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 202.38.1.111/1025
Destination IP/port: 202.38.1.100/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: UDP(17)
Inbound interface: Ten-GigabitEthernet3/1/2
State: UDP_READY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2015-05-29 18:49:37
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
图2-18 内网用户通过NAT访问外网(地址不重叠)配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 将指定slot配置为备份组cgn的主节点。
<Router> system-view
[Router] failover group cgn id 1
[Router-failover-group-cgn] bind slot 2 primary
[Router-failover-group-cgn] quit
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3,并将地址组0与备份组cgn绑定。
[Router] nat address-group 0
[Router-address-group-0] address 202.38.1.2 202.38.1.3
[Router-address-group-0] failover-group cgn
[Router-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 配置流分类cgn,配置流行为cgn,将匹配ACL 2000的流量引入备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl 2000
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat outbound 2000 address-group 0
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配ACL 2000的会话设置备份组ID。
[Router] session service-location acl 2000 failover-group cgn
# 以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group name/ID: 0/0
Failover group name: cgn
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
Mapping mode : Connection-dependent
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。
[Router] display nat session slot 2 verbose
Slot 2:
Initiator:
Source IP/port: 192.168.1.10/52992
Destination IP/port: 200.1.1.10/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 200.1.1.10/4
Destination IP/port: 202.38.1.3/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: INVALID
Role: Master
Failover group ID: 1
Start time: 2012-08-15 14:53:29
Initiator->Responder: 1 packets 84 bytes
Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
内部网络用户10.110.10.1~10.110.10.10使用外网地址202.38.1.100访问Internet。内网用户地址基于NAT端口块静态映射方式复用外网地址202.38.1.100,外网地址的端口范围为10001~15000,端口块大小为500。
图2-19 NAT端口块静态映射配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 将指定slot配置为备份组cgn的主节点。
<Router> system-view
[Router] failover group cgn id 1
[Router-failover-group-cgn] bind slot 2 primary
[Router-failover-group-cgn] quit
# 创建NAT端口块组1。
[Router] nat port-block-group 1
# 绑定备份组cgn。
[Router-port-block-group-1] failover-group cgn
# 添加私网地址成员10.110.10.1~10.110.10.10。
[Router-port-block-group-1] local-ip-address 10.110.10.1 10.110.10.10
# 添加公网地址成员为202.38.1.100。
[Router-port-block-group-1] global-ip-pool 202.38.1.100 202.38.1.100
# 配置端口块大小为500,公网地址的端口范围为10001~15000。
[Router-port-block-group-1] block-size 500
[Router-port-block-group-1] port-range 10001 15000
[Router-port-block-group-1] quit
# 配置ACL 2000,仅允许对内部网络中10.110.10.0/24网段的用户报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 10.110.10.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 配置流分类cgn,配置流行为cgn,将匹配ACL 2000的流量引入备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl 2000
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/2上配置NAT端口块静态映射,引用端口块组1。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat outbound port-block-group 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配ACL 2000的会话设置备份组ID。
[Router] session service-location acl 2000 failover-group cgn
# 开启流量触发分配端口块功能。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router] nat port-block flow-trigger enable
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
Mapping mode : Connection-dependent
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
NAT port block group information:
Totally 1 NAT port block groups.
Port block group 1:
Port range: 10001-15000
Block size: 500
Failover group name: cgn
Local IP address information:
Start address End address VPN instance
10.110.10.1 10.110.10.10 ---
Global IP pool information:
Start address End address
202.38.1.100 202.38.1.100
NAT outbound port block group information:
Totally 1 outbound port block group items.
Interface: Ten-GigabitEthernet3/1/2
Port-block-group: 1
Config status : Active
# 通过以下显示命令,可以看到系统生成的静态端口块表项信息。
[Router] display nat port-block static slot 2
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 10.110.10.1 202.38.1.100 10001-10500 2 ---
--- 10.110.10.2 202.38.1.100 10501-11000 0 ---
--- 10.110.10.3 202.38.1.100 11001-11500 0 ---
--- 10.110.10.4 202.38.1.100 11501-12000 0 ---
--- 10.110.10.5 202.38.1.100 12001-12500 1 ---
--- 10.110.10.6 202.38.1.100 12501-13000 0 ---
--- 10.110.10.7 202.38.1.100 13001-13500 0 ---
--- 10.110.10.8 202.38.1.100 13501-14000 0 ---
--- 10.110.10.9 202.38.1.100 14001-14500 0 ---
--- 10.110.10.10 202.38.1.100 14501-15000 0 ---
Total mappings found: 10
· 某公司内网使用的IP地址为192.168.0.0/16。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
需要实现,内部网络中的192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。基于NAT端口块动态映射方式复用两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300。当为某用户分配的端口块资源耗尽时,再为其增量分配1个端口块。
图2-20 NAT端口块动态映射配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 将指定slot配置为备份组cgn的主节点。
<Router> system-view
[Router] failover group cgn id 1
[Router-failover-group-cgn] bind slot 2 primary
[Router-failover-group-cgn] quit
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3,外网地址的端口范围为1024~65535,端口块大小为300,增量端口块数为1。
[Router] nat address-group 0
[Router-address-group-0] failover-group cgn
[Router-address-group-0] address 202.38.1.2 202.38.1.3
[Router-address-group-0] port-range 1024 65535
[Router-address-group-0] port-block block-size 300 extended-block-number 1
[Router-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 配置流分类cgn,配置流行为cgn,将匹配ACL 2000的流量引入备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl 2000
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] nat outbound 2000 address-group 0
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配ACL 2000的会话设置备份组ID。
[Router] session service-location acl 2000 failover-group cgn
# 开启流量触发分配端口块功能。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router] nat port-block flow-trigger enable
# 以上配置完成后,Host A能够访问外网服务器,Host B和Host C无法访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group name/ID: 0/0
Port range: 1024-65535
Port block size: 300
Extended block number: 1
Failover group name: cgn
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/2
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Port-alloc-fail : Enabled
Port-block-alloc-fail : Disabled
Port-usage : Disabled
Port-block-usage : Enabled(Threshold: 40%)
Mapping mode : Connection-dependent
NAT ALG:
DNS : Disabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Disabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
# 通过以下显示命令,可以看到系统当前可分配的动态端口块总数和已分配的动态端口块个数。
[Router] display nat statistics slot 2
Slot 2:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 430
Active static port block entries: 0
Active dynamic port block entries: 1
Total PAT entries: 0
支持DS-Lite协议的私网IPv4主机(即:DS-Lite host)和公网IPv4 network通过IPv6网络相连。通过在DS-Lite host和AFTR之间建立DS-Lite隧道,并在AFTR连接IPv4 network接口上配置NAT,为DS-Lite host动态分配端口块,实现IPv4私网穿越IPv6网络访问IPv4公网。
图2-21 DS-Lite B4端口块动态映射配置组网图
(1) 配置AFTR端
# 配置接口Ten-GigabitEthernet3/1/1的地址。
<Router> system-view
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ip address 20.1.1.1 24
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置接口Ten-GigabitEthernet3/1/2(隧道的实际物理接口)的地址。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] ipv6 address 1::2 64
[Router-Ten-GigabitEthernet3/1/2] quit
# 创建模式为AFTR端DS-Lite隧道的接口Tunnel2。
[Router] interface tunnel 2 mode ds-lite-aftr
# 配置Tunnel2接口的IP地址。
[Router-Tunnel2] ip address 30.1.2.2 255.255.255.0
# 配置Tunnel2接口的源接口为Ten-GigabitEthernet3/1/2。
[Router-Tunnel2] source ten-gigabitethernet 3/1/2
[Router-Tunnel2] quit
# 在接口Ten-GigabitEthernet3/1/1上开启DS-Lite隧道功能。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] ds-lite enable
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置备份组。
[Router] failover group cgn id 1
[Router-failover-group-cgn] bind slot 2 primary
[Router-failover-group-cgn] quit
# 配置NAT地址组0,包含两个外网地址20.1.1.11和20.1.1.12,外网地址的端口范围为1024~65535,端口块大小为300。
[Router] nat address-group 0
[Router-address-group-0] failover-group cgn
[Router-address-group-0] address 20.1.1.11 20.1.1.12
[Router-address-group-0] port-range 1024 65535
[Router-address-group-0] port-block block-size 300
[Router-address-group-0] quit
# 配置IPv6 ACL 2100,仅允许对1::/64网段的IPv6源地址进行地址转换。
[Router] acl ipv6 basic 2100
[Router-acl-ipv6-basic-2100] rule permit source 1::/64
[Router-acl-ipv6-basic-2100] quit
# 配置流分类cgn,配置流行为cgn,将匹配IPv6 ACL 2100的流量引入备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl ipv6 2100
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/2上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/2] quit
# 在接口Ten-GigabitEthernet3/1/1上配置出方向动态地址转换,允许使用地址组0中的地址对匹配IPv6 ACL 2100的DS-Lite B4报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] nat outbound ds-lite-b4 2100 address-group 0
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配IPv6 ACL 2100的会话设置备份组ID。
[Router] session service-location acl ipv6 2100 failover-group cgn
# 开启流量触发分配端口块功能。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Router] nat port-block flow-trigger enable
(2) 配置DS-Lite host
配置DS-Lite host的IPv4地址为10.0.0.1,IPv6地址为1::1/64,并配置DS-Lite tunnel路由。(具体配置过程略)
# 完成上述配置后,在AFTR上执行display interface tunnel命令,可以看出Tunnel接口处于up状态。(具体显示信息略)
# 从DS-Lite host上可以ping通IPv4 Application server。
C:\> ping 20.1.1.2
Pinging 20.1.1.2 with 32 bytes of data:
Reply from 20.1.1.2: bytes=32 time=51ms TTL=255
Reply from 20.1.1.2: bytes=32 time=44ms TTL=255
Reply from 20.1.1.2: bytes=32 time=1ms TTL=255
Reply from 20.1.1.2: bytes=32 time=1ms TTL=255
Ping statistics for 20.1.1.2:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 1ms, Maximum = 51ms, Average = 24ms
# 通过以下显示命令,可以看到出方向动态地址转换的配置信息。
[Router] display nat outbound
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: Ten-GigabitEthernet3/1/1
DS-Lite B4 ACL: 2100 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
Config status: Active
# 通过以下显示命令,可以看到系统当前可分配的动态端口块总数和已分配的动态端口块个数。
[Router] display nat statistics slot 2
Slot 2:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 430
Active static port block entries: 0
Active dynamic port block entries: 1
Total PAT entries: 0
# 通过以下显示命令,可以看到生成的DS-Lite B4动态端口块表项。
[Router] display nat port-block dynamic ds-lite-b4 slot 2
Slot 2:
Local VPN DS-Lite B4 addr Global IP Port block Connections Extend
--- 1::1 20.1.1.11 1024-1323 1 ---
Total mappings found: 1
主机通过PPPoE接入Router,并连接到外部网络。Router作为BRAS设备对主机提供接入服务,同时通过CGN单板提供地址转换功能,并支持1:1方式的CGN板间热备。具体要求如下:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· Router作为PPPoE Server,与RADIUS服务器配合对主机进行远程CHAP认证,并通过IP地址池为主机分配IP地址。
· Router与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名要携带域名。
· Router上实现NAT与BRAS联动,在主机通过认证并分配私网地址的同时,为该主机分配公网地址和端口块。
· CGN 1和CGN 2组成备份组,CGN 1为备份组中的主节点,CGN 2为备份组中的备节点。开启会话业务热备份功能,实现板间热备。主备切换期间,用户的业务不会受到影响。
图2-22 PPPoE用户认证与NAT联动支持板间热备配置组网图
# 在RADIUS服务器上设置与Router交互报文时的共享密钥为expert;添加PPP用户名及密码。(略)
# 创建RADIUS方案rad。
<Router> system-view
[Router] radius scheme rad
# 配置主计费服务器和主认证服务器的IP地址为10.0.0.1。
[Router-radius-rad] primary accounting 10.0.0.1
[Router-radius-rad] primary authentication 10.0.0.1
# 配置与计费、认证服务器交互报文时的共享密钥为明文expert。
[Router-radius-rad] key accounting simple expert
[Router-radius-rad] key authentication simple expert
# 配置向RADIUS服务器发送的用户名要携带域名。
[Router-radius-rad] user-name-format with-domain
[Router-radius-rad] quit
# 创建名称为user的用户组。
[Router] user-group user
[Router-ugroup-user] quit
# 创建ISP域cgn。
[Router] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费。
[Router-isp-cgn] authentication ppp radius-scheme rad
[Router-isp-cgn] authorization ppp radius-scheme rad
[Router-isp-cgn] accounting ppp radius-scheme rad
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[Router-isp-cgn] user-address-type private-ipv4
# 设置ISP域cgn下的用户授权属性为user-group。
[Router-isp-cgn] authorization-attribute user-group user
# 设置为ISP域cgn下的用户分配IPv4地址的地址池为1。
[Router-isp-cgn] authorization-attribute ip-pool 1
[Router-isp-cgn] quit
# 启用DHCP服务。
[Router] dhcp enable
# 配置IP地址池1。
[Router] ip pool 1 bas local
[Router-ip-pool-pool1] gateway 10.210.0.1 24
[Router-ip-pool-pool1] forbidden-ip 10.210.0.1
[Router-ip-pool-pool1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain cgn
[Router-Virtual-Template1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
# 配置ACL 3000,仅允许对内部网络中10.210.0.0/24网段的用户报文进行地址转换。
[Router] acl advanced 3000
[Router-acl-ipv4-adv-3000] rule 0 permit ip source 10.210.0.0 0.0.0.255 user-group user
[Router-acl-ipv4-adv-3000] quit
# 配置备份组。
[Router] failover group cgn id 1
[Router-failover-group-cgn] bind slot 2 primary
[Router-failover-group-cgn] bind slot 3 secondary
[Router-failover-group-cgn] quit
# 配置流分类cgn,配置流行为cgn,将匹配ACL 3000的流量引入备份组cgn。
[Router] traffic classifier cgn
[Router-classifier-cgn] if-match acl 3000
[Router-classifier-cgn] quit
[Router] traffic behavior cgn
[Router-behavior-cgn] redirect failover-group cgn
[Router-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Router] qos policy cgn
[Router-qospolicy-cgn] classifier cgn behavior cgn
[Router-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Router-Ten-GigabitEthernet3/1/1] quit
# 开启会话业务热备份功能。
[Router] session synchronization enable
# 配置地址组1与备份组cgn绑定,包含一个外网地址111.8.0.200,外网地址的端口范围为1024~65535,端口块大小为10。
[Router] nat address-group 1
[Router-address-group-1] failover-group cgn
[Router-address-group-1] port-block block-size 10
[Router-address-group-1] port-range 1024 65535
[Router-address-group-1] address 111.8.0.200 111.8.0.200
# 在接口Ten-GigabitEthernet3/1/2上配置出方向动态地址转换,允许使用地址组1中的地址对匹配ACL 3000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface ten-gigabitethernet 3/1/2
[Router-Ten-GigabitEthernet3/1/2] ip address 111.8.0.101 255.255.255.0
[Router-Ten-GigabitEthernet3/1/2] nat outbound 3000 address-group 1
[Router-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配ACL 3000的会话设置备份组ID。
[Router] session service-location acl 3000 failover-group cgn
# 主机安装PPPoE客户端软件后,使用正确的用户名和密码,即可通过设备Router接入到Internet。当用户登录成功后,可以在Router上通过display access-user auth-type ppp verbose命令查看PPP接入用户的详细信息(包括分配的私网IP地址、转换后的公网IP地址以及端口块),同时还可以通过以下显示命令看到为该用户生成的动态端口块表项。
[Router] display nat port-block dynamic slot 2
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 10.210.0.4 111.8.0.200 1024-1033 1 ---
Total mappings found: 1
# 正常情况下,由备份组cgn的主节点处理业务。
[Router] display failover group
Stateful failover local group information:
ID Name Primary Secondary Active status
1 cgn 2 3 Primary
# 备份组cgn的主节点故障时,由备节点处理业务。
[Router] display failover group
Stateful failover local group information:
ID Name Primary Secondary Active status
1 cgn 2 3 Secondary
Router A、Router B和Router C属于同一自治系统,要求它们之间通过IS-IS协议达到IP网络互连的目的。主机通过PPPoE接入Router A,并连接到外部网络。Router A对主机提供接入服务,同时通过CGN单板提供地址转换功能;使用路由方式实现流量切换,即正常情况下,流量在Router A上的CGN单板进行地址转换;当Router A上的CGN单板故障时,流量切换到Router C旁挂的Router B上的CGN单板进行地址转换,具体要求如下:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· Router A作为PPPoE Server,与RADIUS服务器配合对主机进行远程CHAP认证,并通过IP地址池为主机分配IP地址。
· Router A与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名要携带域名。
· Router A与NAT联动,在主机通过认证后,由Router A给主机分配私网地址,同时由CGN单板为其分配公网地址和端口块。
· 当Router A上的CGN单板故障时,由Router B上的CGN单板分配公网地址和端口块。
· Router A、Router B和Router C运行IGP协议(如IS-IS协议)和BGP协议,通过IGP协议发布私网路由,通过BGP协议发布公网路由。
(1) 配置IP地址
请按照图2-23配置各接口的IP地址和子网掩码,并配置Router B的Loopback 0的IP地址为111.1.1.2/32,具体配置过程略。
(2) 配置IGP协议与BGP协议,本举例中仅体现Router B和Router C之间建立IBGP连接的过程,其他配置过程略。
(3) 配置Router A
# 在RADIUS服务器上设置与Router A交互报文时的共享密钥为expert;添加PPP用户名及密码。(略)
# 创建RADIUS方案rad。
<RouterA> system-view
[RouterA] radius scheme rad
# 配置主计费服务器和主认证服务器的IP地址为10.1.1.1。
[RouterA-radius-rad] primary accounting 10.1.1.1
[RouterA-radius-rad] primary authentication 10.1.1.1
# 配置与计费、认证服务器交互报文时的共享密钥为明文expert。
[RouterA-radius-rad] key accounting simple expert
[RouterA-radius-rad] key authentication simple expert
# 配置向RADIUS服务器发送的用户名要携带域名。
[RouterA-radius-rad] user-name-format with-domain
[RouterA-radius-rad] quit
# 创建ISP域cgn。
[RouterA] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费。
[RouterA-isp-cgn] authentication ppp radius-scheme rad
[RouterA-isp-cgn] authorization ppp radius-scheme rad
[RouterA-isp-cgn] accounting ppp radius-scheme rad
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[RouterA-isp-cgn] user-address-type private-ipv4
# 设置为ISP域cgn下的用户分配IPv4地址的地址池为1。
[Router-isp-cgn] authorization-attribute ip-pool 1
[Router-isp-cgn] quit
# 启用DHCP服务。
[Router] dhcp enable
# 配置IP地址池1。
[Router] ip pool 1 bas local
[Router-ip-pool-pool1] gateway 10.210.0.1 24
[Router-ip-pool-pool1] forbidden-ip 10.210.0.1
[Router-ip-pool-pool1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[RouterA] interface virtual-template 1
[RouterA-Virtual-Template1] ppp authentication-mode chap domain cgn
[RouterA-Virtual-Template1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 将指定slot配置为备份组cgn的主节点。
[RouterA] failover group cgn id 1
[RouterA-failover-group-cgn] bind slot 2 primary
[RouterA-failover-group-cgn] quit
# 配置ACL规则3333,仅允许对内部网络中10.210.0.0/24网段的用户报文进行地址转换。
[RouterA] acl advanced 3333
[RouterA-acl-ipv4-adv-3333] rule permit ip source 10.210.0.0 0.0.0.255
[RouterA-acl-ipv4-adv-3333] quit
# 配置流分类3333的匹配规则为:匹配ACL 3333的报文;为流行为cgn配置重定向动作,重定向到备份组cgn。
[RouterA] traffic classifier 3333
[RouterA-classifier-3333] if-match acl 3333
[RouterA-classifier-3333] quit
[RouterA] traffic behavior cgn
[RouterA-behavior-cgn] redirect failover-group cgn
[RouterA-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[RouterA] qos policy cgn
[RouterA-qospolicy-cgn] classifier 3333 behavior cgn
[RouterA-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 配置NAT地址组0,包含外网地址100.64.216.251,外网地址的端口范围为1024~65535,端口块大小为300,并将地址组0与备份组cgn绑定。
[RouterA] nat address-group 0
[RouterA-address-group-0] address 100.64.216.251 100.64.216.251
[RouterA-address-group-0] port-range 1024 65535
[RouterA-address-group-0] port-block block-size 300
[RouterA-address-group-0] failover-group cgn
[RouterA-address-group-0] quit
# 在接口Ten-GigabitEthernet3/1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配 ACL 3333的报文进行源地址转换。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] ip address 51.1.1.1 24
[RouterA-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterA-Ten-GigabitEthernet3/1/2] nat outbound 3333 address-group 0
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置处理基于会话业务的备份组,即仅允许为匹配ACL 3333的会话设置备份组ID。
[RouterA] session service-location acl 3333 failover-group cgn
# 开启集中式备份分布式CGN功能。
[RouterA] nat centralized-backup enable
(4) 配置Router B
# 与Router C建立IBGP连接。
<RouterB> system-view
[RouterB] bgp 65009
[RouterB-bgp-default] router-id 2.2.2.2
[RouterB-bgp-default] peer 41.1.1.2 as-number 65009
[RouterB-bgp-default] peer 41.1.1.2 connect-interface loopback 0
[RouterB-bgp-default] address-family ipv4 unicast
[RouterB-bgp-default-ipv4] peer 41.1.1.2 enable
[RouterB-bgp-default-ipv4] quit
[RouterB-bgp-default] quit
# 配置备份组cgn。
[RouterB] failover group cgn id 1
[RouterB-failover-group-cgn] bind slot 2 primary
[RouterB-failover-group-cgn] quit
# 配置NAT地址组1,包含外网地址172.18.217.1~172.18.217.250,外网地址的端口范围为1024~65535,端口块大小为300。
[RouterB] nat address-group 1
[RouterB-address-group-1] failover-group cgn
[RouterB-address-group-1] address 172.18.217.1 172.18.217.250
[RouterB-address-group-1] port-range 1024 65535
[RouterB-address-group-1] port-block block-size 300
[RouterB-address-group-1] quit
# 配置ACL规则,ACL 3333,仅允许对内部网络中10.210.0.0/24网段的用户报文进行地址转换。
[RouterB] acl basic 3333
[RouterB-acl-ipv4-basic-3333] rule 0 permit ip source 10.210.0.0 0.0.255.255
[RouterB-acl-ipv4-basic-3333] quit
# 配置流分类3333的匹配规则为:匹配ACL 3333的报文;为流行为cgn配置重定向动作,重定向到备份组cgn。
[RouterB] traffic classifier 3333
[RouterB-classifier-3333] if-match acl 3333
[RouterB-classifier-3333] quit
[RouterB] traffic behavior cgn
[RouterB-behavior-cgn] redirect failover-group cgn
[RouterB-behavior-redirect] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[RouterB] qos policy cgn
[RouterB-qospolicy-cgn] classifier 3333 behavior cgn
[RouterB-qospolicy-cgn] quit
# 在接口Ten-GigabitEthernet3/1/1上配置引流规则,并配置出方向动态地址转换,允许使用地址组1中的地址对匹配 ACL 3333的报文进行源地址转换。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[RouterB-Ten-GigabitEthernet3/1/1] nat outbound 3333 address-group 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置处理基于业务的备份组,即仅允许为匹配ACL 3333的会话设置备份组ID。
[RouterB] session service-location acl 3333 failover-group cgn
# 开启流量触发分配端口块功能。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[RouterB] nat port-block flow-trigger enable
(5) 配置Router C
# 与Router B建立IBGP连接。
<RouterC> system-view
[RouterC] bgp 65009
[RouterC-bgp-default] router-id 3.3.3.3
[RouterC-bgp-default] peer 41.1.1.1 as-number 65009
[RouterC-bgp-default] address-family ipv4 unicast
[RouterC-bgp-default-ipv4] peer 41.1.1.1 enable
[RouterC-bgp-default-ipv4] quit
[RouterC-bgp-default] quit
# 配置ACL规则,ACL 3333,仅允许对内部网络中10.210.0.0/24网段的用户报文进行地址转换。
[RouterC] acl basic 3333
[RouterC-acl-ipv4-basic-3333] rule 0 permit ip source 10.210.0.0 0.0.255.255
[RouterC-acl-ipv4-basic-3333] quit
# 创建策略节点ipv4,并设置匹配ACL 3333的报文的下一跳为111.1.1.2,即Router B的Loopback 0的IP地址。
[RouterC] policy-based-route ipv4 permit node 0
[RouterC-pbr-ipv4-0] if-match acl 3333
[RouterC-pbr-ipv4-0] apply next-hop 111.1.1.2
[RouterC-pbr-ipv4-0] quit
# 在接口Ten-GigabitEthernet3/1/2上对该接口转发的报文应用策略ipv4。
[RouterC] interface ten-gigabitethernet 3/1/2
[RouterC-Ten-GigabitEthernet3/1/2] ip policy-based-route ipv4
[RouterC-Ten-GigabitEthernet3/1/2] quit
# 主机安装PPPoE客户端软件后,使用正确的用户名和密码,即可通过设备RouterA接入到Internet。当用户登录成功后,可以在RouterA上通过display access-user auth-type ppp verbose命令查看PPP接入用户的详细信息(包括分配的私网IP地址、转换后的公网IP地址以及端口块),同时还可以通过以下显示命令看到为该用户生成的动态端口块表项。
[RouterA] display nat port-block dynamic slot 2
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 10.210.0.4 100.64.216.251 1024-1323 1 ---
Total mappings found: 1
# 拔出Router A上的CGN单板,用户登录成功后,在RouterB上可以看到为该用户生成的动态端口块表项。
[RouterB] display nat port-block dynamic slot 2
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 10.210.0.4 172.18.217.1 1024-1323 0 ---
主机通过PPPoE接入Router,并连接到外部网络。Router作为BRAS设备对主机提供接入服务,同时为主机提供地址转换服务。具体要求如下:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· Router作为PPPoE Server,与RADIUS服务器配合对主机进行远程CHAP认证,并通过IP地址池为主机分配IP地址。
· Router与认证、授权、计费RADIUS服务器交互报文时的共享密钥均为expert,向RADIUS服务器发送的用户名要携带域名。
· Router上实现NAT与BRAS联动,即在主机通过认证并分配私网地址的同时,为该主机分配公网地址和端口块。
(1) 按照组网图配置各接口的IP地址,具体配置过程略。
(2) 配置RADIUS服务器
在RADIUS服务器上设置与Router交互报文时的共享密钥为expert;添加PPP用户名及密码。(略)
(3) 配置Router
¡ 配置RADIUS方案
# 创建名称为rad的RADIUS方案并进入该方案视图。
<Router> system-view
[Router] radius scheme rad
# 配置主计费服务器和主认证服务器的IP地址为10.0.0.1,并配置主计费服务器和主认证服务器的端口号为1813。
[Router-radius-rad] primary accounting 10.0.0.1 1813
[Router-radius-rad] primary authentication 10.0.0.1 1813
# 配置与认证服务器交互报文时的共享密钥为明文expert。
[Router-radius-rad] key authentication simple expert
# 配置向RADIUS服务器发送的用户名要携带域名。
[Router-radius-rad] user-name-format with-domain
[Router-radius-rad] quit
¡ 配置ISP域
# 创建并进入名称为cgn的ISP域。
[Router] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费。
[Router-isp-cgn] authentication ppp radius-scheme rad
[Router-isp-cgn] authorization ppp radius-scheme rad
[Router-isp-cgn] accounting ppp radius-scheme rad
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[Router-isp-cgn] user-address-type private-ipv4
# 设置为ISP域cgn下的用户分配IPv4地址的地址池为1。
[Router-isp-cgn] authorization-attribute ip-pool 1
[Router-isp-cgn] quit
¡ 配置负载分担用户组和NAT实例的绑定关系
# 创建名称为ugrp的用户组。
[Router] user-group ugrp
[Router-ugroup-ugrp] quit
# 配置用户组ugrp和NAT实例inst绑定。
[Router] domain name cgn
[Router-isp-cgn] user-group name ugrp bind nat-instance inst
[Router-isp-cgn] quit
¡ 启用DHCP服务
[Router] dhcp enable
¡ 配置PPPoE认证
# 配置IP地址池1。
[Router] ip pool 1 bas local
[Router-ip-pool-pool1] gateway 10.210.0.1 24
[Router-ip-pool-pool1] forbidden-ip 10.210.0.1
[Router-ip-pool-pool1] quit
# 配置虚拟模板接口1的参数,采用CHAP认证对端。
[Router] interface virtual-template 1
[Router-Virtual-Template1] ppp authentication-mode chap domain cgn
[Router-Virtual-Template1] quit
# 在接口Ten-GigabitEthernet3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] pppoe-server bind virtual-template 1
[Router-Ten-GigabitEthernet3/1/1] quit
¡ 配置备份组
# 创建备份组failgrp,并进入备份组视图。
[Router] failover group failgrp id 1
# 将slot 2作为备份组failgrp的主节点,slot 3作为备份组的备节点。
[Router-failover-group-failgrp] bind slot 2 primary
[Router-failover-group-failgrp] bind slot 3 secondary
[Router-failover-group-failgrp] quit
¡ 配置业务实例组
# 创建业务实例组sgrp,并进入业务实例组视图。
[Router] service-instance-group sgrp
# 将业务实例组sgrp和备份组failgrp关联。
[Router-service-instance-group-sgrp] failover-group failgrp
[Router-service-instance-group-sgrp] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[Router] acl advanced 3000
# 为IPv4高级ACL 3000创建规则。
[Router-acl-ipv4-adv-3000] rule permit ip user-group ugrp
[Router-acl-ipv4-adv-3000] quit
¡ 配置QoS策略,将匹配用户组ugrp中用户的IP报文引流到NAT实例。
# 定义类c1的匹配规则为:匹配用户组ugrp中用户的IP报文。
[Router] traffic classifier c1
[Router-classifier-c1] if-match acl 3000
[Router-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量绑定NAT实例inst的动作。
[Router] traffic behavior b1
[Router-behavior-b1] bind nat-instance inst
[Router-behavior-b1] quit
# 创建QoS策略cb1,并为类c1指定采用流行为b1。
[Router] qos policy cb1
[Router-qospolicy-cb1] classifier c1 behavior b1
[Router-qospolicy-cb1] quit
# 将QoS策略cb1应用到接口Ten-GigabitEthernet3/1/1的入方向上。
[Router] interface ten-gigabitethernet 3/1/1
[Router-Ten-GigabitEthernet3/1/1] qos apply policy cb1 inbound
[Router-Ten-GigabitEthernet3/1/1] quit
¡ 配置全局地址转换
# 配置地址组1,包含一个外网地址111.8.0.200,外网地址的端口范围为1024~65535,端口块大小为10。
[Router] nat address-group 1
[Router-address-group-1] port-block block-size 10
[Router-address-group-1] port-range 1024 65535
[Router-address-group-1] address 111.8.0.200 111.8.0.200
[Router-address-group-1] quit
# 创建NAT实例inst。
[Router] nat instance inst id 1
# 将NAT实例inst与业务实例组sgrp关联。
[Router-nat-instance-inst] service-instance-group sgrp
# 配置地址转换规则,对匹配用户组ugrp中用户的IP报文进行地址转换。
[Router-nat-instance-inst] nat outbound 3000 address-group 1
[Router-nat-instance-inst] quit
# 主机安装PPPoE客户端软件后,使用正确的用户名和密码,即可通过设备Router接入到Internet。当用户登录成功后,可以在Router上通过display access-user auth-type ppp verbose命令查看PPP接入用户的详细信息(包括分配的私网IP地址、转换后的公网IP地址以及端口块),同时还可以通过以下显示命令看到为该用户生成的动态端口块表项。
[Router] display nat port-block dynamic slot 2
Slot 2:
Local VPN Local IP Global IP Port block Connections Extend
--- 10.210.0.4 111.8.0.200 1314-1323 1 ---
Total mappings found: 1
如图2-24所示,某公司内部对外提供FTP服务。公司内部网址为10.110.0.0/16,其中,内部FTP服务器地址为10.110.10.1/16,对外提供FTP服务使用的公网IP地址为202.38.1.1。需要实现外部的主机可以通过202.38.1.1、端口号21访问该公司内网的FTP服务器。
(1) 配置Device
a. 配置接口的IP地址。
根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] ip address 10.110.10.10 255.255.0.0
[DeviceA-Ten-GigabitEthernet3/1/1] quit
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] ip address 202.38.1.10 255.255.255.0
[DeviceA-Ten-GigabitEthernet3/1/2] quit
b. 配置备份组。
# 将CGN单板配置为备份组的主节点。
[Device] failover group cgn1 id 1
[Device-failover-group-cgn] bind slot 2 primary
[Device-failover-group-cgn] quit
c. 配置ACL。
# 配置ACL 3000,用于匹配内部FTP服务器的IP地址10.110.10.1。
[Device] acl advanced 3000
[Device-acl-ipv4-adv-3000] rule 5 permit ip source 10.110.10.1 0
[Device-acl-ipv4-adv-3000] quit
d. 配置QoS策略,将流量引到NAT实例。
# 配置流分类cgn,配置流行为cgn,将匹配ACL 3000的流量引入对应的nat实例a。
[Device] traffic classifier cgn
[Device-classifier-cgn] if-match acl 3000
[Device-classifier-cgn] quit
[Device] traffic behavior cgn
[Device-behavior-cgn] bind nat-instance a
[Device-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Device] qos policy cgn
[Device-qospolicy-cgn] classifier cgn behavior cgn
[Device-qospolicy-cgn] quit
# 将QoS策略cgn应用到在接口Ten-GigabitEthernet3/1/1的入方向上。
[Device] interface ten-gigabitethernet 3/1/1
[Device-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Device-Ten-GigabitEthernet3/1/1] quit
e. 配置业务实例组。
# 配置业务实例组,并在业务实例组下关联备份组cgn1。
[Device] service-instance-group 1
[Device-service-instance-group 1] failover-group cgn1
[Device-service-instance-group 1] quit
f. 配置全局地址转换。
# 创建NAT实例a。
[Device] nat instance a id 1
# 将NAT实例a与业务实例组1关联。
[Device-nat-instance-1] service-instance-group 1
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。
[Device-nat-instance-1] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.1 ftp
[Device-nat-instance-1] quit
# 配置Host的默认网关的IP地址为202.38.1.10。
# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。
[Device] display nat session verbose
Initiator:
Source IP/port: 202.38.1.20/53323
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 10.110.10.1/21
Destination IP/port: 202.38.1.20/53323
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: FTP
Role: Master
Failover group ID: 1
Start time: 2022-05-19 14:02:28
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
· 某公司内网使用的IP地址为192.168.0.0/16。
· 使用包含外网地址为202.38.1.2/24的静态全局NAT地址池为内网用户提供NAT地址。
· NAT实例与业务实例组关联,该业务实例组关联了两个备份组,这两个备份组之间进行NAT业务的负载分担。
图2-25 全局NAT负载分担方式下的端口块动态映射配置组网图
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 将指定slot配置为备份组的主节点。
<Device> system-view
[Device] failover group cgn1 id 1
[Device-failover-group-cgn] bind slot 2 primary
[Device-failover-group-cgn] quit
[Device] failover group cgn2 id 2
[Device-failover-group-cgn] bind slot 3 primary
[Device-failover-group-cgn] quit
# 配置全局NAT地址池1,包含的外网地址为202.38.1.2/24,地址池分配初始段为27,扩展段为30。
[Device] nat ip-pool 1
[Device-nat-ip-pool-1] section 0 202.38.1.2 mask 24
[Device-nat-ip-pool-1] subnet length initial 27 extend 30
[Device-nat-ip-pool-1] quit
# 配置地址组0,外网地址的端口范围为1024~65535,端口块大小为300,增量端口块数为1。
[Device] nat address-group 0
[Device-address-group-0] port-range 1024 65535
[Device-address-group-0] port-block block-size 300 extended-block-number 1
[Device-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 配置流分类cgn,配置流行为cgn,将匹配ACL 2000的流量引入对应的nat实例a。
[Device] traffic classifier cgn
[Device-classifier-cgn] if-match acl 2000
[Device-classifier-cgn] quit
[Device] traffic behavior cgn
[Device-behavior-cgn] bind nat-instance a
[Device-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[Device] qos policy cgn
[Device-qospolicy-cgn] classifier cgn behavior cgn
[Device-qospolicy-cgn] quit
# 将QoS策略cgn应用到在接口Ten-GigabitEthernet3/1/1的入方向上。
[Device] interface ten-gigabitethernet 3/1/1
[Device-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[Device-Ten-GigabitEthernet3/1/1] quit
# 配置业务实例组,并在业务实例组下关联备份组cgn1和cgn2。
[Device] service-instance-group 1
[Device-service-instance-group 1] failover-group cgn1
[Device-service-instance-group 1] failover-group cgn2
[Device-service-instance-group 1] quit
# 在全局NAT实例a下配置地址组0绑定地址池1,绑定业务实例组1,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Device] nat instance a id 1
[Device-nat-instance-1] nat outbound 2000 address-group 0
[Device-nat-instance-1] nat address-group 0 bind-ip-pool 1
[Device-nat-instance-1] service-instance-group 1
# 开启流量触发分配端口块功能。该配置的支持情况与设备的型号有关,请以设备的实际情况为准。
[Device-nat-instance-1] nat port-block flow-trigger enable
[Device-nat-instance-1] quit
# 以上配置完成后,通过以下显示命令查看NAT实例下地址组绑定的全局NAT地址池信息。可以看到备份组cgn1和备份cgn2都获取到了地址段。
[Device] display nat instance instance-name a address-group 0
Instance : a
Address group name/ID : 0
IP pool name : 1
Subnet length (Initial/Extended) : 27/30
Usage thresholds (High/Low) : 80%/20%
Total IP usage : 100%
Total port usage : 3%
Address info:
Subnet Mask Total
202.38.1.0 255.255.255.224 32
Failover-group: cgn1
Total IP count : 16
IP usage : 100%
Port usage: 3%
Address info:
StartIP Total Initial
202.38.1.0 16 Y
Failover-group: cgn2
Total IP count : 16
IP usage : 100%
Port usage: 3%
Address info:
StartIP Total Initial
202.38.1.16 16 Y
# 通过以下显示命令查看NAT统计信息的概要信息。可以看到备份组cgn1的主节点slot 2和备份组cgn2的主节点slot 3上均创建了NAT会话,即实现了NAT业务的负载分担。
[Device] display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Chassis Slot Sessions EIM SPB DPB ASPB ADPB
1 0 0 0 0 0 0 0
1 2 127 0 0 3440 0 127
1 3 127 0 0 3440 0 127
1 4 0 0 0 0 0 0
如图2-26所示,某公司内部拥有一台Telnet服务器,用户能够登录到Telnet服务器进行远程管理和监控。公司内部划分了不同的网段,内部主机通过网关Device A访问外网。Device A安装了CGN单板,可以对符合条件的用户报文进行地址转换。需要通过Device A实现如下功能:
· 处于10.1.2.0/24网段的用户通过联通运营商访问外网。Device A使用100.1.1.2~100.1.1.20之间的IP地址对该网段用户访问外网的报文进行地址转换。
· 处于20.1.2.0/24网段的用户通过电信运营商访问外网。Device A使用200.1.1.2~200.1.1.20之间的IP地址对该网段用户访问外网的报文进行地址转换。
· 内部Telnet服务器配备双网卡,两个私网IP地址分别为40.1.1.2/24、40.1.2.2/24。Telnet服务器通过不同的运营商提供远程登录服务时,需要由Device A转换为不同的地址。
· 当联通或电信下一跳不可达时,私网侧到公网侧的业务可以切换到另一出口。
· 允许外网主机使用联通出接口IP地址10.1.1.1、端口号23访问该Telnet服务器;允许外网主机使用电信出接口IP地址20.1.1.1、端口号23访问该Telnet服务器。
图2-26 多出口NAT配置组网图
(1) 配置DeviceA各接口的IP地址。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] ip address 30.1.1.1 255.255.255.0
[DeviceA-Ten-GigabitEthernet3/1/1] quit
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] ip address 10.1.1.1 255.255.255.0
[DeviceA-Ten-GigabitEthernet3/1/2] quit
[DeviceA] interface ten-gigabitethernet 3/1/3
[DeviceA-Ten-GigabitEthernet3/1/3] ip address 20.1.1.1 255.255.255.0
[DeviceA-Ten-GigabitEthernet3/1/3] quit
(2) 配置备份组。
# 创建备份组,名称为cgn,编号为1。
[DeviceA] failover group cgn id 1
# 将CGN单板配置为备份组cgn的主节点。本例中CGN单板位于slot 4。
[DeviceA-failover-group-cgn] bind slot 4 primary
[DeviceA-failover-group-cgn] quit
(3) 配置业务实例组。
# 创建业务实例组,名称为cgn。
[DeviceA] service-instance-group cgn
# 将业务实例组与备份组cgn关联。
[DeviceA-service-instance-group-cgn] failover-group cgn
[DeviceA-service-instance-group-cgn] quit
(4) 配置全局NAT。
a. 配置ACL。
# 配置ACL 3001,用于匹配20.1.2.0/24。
[DeviceA] acl advanced 3001
[DeviceA-acl-ipv4-adv-3001] rule 5 permit ip source 20.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3001] quit
# 配置ACL 3002,用于匹配10.1.2.0/24。
[DeviceA] acl advanced 3002
[DeviceA-acl-ipv4-adv-3002] rule 5 permit ip source 10.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3002] quit
# 配置ACL 3334,用于匹配40.1.0.0/16。
[DeviceA] acl advanced 3334
[DeviceA-acl-ipv4-adv-3334] rule 5 permit ip source 40.1.0.0 0.0.255.255
[DeviceA-acl-ipv4-adv-3334] quit
b. 配置NAT地址组。
# 配置地址组3,包含外网地址200.1.1.2~200.1.1.20。
[DeviceA] nat address-group 3
[DeviceA-address-group-3] address 200.1.1.2 200.1.1.20
[DeviceA-address-group-3] quit
# 配置地址组4,包含外网地址100.1.1.2~100.1.1.20。
[DeviceA] nat address-group 4
[DeviceA-address-group-4] address 100.1.1.2 100.1.1.20
[DeviceA-address-group-4] quit
c. 配置NAT实例。
# 创建一个NAT实例,名称为cgn,实例编号为1。
[DeviceA] nat instance cgn id 1
# 将NAT实例cgn与业务实例组cgn关联。
[DeviceA-nat-instance-cgn] service-instance-group cgn
d. 配置出方向动态地址转换。
# 配置引用ACL 3001的出方向动态地址转换,且使用地址组3中的地址作为转换后的地址。
[DeviceA-nat-instance-cgn] nat outbound 3001 address-group 3
# 配置引用ACL 3002的出方向动态地址转换,且使用地址组4中的地址作为转换后的地址。
[DeviceA-nat-instance-cgn] nat outbound 3002 address-group 4
e. 配置内部服务器。
# 配置内部服务器,允许外网主机使用联通出接口IP地址10.1.1.1、端口号23访问内网服务器。
[DeviceA-nat-instance-cgn] nat server protocol tcp global 10.1.1.1 23 inside 40.1.2.2 23
# 配置内部服务器,允许外网主机使用电信出接口IP地址20.1.1.1、端口号23访问内网服务器。
[DeviceA-nat-instance-cgn] nat server protocol tcp global 20.1.1.1 23 inside 40.1.1.2 23
[DeviceA-nat-instance-cgn] quit
f. 配置QoS策略,将流量引到NAT实例进行地址转换。
# 配置流分类cgn,配置流行为cgn,将匹配ACL 3001、3002、3334的流量引入名称为cgn的NAT实例。
[DeviceA] traffic classifier cgn operator or
[DeviceA-classifier-cgn] if-match acl 3001
[DeviceA-classifier-cgn] if-match acl 3002
[DeviceA-classifier-cgn] if-match acl 3334
[DeviceA-classifier-cgn] quit
[DeviceA] traffic behavior cgn
[DeviceA-behavior-cgn] bind nat-instance cgn
[DeviceA-behavior-cgn] quit
# 配置QoS策略cgn,将名称为cgn的流分类与名称为cgn的流行为进行绑定。
[DeviceA] qos policy cgn
[DeviceA-qospolicy-cgn] classifier cgn behavior cgn
[DeviceA-qospolicy-cgn] quit
# 将QoS策略cgn应用到在接口Ten-GigabitEthernet3/1/1的入方向上。
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[DeviceA-Ten-GigabitEthernet3/1/1] quit
(5) 配置静态路由,流量通过负载分担方式到达联通出接口和电信出接口。
[DeviceA] ip route-static 0.0.0.0 0 10.1.1.2
[DeviceA] ip route-static 0.0.0.0 0 20.1.1.2
(6) 在出方向基于转换后的公网地址做流量重定向,实现联通出接口匹配电信的源公网地址重定向到电信出接口,电信出接口匹配联通的源公网地址重定向到联通出接口。
a. 配置ACL。
# 配置ACL 3003,用于匹配100.1.1.0/24。
[DeviceA] acl advanced 3003
[DeviceA-acl-ipv4-adv-3003] rule 5 permit ip source 100.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3003] quit
# 配置ACL 3004,用于匹配200.1.1.0/24。
[DeviceA] acl advanced 3004
[DeviceA-acl-ipv4-adv-3004] rule 5 permit ip source 200.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3004] quit
b. 配置QoS策略,对出方向流量进行重定向。
# 配置流分类unicom,配置流行为unicom,将匹配ACL 3003的流量重定向到联通下一跳地址10.1.1.2。
[DeviceA] traffic classifier unicom operator and
[DeviceA-classifier-unicom] if-match acl 3003
[DeviceA-classifier-unicom] quit
[DeviceA] traffic behavior unicom
[DeviceA-behavior-unicom] redirect next-hop 10.1.1.2
# 配置QoS策略unicom,将名称为unicom的流分类与名称为unicom的流行为进行绑定。
[DeviceA] qos policy unicom
[DeviceA-qospolicy-unicom] classifier unicom behavior unicom
[DeviceA-qospolicy-unicom] quit
# 将QoS策略unicom应用到接口Ten-GigabitEthernet3/1/3的出方向上。
[DeviceA] interface ten-gigabitethernet 3/1/3
[DeviceA-Ten-GigabitEthernet3/1/3] qos apply policy unicom outbound
[DeviceA-Ten-GigabitEthernet3/1/3] quit
# 配置流分类telecom,配置流行为telecom,将匹配ACL 3004的流量重定向到电信下一跳地址20.1.1.2。
[DeviceA] traffic classifier telecom operator and
[DeviceA-classifier-telecom] if-match acl 3004
[DeviceA-classifier-telecom] quit
[DeviceA] traffic behavior telecom
[DeviceA-behavior-telecom] redirect next-hop 20.1.1.2
# 配置QoS策略telecom,将名称为telecom的流分类与名称为telecom的流行为进行绑定。
[DeviceA] qos policy telecom
[DeviceA-qospolicy-telecom] classifier telecom behavior telecom
[DeviceA-qospolicy-telecom] quit
# 将QoS策略telecom应用到接口Ten-GigabitEthernet3/1/2的出方向上。
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] qos apply policy telecom outbound
[DeviceA-Ten-GigabitEthernet3/1/2] quit
(7) 配置EAA,当联通出接口对应的下一跳或电信出接口对应的下一跳不可达,以及联通出接口对应的下一跳或电信出接口对应的下一跳由不可达恢复为可达时,切换处理业务的接口。
a. 配置ACL。
# 配置ACL 3010,匹配用户私网IP地址段10.1.2.0/24和20.1.2.0/24。
[DeviceA] acl advanced 3010
[DeviceA-acl-ipv4-adv-3010] rule 5 permit ip source 10.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3010] rule 10 permit ip source 20.1.2.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3010] quit
b. 配置NQA,探测联通下一跳地址是否可达。
# 创建ICMP-echo类型的NQA测试组(管理员为admin,操作标签为unicom),并配置探测报文的目的地址为10.1.1.2。
[DeviceA] nqa entry admin unicom
[DeviceA-nqa-admin-unicom] type icmp-echo
[DeviceA-nqa-admin-unicom-icmp-echo] destination ip 10.1.1.2
# 配置NQA参数:一次NQA测试中探测的次数为10,测试组连续两次测试开始时间的时间间隔为100毫秒。
[DeviceA-nqa-admin-unicom-icmp-echo] probe count 10
[DeviceA-nqa-admin-unicom-icmp-echo] frequency 100
# 配置探测报文的出接口为Ten-GigabitEthernet3/1/2。
[DeviceA-nqa-admin-unicom-icmp-echo] out interface ten-gigabitethernet 3/1/2
# 建立序号为1的联动项,连续探测失败5次,触发Track模块联动。
[DeviceA-nqa-admin-unicom-icmp-echo] reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[DeviceA-nqa-admin-unicom-icmp-echo] quit
# 启动ICMP-echo测试操作,并一直进行测试。
[DeviceA] nqa schedule admin unicom start-time now lifetime forever
c. 配置NQA,探测电信下一跳地址是否可达。
# 创建ICMP-echo类型的NQA测试组(管理员为admin,操作标签为telecom),并配置探测报文的目的地址为20.1.1.2。
[DeviceA] nqa entry admin telecom
[DeviceA-nqa-admin-telecom] type icmp-echo
[DeviceA-nqa-admin-telecom-icmp-echo] destination ip 20.1.1.2
# 配置NQA参数:一次NQA测试中探测的次数为10,测试组连续两次测试开始时间的时间间隔为100毫秒。
[DeviceA-nqa-admin-telecom-icmp-echo] probe count 10
[DeviceA-nqa-admin-telecom-icmp-echo] frequency 100
# 配置探测报文的出接口为Ten-GigabitEthernet3/1/3。
[DeviceA-nqa-admin-telecom-icmp-echo] out interface ten-gigabitethernet 3/1/3
# 建立序号为2的联动项,连续探测失败5次,触发Track模块联动。
[DeviceA-nqa-admin-telecom-icmp-echo] reaction 2 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only
[DeviceA-nqa-admin-telecom-icmp-echo] quit
# 启动ICMP-echo测试操作,并一直进行测试。
[DeviceA] nqa schedule admin telecom start-time now lifetime forever
d. 配置Track项。
# 配置Track项1,关联NQA测试组(管理员为admin,操作标签为unicom)的联动项1。
[DeviceA] track 1 nqa entry admin unicom reaction 1
[DeviceA-track-1] quit
# 配置Track项2,关联NQA测试组(管理员为admin,操作标签为telecom)的联动项2。
[DeviceA] track 2 nqa entry admin telecom reaction 2
[DeviceA-track-2] quit
e. 配置CLI监控策略,当联通下一跳地址不可达时,10.1.2.0/24网段的用户流量在电信出接口进行地址转换;当联通下一跳地址由不可达变为可达时,10.1.2.0网段的用户流量切回到联通出接口进行地址转换。
# 创建CLI监控策略,名称为unicomtotelecom。
[DeviceA] rtm cli-policy unicomtotelecom
# 当Track项1变为Negative,即联通下一跳地址不可达时,在NAT实例cgn下执行如下删除、增加配置的动作。
- 删除NAT实例cgn下引用ACL 3001和引用ACL 3002的出方向动态地址转换配置。
- 增加引用ACL 3010的出方向动态地址转换配置,且使用地址组3中的地址作为转换后的地址。
[DeviceA-rtm-unicomtotelecom] event track 1 state negative
[DeviceA-rtm-unicomtotelecom] action 1 cli system
[DeviceA-rtm-unicomtotelecom] action 2 cli nat instance cgn
[DeviceA-rtm-unicomtotelecom] action 3 cli undo nat outbound 3001
[DeviceA-rtm-unicomtotelecom] action 4 cli undo nat outbound 3002
[DeviceA-rtm-unicomtotelecom] action 5 cli nat outbound 3010 address-group 3
# 配置用户角色network-operator和network-admin具有执行该策略的权限。
[DeviceA-rtm-unicomtotelecom] user-role network-operator
[DeviceA-rtm-unicomtotelecom] user-role network-admin
# 启用CLI监控策略。
[DeviceA-rtm-unicomtotelecom] commit
[DeviceA-rtm-unicomtotelecom] quit
# 创建CLI监控策略,名称为telecombacktounicom。
[DeviceA] rtm cli-policy telecombacktounicom
# 当Track项1由Negative变为Positive,即联通下一跳地址由不可达变为可达时,在NAT实例cgn下执行如下增加、删除配置的动作:
- 删除引用ACL 3010的出方向动态地址转换配置。
- 增加引用ACL 3001的出方向动态地址转换配置,且使用地址组3中的地址作为转换后的地址。
- 增加引用ACL 3002的出方向动态地址转换配置,且使用地址组4中的地址作为转换后的地址。
[DeviceA-rtm-telecombacktounicom] event track 1 state positive
[DeviceA-rtm-telecombacktounicom] action 1 cli system
[DeviceA-rtm-telecombacktounicom] action 2 cli nat instance cgn
[DeviceA-rtm-telecombacktounicom] action 3 cli undo nat outbound 3010
[DeviceA-rtm-telecombacktounicom] action 4 cli nat outbound 3001 address-group 3
[DeviceA-rtm-telecombacktounicom] action 5 cli nat outbound 3002 address-group 4
# 配置用户角色network-operator和network-admin具有执行该策略的权限。
[DeviceA-rtm-telecombacktounicom] user-role network-operator
[DeviceA-rtm-telecombacktounicom] user-role network-admin
# 启用CLI监控策略。
[DeviceA-rtm-telecombacktounicom] commit
[DeviceA-rtm-telecombacktounicom] quit
f. 配置CLI监控策略,当电信下一跳地址不可达时,20.1.2.0/24网段的用户流量在联通出接口进行地址转换;当电信下一跳地址由不可达变为可达时,20.1.2.0/24网段的用户流量切回到电信出接口进行地址转换。
# 创建CLI监控策略,名称为telecomtounicom。
[DeviceA] rtm cli-policy telecomtounicom
# 当Track项2变为Negative,即电信下一跳地址不可达时,在NAT实例cgn下执行如下删除,增加配置的动作:
- 删除NAT实例cgn下引用ACL 3001和引用ACL 3002的出方向动态地址转换配置。
- 增加引用ACL 3010的出方向动态地址转换配置,且使用地址组4中的地址作为转换后的地址。
[DeviceA-rtm-telecomtounicom] event track 2 state negative
[DeviceA-rtm-telecomtounicom] action 1 cli system
[DeviceA-rtm-telecomtounicom] action 2 cli nat instance cgn
[DeviceA-rtm-telecomtounicom] action 3 cli undo nat outbound 3001
[DeviceA-rtm-telecomtounicom] action 4 cli undo nat outbound 3002
[DeviceA-rtm-telecomtounicom] action 5 cli nat outbound 3010 address-group 4
# 配置用户角色network-operator和network-admin具有执行该策略的权限。
[DeviceA-rtm-telecomtounicom] user-role network-operator
[DeviceA-rtm-telecomtounicom] user-role network-admin
# 启用CLI监控策略。
[DeviceA-rtm-telecomtounicom] commit
[DeviceA-rtm-telecomtounicom] quit
# 创建CLI监控策略,名称为unicombacktotelecom。
[DeviceA] rtm cli-policy unicombacktotelecom
# 当Track项2由Negative变为Positive,即电信下一跳地址由不可达变为可达时,在NAT实例cgn下执行如下增加、删除配置的动作:
- 删除引用ACL 3010的出方向动态地址转换配置。
- 增加引用ACL 3001的出方向动态地址转换配置,且使用地址组3中的地址作为转换后的地址。
- 增加引用ACL 3002的出方向动态地址转换配置,且使用地址组4中的地址作为转换后的地址。
[DeviceA-rtm-unicombacktotelecom] event track 2 state positive
[DeviceA-rtm-unicombacktotelecom] action 1 cli system
[DeviceA-rtm-unicombacktotelecom] action 2 cli nat instance cgn
[DeviceA-rtm-unicombacktotelecom] action 3 cli undo nat outbound 3010
[DeviceA-rtm-unicombacktotelecom] action 4 cli nat outbound 3001 address-group 3
[DeviceA-rtm-unicombacktotelecom] action 5 cli nat outbound 3002 address-group 4
# 配置用户角色network-operator和network-admin具有执行该策略的权限。
[DeviceA-rtm-unicombacktotelecom] user-role network-operator
[DeviceA-rtm-unicombacktotelecom] user-role network-admin
# 启用CLI监控策略。
[DeviceA-rtm-unicombacktotelecom] commit
[DeviceA-rtm-unicombacktotelecom] quit
# 通过以下显示命令,可以看到Host A访问Host X时生成的NAT会话信息。
[DeviceA] display nat session verbose
Slot 4:
Initiator:
Source IP/port: 10.1.2.1/282
Destination IP/port: 111.11.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 111.11.1.1/4
Destination IP/port: 100.1.1.7/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:07:09 TTL: 18s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 通过以下显示命令,可以看到Host B访问Host X时生成的NAT会话信息。
[DeviceA] display nat session verbose
Slot 4:
Initiator:
Source IP/port: 20.1.2.1/285
Destination IP/port: 111.11.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 111.11.1.1/1
Destination IP/port: 200.1.1.8/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/3
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:09:31 TTL: 27s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 当联通下一跳不可达时,通过以下显示命令,可以看到Host A访问Host X时生成的NAT会话信息。从该会话信息可以看出Host A转换后的IP地址为地址组3中的IP地址,并通过电信出接口收到Host X的回应报文。
[DeviceA] display nat session verbose
Slot 0:
Initiator:
Source IP/port: 10.1.2.1/289
Destination IP/port: 111.11.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 111.11.1.1/1
Destination IP/port: 200.1.1.7/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/3
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:15:46 TTL: 19s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 当联通下一跳从不可达恢复为可达时,通过以下显示命令,可以看到Host A访问Host X时生成的NAT会话信息。从该会话信息可以看出Host A转换后的IP地址恢复为地址组4中的IP地址,并通过联通出接口收到Host X的回应报文。
[DeviceA] display nat session verbose
Slot 0:
Initiator:
Source IP/port: 10.1.2.1/292
Destination IP/port: 111.11.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 111.11.1.1/5
Destination IP/port: 100.1.1.7/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:17:39 TTL: 22s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 当电信下一跳不可达时,通过以下显示命令,可以看到Host B访问Host X时生成的NAT会话信息。从该会话信息可以看出Host B转换后的IP地址为地址组4中的IP地址,并通过联通出接口收到Host X的回应报文。
[DeviceA] display nat session verbose
Slot 0:
Initiator:
Source IP/port: 20.1.2.1/295
Destination IP/port: 111.11.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 111.11.1.1/1
Destination IP/port: 100.1.1.8/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/2
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:19:38 TTL: 16s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 当电信下一跳从不可达恢复为可达时,通过以下显示命令,可以看到Host B访问Host X时生成的NAT会话信息。从该会话信息可以看出Host B转换后的IP地址恢复为地址组3中的IP地址,并通过电信出接口收到Host X的回应报文。
[DeviceA] display nat session verbose
Slot 0:
Initiator:
Source IP/port: 20.1.2.1/303
Destination IP/port: 111.11.1.1/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 111.11.1.1/1
Destination IP/port: 200.1.1.7/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Ten-GigabitEthernet3/1/3
State: ICMP_REPLY
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:24:15 TTL: 22s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 通过以下显示命令,可以看到Host X通过10.1.1.1、端口号23远程登录到Telnet服务器时生成的NAT会话信息。
[DeviceA] display nat session verbose
Slot 0:
Initiator:
Source IP/port: 111.11.1.1/47115
Destination IP/port: 10.1.1.1/23
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 40.1.2.2/23
Destination IP/port: 111.11.1.1/47115
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:37:56 TTL: 3592s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# 通过以下显示命令,可以看到Host X通过20.1.1.1、端口号23远程登录到Telnet服务器时生成的NAT会话信息。
[DeviceA] display nat session verbose
Slot 0:
Initiator:
Source IP/port: 111.11.1.1/47116
Destination IP/port: 20.1.1.1/23
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/3
Responder:
Source IP/port: 40.1.1.2/23
Destination IP/port: 111.11.1.1/47116
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: OTHER
Role: Master
Failover group ID: 1
Start time: 2022-05-30 21:40:56 TTL: 3591s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
如图2-27所示,一个公司的内部网络设备通过Device A的网络地址转换功能访问Internet,Device A的slot 4上安装了CGN单板,可以对符合条件的用户报文进行地址转换。该公司内部网段为192.168.1.0/24,其中,内部FTP服务器地址为192.168.1.3/24,对外提供FTP服务使用的公网IP地址为202.38.1.1。需要实现:
· 外部主机Host B可以通过202.38.1.1、端口号21访问该公司内网的FTP服务器。
· 内部网络中192.168.1.0/24网段的用户可以通过公网IP地址202.38.1.2、202.38.1.3访问Internet。
图2-27 全局NAT方式的NAT server与NAT outbound同时使用配置组网图
NAT server的公网IPv4地址不能和NAT地址组中地址成员的IPv4地址相同。
(1) 配置Device A
¡ 配置接口的IP地址。
# 根据组网图中规划的信息,配置各接口的IPv4地址,具体配置步骤如下。
<DeviceA> system-view
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] ip address 192.168.1.1 255.255.255.0
[DeviceA-Ten-GigabitEthernet3/1/1] quit
[DeviceA] interface ten-gigabitethernet 3/1/2
[DeviceA-Ten-GigabitEthernet3/1/2] ip address 202.38.1.10 255.255.255.0
[DeviceA-Ten-GigabitEthernet3/1/2] quit
¡ 配置备份组。
# 将CGN单板配置为备份组cgn1的主节点。
[DeviceA] failover group cgn1 id 1
[DeviceA-failover-group-cgn] bind slot 4 primary
[DeviceA-failover-group-cgn] quit
¡ 配置业务实例组。
# 创建业务实例组1,并进入业务实例组视图。
[DeviceA] service-instance-group 1
将业务实例组1和备份组cgn1关联。
[DeviceA-service-instance-group 1] failover-group cgn1
[DeviceA-service-instance-group 1] quit
¡ 配置ACL。
# 配置ACL 3000,用于匹配192.168.1.0/24。
[DeviceA] acl advanced 3000
[DeviceA-acl-ipv4-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255
[DeviceA-acl-ipv4-adv-3000] quit
# 配置ACL 3334,用于匹配内部FTP服务器的IP地址192.168.1.3。
[DeviceA] acl advanced 3334
[DeviceA-acl-ipv4-adv-3334] rule 5 permit ip source 192.168.1.3 0
[DeviceA-acl-ipv4-adv-3334] quit
¡ 配置地址组。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[DeviceA] nat address-group 0
[DeviceA-address-group-0] address 202.38.1.2 202.38.1.3
[DeviceA-address-group-0] quit
¡ 配置NAT实例。
# 创建一个NAT实例,名称为a,实例编号为1。
[DeviceA] nat instance a id 1
# 将NAT实例a与业务实例组1关联。
[DeviceA-nat-instance-a] service-instance-group 1
# 配置引用ACL 3000的出方向动态地址转换,且使用地址组0中的地址作为转换后的地址,并在转换过程中使用端口信息。
[DeviceA-nat-instance-a] nat outbound 3000 address-group 0
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。
[DeviceA-nat-instance-a] nat server protocol tcp global 202.38.1.1 21 inside 192.168.1.3 ftp
[DeviceA-nat-instance-a] quit
¡ 配置QoS策略,将私网侧到公网侧的流量引到NAT实例进行地址转换。
# 配置流分类cgn,配置流行为cgn,将匹配ACL 3000、ACL 3334的流量引入名称为a的NAT实例。
[DeviceA] traffic classifier cgn operator or
[DeviceA-classifier-cgn] if-match acl 3000
[DeviceA-classifier-cgn] if-match acl 3334
[DeviceA-classifier-cgn] quit
[DeviceA] traffic behavior cgn
[DeviceA-behavior-cgn] bind nat-instance a
[DeviceA-behavior-cgn] quit
# 配置QoS策略,将流分类与流行为进行绑定。
[DeviceA] qos policy cgn
[DeviceA-qospolicy-cgn] classifier cgn behavior cgn
[DeviceA-qospolicy-cgn] quit
# 将QoS策略cgn应用到接口Ten-GigabitEthernet3/1/1的入方向上。
[DeviceA] interface ten-gigabitethernet 3/1/1
[DeviceA-Ten-GigabitEthernet3/1/1] qos apply policy cgn inbound
[DeviceA-Ten-GigabitEthernet3/1/1] quit
(2) 配置Host B
# 确保Host B与Device A之间路由可达。
# 在Host A的浏览器地址栏内输入WWW server的IP地址并回车,然后在Device A上执行display nat session verbose命令,可以看到Host A访问WWW server时Device A上生成的NAT会话信息。
[DeviceA] display nat session verbose
Slot 4:
Initiator:
Source IP/port: 192.168.1.2/9664
Destination IP/port: 200.168.1.2/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 200.168.1.2/80
Destination IP/port: 202.38.1.3/1024
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_ESTABLISHED
Application: HTTP
Role: Master
Failover group ID: 1
Start time: 2022-11-24 15:50:17 TTL: 3592s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
# Host B通过202.38.1.1、端口号21访问公司内部FTP服务器。然后在Device A上执行display nat session verbose命令,可以看到Host B访问FTP server时Device A上生成的NAT会话信息。
[DeviceA] display nat session verbose
Slot 4:
Initiator:
Source IP/port: 200.168.1.1/11904
Destination IP/port: 202.38.1.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
Responder:
Source IP/port: 192.168.1.3/21
Destination IP/port: 200.168.1.1/11904
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
State: TCP_ESTABLISHED
Application: FTP
Role: Master
Failover group ID: 1
Start time: 2022-11-24 15:50:17 TTL: 3596s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
在如图2-28所示的转发与控制分离组网中,有如下组网需求:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· vBRAS作为CP设备,工作在控制模式,负责NAT向DHCP申请、释放、续租公网IP段。
· Router A和Router B加入同一UP备份组,UP备份组的主备状态由vBRAS决定。RouterA和Router B均工作在转发模式,分别处理如下工作:
¡ Router A作为主UP,负责接入用户与NAT联动触发数据分配,及用户数据报文私网IP地址、端口转换为公网IP地址、端口处理,并根据从CP设备收到的用户会话信息指导数据报文转发。
¡ Router B作为备UP,接收业务备份信息,包括CP分配给主UP设备的地址信息,以及主UP设备上的用户会话信息。
· RouterA和Router B上各自的CGN单板在逻辑上作为同一个备份组的节点,节点的激活状态由在备份通道接口上建立的VRRP备份组决定。
· RouterA和Router B上的NAT实例分别与VSRP绑定,只有设备在VSRP中处于Master状态时,该设备上的NAT实例才能进行地址转换。
· 保证处理用户接入业务和处理NAT业务的设备一致。
· 采用NAT端口块动态映射方式复用202.38.1.0/24网段的地址,外网地址的端口范围为1024~65535,端口块大小为300。
图2-28 转发与控制分离组网中的UP备份配置组网图
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
Router A |
XGE3/1/2 |
4.4.4.1/24 |
Router B |
XGE3/1/2 |
6.6.6.1/24 |
|
|
XGE3/1/3 |
3.1.1.1/24 |
|
XGE3/1/3 |
3.1.1.2/24 |
|
|
Loop1 |
33.3.3.1/24 |
|
Loop1 |
34.3.3.1/32 |
|
|
Loop2 |
100.1.1.1/32 |
|
Loop2 |
101.1.1.1/32 |
|
Core Router |
XGE3/1/1 |
4.4.4.2/24 |
vBRAS |
XGE1/1/0 |
192.168.181.2/24 |
|
|
XGE3/1/2 |
6.6.6.2/24 |
|
Loop1 |
8.1.1.1/32 |
|
|
XGE3/1/3 |
192.168.181.1/24 |
|
|
|
· 按照组网图配置各接口的IP地址。
· 配置CP和两个UP间的管理通道、控制通道和协议隧道,其中UP使用各自LoopBack2接口的IP地址和CP上的IP地址8.1.1.1建立CUSP连接。具体配置请参见“转发与业务分离业务配置指导”中的“CP-UP连接管理”。
(1) 配置vBRAS
¡ 配置NAT实例
# 创建一个NAT实例,名称为inst,实例编号为10。与UP上配置的NAT实例名称一致。
[vBRAS] nat instance inst id 10
[vBRAS-nat-instance-inst] quit
¡ 配置用户地址池
# 创建为BAS接入用户分配地址的IP地址池,BAS IP地址池的网关IP地址为3.3.3.1,网络掩码为255.255.0.0,分配的地址范围为3.3.3.1到3.3.255.255。
[vBRAS] ip pool userpool bas local
[vBRAS-ip-pool-userpool] gateway 3.3.3.1 mask 255.255.0.0
[vBRAS-ip-pool-userpool] address range 3.3.3.1 3.3.255.255
# 将IP地址3.3.3.1配置为禁用地址。
[vBRAS-ip-pool-userpool] forbidden-ip 3.3.3.1
[vBRAS-ip-pool-userpool] quit
¡ 配置ISP域
# 创建并进入名称为cgn的ISP域。
[vBRAS] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费,并授权用户地址池。
[vBRAS-isp-cgn] authentication ppp radius-scheme rad
[vBRAS-isp-cgn] authorization ppp radius-scheme rad
[vBRAS-isp-cgn] accounting ppp radius-scheme rad
[vBRAS-isp-cgn] authorization-attribute ip-pool userpool
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[vBRAS-isp-cgn] user-address-type private-ipv4
[vBRAS-isp-cgn] quit
¡ 配置负载分担用户组和NAT实例的绑定关系
# 创建名称为user的用户组。
[vBRAS] user-group user
[vBRAS-ugroup-user] quit
# 配置用户组user和NAT实例inst绑定。
[vBRAS] domain name cgn
[vBRAS-isp-cgn] user-group name user bind nat-instance inst
[vBRAS-isp-cgn] quit
¡ 配置远端接口
# 创建ID为1024的UP管理实例,进入UP管理视图。
[vBRAS] up-manage id 1024
# 创建远端UP接口Remote-XGE1024/3/1/1。
[vBRAS-up-manage-1024] remote interface ten-gigabitethernet 3/1/1
[vBRAS-up-manage-1024] quit
# 创建ID为1025的UP管理实例,进入UP管理视图。
[vBRAS] up-manage id 1025
# 创建远端UP接口Remote-XGE1025/3/1/1。
[vBRAS-up-manage-1025] remote interface ten-gigabitethernet 3/1/1
[vBRAS-up-manage-1025] quit
¡ 配置DHCP
# 配置DHCP服务器上的IP地址池pool,动态分配的地址网段为202.38.1.0/24。
[vBRAS] ip pool pool nat-central
[vBRAS-ip-pool-pool] network 202.38.1.0 mask 255.255.255.0
# 配置请求子网段的掩码长度为28。
[vBRAS-ip-pool-pool] subnet mask-length 28
[vBRAS-ip-pool-pool] quit
¡ 配置PPPoE Server
# 创建一个PPPoE用户。
[vBRAS] local-user cp class network
[vBRAS-luser-network-user1] password simple 123456TESTplat&!
[vBRAS-luser-network-user1] service-type ppp
[vBRAS-luser-network-user1] quit
# 配置虚拟模板接口1的参数,采用PAP认证对端。
[vBRAS] interface virtual-template1
[vBRAS-Virtual-Template1] ppp authentication-mode pap domain cgn
[vBRAS-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1024/3/1/1
[vBRAS-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1024/3/1/1] quit
# 在远端接口Remote-XGE1025/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1025/3/1/1
[vBRAS-Remote-XGE1025/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1025/3/1/1] quit
¡ 配置UP备份组
# 创建UP备份组1,并将UP 1024和UP 1025加入该备份组。
[vBRAS] up-backup-group 1
[vBRAS-up-backup-group-1] backup up-id 1024 local-ip 33.3.3.1
[vBRAS-up-backup-group-1] backup up-id 1025 local-ip 34.3.3.1
[vBRAS-up-backup-group-1] quit
# 配置1:1热备模式,并配置主用接口和备用接口上同时发布路由。
[vBRAS] up-backup-profile 1 hot-standby
[vBRAS-up-backup-profile-1] backup route-advertise master-cost 10 backup-cost 30
# 配置UP设备的主接口为远端接口Remote-XGE1024/3/1/1,备接口为Remote-XGE1025/3/1/1。为了保证主备用接口切换后,接口的MAC地址不发生改变,UP设备应答用户的上线请求时使用的是由VRID 2生成的虚拟MAC地址。
[vBRAS-up-backup-profile-1] backup-group master remote-xge 1024/3/1/1 backup remote-xge 1025/3/1/1 vrid 2 resource-id 1
¡ 配置静态路由
[vBRAS] ip route-static 100.1.1.0 24 192.168.181.1
[vBRAS] ip route-static 101.1.1.0 24 192.168.181.1
[vBRAS] ip route-static 4.4.4.0 24 192.168.181.1
[vBRAS] ip route-static 6.6.6.0 24 192.168.181.1
(2) 配置RouterA
¡ 配置Router A的工作模式
# 配置Router的工作模式为转发模式。
[RouterA] work-mode user-plane
¡ 配置备份组
# 创建备份组dp,并将CGN单板slot3指定为备份组的节点,将备份组dp和Ten-GigabitEthernet3/1/1.1下创建的VRRP备份组1绑定,此时,备份组节点的激活状态由VRRP协议决定。
[RouterA] failover group dp
[RouterA-failover-group-dp] bind slot 3 vrrp
[RouterA-failover-group-dp] bind-vrrp 1 interface ten-gigabitethernet 3/1/1.1
# 指定跨系统板间业务备份时使用的备份通道,本地接口的IP地址为3.1.1.1,对端接口的IP地址为3.1.1.2。
[RouterA-failover-group-dp] remote-backup local 3.1.1.1 peer 3.1.1.2 port 10000
[RouterA-failover-group-dp] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterA] user-group user
[RouterA-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterA] nat address-group 1
# 配置地址池的端口块参数,端口块大小为300。
[RouterA-address-group-1] port-block block-size 300
[RouterA-address-group-1] port-range 1024 65535
[RouterA-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组sgrp,并进入业务实例组视图。
[RouterA] service-instance-group sgrp
# 将业务实例组sgrp和备份组dp关联。
[RouterA-service-instance-group-sgrp] failover-group dp
[RouterA-service-instance-group-sgrp] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterA] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterA-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterA-acl-ipv4-adv-3000] quit
¡ 配置QoS策略,将匹配用户组user中用户的IP报文引流到NAT实例。
# 定义类c1的匹配规则为:匹配用户组user中用户的IP报文。
[RouterA] traffic classifier c1
[RouterA-classifier-c1] if-match acl 3000
[RouterA-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量绑定NAT实例inst的动作。
[RouterA] traffic behavior b1
[RouterA-behavior-b1] bind nat-instance inst
[RouterA-behavior-b1] quit
# 创建QoS策略cb1,并为类c1指定采用流行为b1。
[RouterA] qos policy cb1
[RouterA-qospolicy-cb1] classifier c1 behavior b1
[RouterA-qospolicy-cb1] quit
# 将QoS策略cb1应用到接口Ten-GigabitEthernet3/1/1的入方向上。
[RouterA] interface ten-gigabitethernet 3/1/1
[RouterA-Ten-GigabitEthernet3/1/1] qos apply policy cb1 inbound
[RouterA-Ten-GigabitEthernet3/1/1] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterA] nat ip-pool pool1 dynamic
# 指定UP设备上的本端和对端的动态全局地址池标识符。
[RouterA-nat-ip-pool-pool1] up-backup local-up-id 1024 peer-up-id 1025
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterA-nat-ip-pool-pool1] bind dhcp-server-pool pool
[RouterA-nat-instance-inst] quit
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为inst,实例ID为10。
[RouterA] nat instance inst id 10
# 将NAT实例inst与业务实例组sgrp关联。
[RouterA-nat-instance-inst] service-instance-group sgrp
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterA-nat-instance-inst] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterA-nat-instance-inst] nat address-group 1 bind-ip-pool pool1
[RouterA-nat-instance-inst] quit
¡ 配置VRRP备份组。若需要主用设备故障时备用设备能够尽快代替主用设备,可将路由器在IPv4 VRRP备份组中的优先级调高,或者将Master路由器发送VRRP通告报文的时间间隔调小
# 创建VRRP备份组1,配置接口Ten-GigabitEthernet3/1/1.1的IP地址、备份组的虚拟IP地址及本端备份组中的优先级。
[RouterA] interface ten-gigabitethernet 3/1/1.1
[RouterA-Ten-GigabitEthernet3/1/1.1] ip address 5.1.1.1 255.255.255.0
[RouterA-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 virtual-ip 5.1.1.100
[RouterA-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 priority 254
# 配置VRRP备份组初始化状态保持时间300s。
[RouterA-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 initialize state-hold-time 300
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为30000厘秒。确保该延迟时间和vBRAS上UP备份组中配置的回切延迟时间一致。
[RouterA-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 preempt-mode delay 30000
[RouterA-Ten-GigabitEthernet3/1/1.1] quit
# 创建和备份组dp关联的Track项1。如果Track项的状态为Negative,则说明设备的CGN板卡故障。
[RouterA] track 1 failover-group dp
# 创建和BFD关联的Track项2,检测Router B是否可达。
[RouterA] track 2 bfd echo interface ten-gigabitethernet 3/1/1.1 remote ip 5.1.1.2 local ip 5.1.1.1
# 创建和BFD关联的Track项3,BFD关联网络侧接口Ten-GigabitEthernet3/1/2。如果Track项的状态为Negative,则说明设备的网络侧链路故障。
[RouterA] track 3 bfd echo interface ten-gigabitethernet 3/1/2 remote ip 4.4.4.2 local ip 4.4.4.1
# 创建和NQA关联的Track项4,如果Track项的状态为Negative,则说明RouterA到vBRAS设备的路由不可达。
[RouterA] nqa entry admin 1
[RouterA-nqa-admin-1] type icmp-echo
[RouterA-nqa-admin-1] destination ip 192.168.181.2
[RouterA-nqa-admin-1] frequency 100
[RouterA-nqa-admin-1] probe timeout 1000
[RouterA-nqa-admin-1] reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only
[RouterA-nqa-admin-1] source ip 4.4.4.1
[RouterA-nqa-admin-1] quit
[RouterA] track 4 nqa entry admin 1 reaction 1
[RouterA] nqa schedule admin 1 start-time now lifetime forever
# 创建布尔类型列表Track项5,用来监测网络侧链路,接入侧链路及CGN业务板的状态。当列表中对象的状态都是Positive时,Track项的状态才是Positive。
[RouterA] track 5 list boolean and
[RouterA-track-5] object 1
[RouterA-track-5] object 3
[RouterA-track-5] object 4
# 配置用户平面切换的Track项5,用来监测网络侧链路,接入侧链路及CGN业务板的状态。当列表中对象的状态都是Positive时,Track项的状态才是Positive。
[RouterA] user-plane switch-over track 5
# 在接口Ten-GigabitEthernet3/1/1.1上配置监视Track项2和Track项5。当Track项2的状态为Negative且当前设备状态为备时,Router A快速从Backup切换为Master状态。当Track项5的状态为Negative时,将Router A的优先级降为0。
[RouterA] interface ten-gigabitethernet 3/1/1.1
[RouterA-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 track 2 switchover
[RouterA-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 track 5 priority reduced 255
[RouterA-Ten-GigabitEthernet3/1/1.1] quit
# 在接口Ten-GigabitEthernet3/1/1.1上配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterA] interface ten-gigabitethernet 3/1/1.1
[RouterA-Ten-GigabitEthernet3/1/1.1] bfd min-echo-receive-interval 10
[RouterA-Ten-GigabitEthernet3/1/1.1] bfd echo enable
[RouterA-Ten-GigabitEthernet3/1/1.1] bfd detect-multiplier 3
[RouterA-Ten-GigabitEthernet3/1/1.1] quit
# 配置接入侧接口Ten-GigabitEthernet3/1/1的接口识别码为1。
[RouterA-Ten-GigabitEthernet3/1/1] identity-number 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 配置Router A上行口Ten-GigabitEthernet3/1/2的BFD属性,配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] bfd min-echo-receive-interval 10
[RouterA-Ten-GigabitEthernet3/1/2] bfd min-transmit-interval 10
[RouterA-Ten-GigabitEthernet3/1/2] bfd min-receive-interval 10
[RouterA-Ten-GigabitEthernet3/1/2] bfd echo enable
[RouterA-Ten-GigabitEthernet3/1/2] bfd detect-multiplier 3
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置Router A上行口Ten-GigabitEthernet3/1/2的接口识别码为2。
[RouterA-Ten-GigabitEthernet3/1/2] identity-number 2
[RouterA-Ten-GigabitEthernet3/1/2] quit
¡ 开启备份功能
# 开启会话业务热备份功能。
[RouterA] session synchronization enable
¡ 配置VSRP
# 创建名称为1的多机备份组。
[RouterA] vsrp peer 1
[RouterA-vsrp-peer-1] peer 34.3.3.1 local 33.3.3.1
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1。
[RouterA] vsrp instance 1
[RouterA-vsrp-instance-1] backup id 1 peer 1
# 配置多机备份实例1与接口Ten-GigabitEthernet3/1/1.1上的VRRP备份组1绑定。
[RouterA-vsrp-instance-1] bind vrrp vrid 1 interface ten-gigabitethernet 3/1/1.1
# 配置NAT实例inst与多机备份实例1绑定。
[RouterA] nat instance inst
[RouterA-nat-instance-inst] bind vsrp-instance 1
[RouterA-nat-instance-inst] quit
¡ 配置IS-IS
# 指定NET为00.0000.0000.0002.00。其中区域ID是00,System ID是0000.0000.0002。
[RouterA] isis 1
[RouterA-isis-1] network-entity 00.0000.0000.0002.00
# 配置IS-IS的开销值类型为wide。
[RouterA-isis-1] cost-style wide
# 配置IS-IS引入直连路由和UNR路由。
[RouterA-isis-1] address-family ipv4 unicast
[RouterA-isis-1-ipv4] import-route direct inherit-cost
[RouterA-isis-1-ipv4] import-route unr inherit-cost
[RouterA-isis-1-ipv4] quit
[RouterA-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack1上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterA-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterA-Ten-GigabitEthernet3/1/2] quit
[RouterA] interface loopback 1
[RouterA-LoopBack1] isis enable 1
(3) 配置RouterB
¡ 配置RouterB的工作模式
# 配置RouterB的工作模式为转发模式。
[RouterB] work-mode user-plane
¡ 配置备份组
# 创建备份组dp,并将CGN单板指定为备份组的节点,且节点的激活状态由VRRP备份组决定。
[RouterB] failover group dp
[RouterB-failover-group-dp] bind slot 3 vrrp
[RouterB-failover-group-dp] bind-vrrp 1 interface ten-gigabitethernet 3/1/1.1
# 指定跨系统板间业务备份时使用的备份通道,本地接口的IP地址为3.1.1.2,对端接口的IP地址为3.1.1.1。
[RouterB-failover-group-dp] remote-backup local 3.1.1.2 peer 3.1.1.1 port 10000
[RouterB-failover-group-dp] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterB] user-group user
[RouterB-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterB] nat address-group 1
# 配置地址池的端口块参数,端口块大小为300。
[RouterB-address-group-1] port-block block-size 300
[RouterB-address-group-1] port-range 1024 65535
[RouterB-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组sgrp,并进入业务实例组视图。
[RouterB] service-instance-group sgrp
# 将业务实例组sgrp和备份组dp关联。
[RouterB-service-instance-group-sgrp] failover-group dp
[RouterB-service-instance-group-sgrp] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterB] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterB-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterB-acl-ipv4-adv-3000] quit
¡ 配置QoS策略,将匹配用户组user中用户的IP报文引流到NAT实例。
# 定义类c1的匹配规则为:匹配用户组user中用户的IP报文。
[RouterB] traffic classifier c1
[RouterB-classifier-c1] if-match acl 3000
[RouterB-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量绑定NAT实例inst的动作。
[RouterB] traffic behavior b1
[RouterB-behavior-b1] bind nat-instance inst
[RouterB-behavior-b1] quit
# 创建QoS策略cb1,并为类c1指定采用流行为b1。
[RouterB] qos policy cb1
[RouterB-qospolicy-cb1] classifier c1 behavior b1
[RouterB-qospolicy-cb1] quit
# 将QoS策略cb1应用到接口Ten-GigabitEthernet3/1/1的入方向上。
[RouterB] interface ten-gigabitethernet 3/1/1
[RouterB-Ten-GigabitEthernet3/1/1] qos apply policy cb1 inbound
[RouterB-Ten-GigabitEthernet3/1/1] quit
¡ 配置全局NAT动态地址池。
# 创建名称为pool1的全局NAT动态地址池,指定该全局地址池为备份地址池。
[RouterB] nat ip-pool pool1 dynamic backup
# 指定UP设备上的本端和对端的动态全局地址池标识符。
[RouterB-nat-ip-pool-pool1] up-backup local-up-id 1025 peer-up-id 1024
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterB-nat-ip-pool-pool1] bind dhcp-server-pool pool
[RouterB-nat-instance-inst] quit
¡ 创建NAT实例inst,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为inst,实例编号为10。
[RouterB] nat instance inst id 10
# 将NAT实例inst与业务实例组sgrp关联。
[RouterB-nat-instance-inst] service-instance-group sgrp
# 配置地址转换规则,对匹配用户组user中用户的IP报文进行地址转换。
[RouterB-nat-instance-inst] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterB-nat-instance-inst] nat address-group 1 bind-ip-pool pool1
[RouterB-nat-instance-inst] quit
¡ 配置VRRP备份组。若需要主用设备故障时备用设备能够尽快代替主用设备,可将路由器在IPv4 VRRP备份组中的优先级调高,或者将Master路由器发送VRRP通告报文的时间间隔调小。关于VRRP的详细介绍,请请参见“可靠性配置指导”中的“VRRP”
# 创建VRRP备份组1,配置接口Ten-GigabitEthernet3/1/1.1的IP地址、备份组的虚拟IP地址及本端备份组中的优先级。
[RouterB] interface ten-gigabitethernet 3/1/1.1
[RouterB-Ten-GigabitEthernet3/1/1.1] ip address 5.1.1.2 255.255.255.0
[RouterB-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 virtual-ip 5.1.1.100
[RouterB-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 priority 253
# 配置VRRP备份组初始化状态保持时间300s。
[RouterB-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 initialize state-hold-time 300
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为30000厘秒。确保该延迟时间和vBRAS上BRAS UP备份组中配置的回切延迟时间一致。
[RouterB-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 preempt-mode delay 30000
[RouterB-Ten-GigabitEthernet3/1/1.1] quit
# 创建和备份组dp关联的Track项1。如果Track项的状态为Negative,则说明设备的CGN板卡故障。
[RouterB] track 1 failover-group dp
# 创建和BFD关联的Track项2,检测Router A是否可达。
[RouterB] track 2 bfd echo interface ten-gigabitethernet 3/1/1.1 remote ip 5.1.1.1 local ip 5.1.1.2
# 创建和BFD关联的Track项3,BFD关联网络侧接口Ten-GigabitEthernet3/1/2。如果Track项的状态为Negative,则说明设备的网络侧链路故障。
[RouterB] track 3 bfd echo interface ten-gigabitethernet 3/1/2 remote ip 6.6.6.2 local ip 6.6.6.1
# 创建和NQA关联的Track项4,如果Track项的状态为Negative,则说明RouterB到BRAS设备的路由不可达。
[RouterB] nqa entry admin 1
[RouterB-nqa-admin-1] type icmp-echo
[RouterB-nqa-admin-1] destination ip 192.168.181.2
[RouterB-nqa-admin-1] frequency 100
[RouterB-nqa-admin-1] probe timeout 1000
[RouterB-nqa-admin-1] reaction 1 checked-element probe-fail threshold-type consecutive 2 action-type trigger-only
[RouterB-nqa-admin-1] source ip 6.6.6.1
[RouterB-nqa-admin-1] quit
[RouterB] track 4 nqa entry admin 1 reaction 1
[RouterB] nqa schedule admin 1 start-time now lifetime forever
# 创建布尔类型列表Track项5,用来监测网络侧链路,接入侧链路及CGN业务板的状态。当列表中对象的状态都是Positive时,Track项的状态才是Positive。
[RouterB] track 5 list boolean and
[RouterB-track-5] object 1
[RouterB-track-5] object 3
[RouterB-track-5] object 4
# 配置用户平面切换的Track项5,用来监测网络侧链路,接入侧链路及CGN业务板的状态。当列表中对象的状态都是Positive时,Track项的状态才是Positive。
[RouterB] user-plane switch-over track 5
#在接口Ten-GigabitEthernet3/1/1.1上配置监视Track项2和Track项5。当Track项2的状态为Negative且当前设备状态为备时,Router B快速从Backup切换为Master状态。当Track项5的状态为Negative时,将Router B的优先级降为0。
[RouterB] interface ten-gigabitethernet 3/1/1.1
[RouterB-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 track 2 switchover
[RouterB-Ten-GigabitEthernet3/1/1.1] vrrp vrid 1 track 5 priority reduced 255
[RouterB-Ten-GigabitEthernet3/1/1.1] quit
# 在接口Ten-GigabitEthernet3/1/1.1上配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterB] interface ten-gigabitethernet 3/1/1.1
[RouterB-Ten-GigabitEthernet3/1/1.1] bfd min-echo-receive-interval 10
[RouterB-Ten-GigabitEthernet3/1/1.1] bfd echo enable
[RouterB-Ten-GigabitEthernet3/1/1.1] bfd detect-multiplier 3
[RouterB-Ten-GigabitEthernet3/1/1.1] quit
# 配置接口Ten-GigabitEthernet3/1/1的接口识别码为1。
[RouterB-Ten-GigabitEthernet3/1/1] identity-number 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置路由器上行口Ten-GigabitEthernet3/1/2的BFD属性,配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] bfd min-echo-receive-interval 10
[RouterB-Ten-GigabitEthernet3/1/2] bfd min-transmit-interval 10
[RouterB-Ten-GigabitEthernet3/1/2] bfd min-receive-interval 10
[RouterB-Ten-GigabitEthernet3/1/2] bfd detect-multiplier 3
# 配置路由器上行口Ten-GigabitEthernet3/1/2的接口识别码为2。
[ROUTERB-Ten-GigabitEthernet3/1/2] identity-number 2
[ROUTERB-Ten-GigabitEthernet3/1/2] quit
¡ 开启备份功能
# 开启会话业务热备份功能。
[RouterB] session synchronization enable
¡ 配置VSRP
# 创建名称为1的多机备份组。
[RouterB] vsrp peer 1
[RouterB-vsrp-peer-1] peer 33.3.3.1 local 34.3.3.1
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1。
[RouterB] vsrp instance 1
[RouterB-vsrp-instance-1] backup id 1 peer 1
# 配置多机备份实例1与接口Ten-GigabitEthernet3/1/1.1上的VRRP备份组1绑定。
[RouterB-vsrp-instance-1] bind vrrp vrid 1 interface ten-gigabitethernet 3/1/1.1
# 配置NAT实例inst与多机备份实例1绑定。
[RouterB] nat instance inst
[RouterB-nat-instance-inst] bind vsrp-instance 1
[RouterB-nat-instance-inst] quit
¡ 配置IS-IS
# 创建IS-IS进程1,并指定NET为00.0000.0000.0003.00。其中区域ID是00,System ID是0000.0000.0003。
[RouterB] isis 1
[RouterB-isis-1] network-entity 00.0000.0000.0003.00
# 配置IS-IS的开销值类型为wide。
[RouterB-isis-1] cost-style wide
# 配置IS-IS快速收敛。
[RouterB-isis-1] timer spf 1 10 10
[RouterB-isis-1] timer lsp-generation 1 10 10
# 配置IS-IS引入直连路由和UNR路由。
[RouterB-isis-1] address-family ipv4 unicast
[RouterB-isis-1-ipv4] import-route direct inherit-cost
[RouterB-isis-1-ipv4] import-route unr inherit-cost
[RouterB-isis-1-ipv4] quit
[RouterB-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和Loopback1上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterB-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterB-Ten-GigabitEthernet3/1/2] quit
[RouterB] interface loopback 1
[RouterB-LoopBack1] isis enable 1
[RouterB-LoopBack1] quit
(4) 配置Core Router
# 创建IS-IS进程1,并指定NET为00.0000.0000.0004.00。其中区域ID是00,System ID是0000.0000.0004。
[CoreRouter] isis 1
[CoreRouter-isis-1] network-entity 00.0000.0000.0004.00
# 配置IS-IS的开销值类型为wide。
[CoreRouter-isis-1] cost-style wide
# 配置IS-IS引入直连路由。
[CoreRouter-isis-1] address-family ipv4 unicast
[CoreRouter-isis-1-ipv4] import-route direct
# 使能IS-IS进程1的快速重路由功能,并通过LFA算法选取备份下一跳信息。
[CoreRouter-isis-1-ipv4] fast-reroute lfa
[CoreRouter-isis-1-ipv4] quit
[CoreRouter-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2和Ten-GigabitEthernet3/1/3上使能IS-IS功能,配置IS-IS联动BFD。
[CoreRouter] interface ten-gigabitethernet 3/1/1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-transmit-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-receive-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd detect-multiplier 3
[CoreRouter-Ten-GigabitEthernet3/1/1] quit
[CoreRouter] interface ten-gigabitethernet 3/1/2
[CoreRouter-Ten-GigabitEthernet3/1/2] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/2] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/2] bfd min-transmit-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/2] bfd min-receive-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/2] bfd detect-multiplier 3
[CoreRouter-Ten-GigabitEthernet3/1/2] quit
[CoreRouter] interface ten-gigabitethernet 3/1/3
[CoreRouter-Ten-GigabitEthernet3/1/3] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/3] quit
# 以上配置完成后,Host能够访问外网服务器。通过在vBRAS查看如下显示信息,可以验证以上配置成功。
[vBRAS] display nat dhcp-server-pool-alloc statistics
DHCP server IP pool allocation statistics for NAT:
Totally 1 DHCP server IP pools.
Pool name: pool
Subnet count: 2
UPID Subnet Mask
------------------------------------------
1024 202.38.1.0 255.255.255.240
1024 202.38.1.16 255.255.255.240
# 查看RouterA上全局NAT地址池pool1的信息,可以看到地址池pool1获得了CP分配的公网IP地址。
[RouterA] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : 1024/1025
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : inst/10
Total IP count : 32
Available IP count : 16
Usage : 50%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 202.38.1.0 255.255.255.240 16 16
1 202.38.1.16 255.255.255.240 16 0
# 查看RouterA上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterA] display nat statistics
Slot 0:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 256
Active static port block entries: 0
Active dynamic port block entries: 4
Total PAT entries: 0
# 查看RouterB上全局NAT地址池pool1的信息,可以看到地址池pool1获得了CP分配的公网IP地址。
[RouterB] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : 1025/1024
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : inst/10
Total IP count : 32
Available IP count : 16
Usage : 50%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 202.38.1.0 255.255.255.240 16 16
1 202.38.1.16 255.255.255.240 16 0
# 查看RouterB上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterB] display nat statistics
Slot 0:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 256
Active static port block entries: 0
Active dynamic port block entries: 4
Total PAT entries: 0
在如图2-29所示的转发与控制分离组网中,有如下组网需求:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· vBRAS作为CP设备,工作在控制模式,负责NAT向DHCP申请、释放、续租公网IP段。
· Router A和Router B加入同一UP备份组,UP备份组的主备状态由vBRAS决定。RouterA和Router B均工作在转发模式,各自处理如下工作:
¡ Router A作为主UP,负责接入用户与NAT联动触发数据分配,及用户数据报文私网IP地址、端口转换为公网IP地址、端口处理,根据从CP设备收到的用户会话信息指导数据报文转发。
¡ Router B作为备UP,接收业务备份信息,包括CP分配给主UP设备的地址信息,以及主UP设备上的用户会话信息。
· RouterA和Router B上各自的CGN单板在逻辑上作为同一个备份组的节点,节点的激活状态由基于备份通道建立的VRRP备份组决定。
· RouterA和Router B上的NAT实例分别与VSRP绑定,只有设备处于Master状态时,该设备上的NAT实例才能进行地址转换。
· 如果处理用户接入业务和处理NAT业务的设备不一致,当流量到达不能处理NAT业务的设备时,NAT使用保护隧道将流量透传到VSRP备份组的Master设备,保证业务流量不会长时间中断。
· 采用NAT端口块动态映射方式复用202.38.1.0/24网段的地址,外网地址的端口范围为1024~65535,端口块大小为300。
图2-29 转发与控制分离组网支持保护隧道的UP备份配置组网图
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
Router A |
XGE3/1/2 |
4.4.4.1/24 |
Router B |
XGE3/1/2 |
6.6.6.1/24 |
|
|
XGE3/1/3 |
3.1.1.1/24 |
|
XGE3/1/3 |
3.1.1.2/24 |
|
|
Loop1 |
33.3.3.1/32 |
|
Loop1 |
34.3.3.1/32 |
|
|
Loop2 |
100.1.1.1/32 |
|
Loop2 |
101.1.1.1/32 |
|
Core Router |
XGE3/1/1 |
4.4.4.2/24 |
vBRAS |
XGE1/1/0 |
192.168.181.2/24 |
|
|
XGE3/1/2 |
6.6.6.2/24 |
|
Loop1 |
8.1.1.1/32 |
|
|
XGE3/1/3 |
192.168.181.1/24 |
|
|
|
|
|
Loop1 |
35.3.3.1/32 |
|
|
|
· 按照组网图配置各接口的IP地址。
· 配置CP和两个UP间的管理通道、控制通道和协议隧道,其中UP使用各自LoopBack2接口的IP地址和CP上的IP地址8.1.1.1建立CUSP连接。具体配置请参见“转发与业务分离业务配置指导”中的“CP-UP连接管理”。
(1) 配置vBRAS
¡ 配置NAT实例
# 创建一个NAT实例,名称为inst,实例编号为10。与UP上配置的NAT实例名称一致。
[vBRAS] nat instance inst id 10
[vBRAS-nat-instance-inst] quit
¡ 配置用户地址池
# 创建为BAS接入用户分配地址的IP地址池,BAS IP地址池的网关IP地址为3.3.3.1,网络掩码为255.255.0.0,分配的地址范围为3.3.3.1到3.3.255.255。
[vBRAS] ip pool userpool bas local
[vBRAS-ip-pool-userpool] gateway 3.3.3.1 mask 255.255.0.0
[vBRAS-ip-pool-userpool] address range 3.3.3.1 3.3.255.255
# 将IP地址3.3.3.1配置为禁用地址。
[vBRAS-ip-pool-userpool] forbidden-ip 3.3.3.1
[vBRAS-ip-pool-userpool] quit
¡ 配置ISP域
# 创建并进入名称为cgn的ISP域。
[vBRAS] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费,并授权用户地址池。
[vBRAS-isp-cgn] authentication ppp radius-scheme rad
[vBRAS-isp-cgn] authorization ppp radius-scheme rad
[vBRAS-isp-cgn] accounting ppp radius-scheme rad
[vBRAS-isp-cgn] authorization-attribute ip-pool userpool
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[vBRAS-isp-cgn] user-address-type private-ipv4
[vBRAS-isp-cgn] quit
¡ 配置负载分担用户组和NAT实例的绑定关系
# 创建名称为user的用户组。
[vBRAS] user-group user
[vBRAS-ugroup-user] quit
# 配置用户组user和NAT实例inst绑定。
[vBRAS] domain name cgn
[vBRAS-isp-cgn] user-group name user bind nat-instance inst
[vBRAS-isp-cgn] quit
¡ 配置CP-UP连接管理
# 创建ID为1024的UP管理实例,并进入UP管理视图。
[vBRAS] up-manage id 1024
# 创建远端UP接口Remote-XGE1024/3/1/1。
[vBRAS-up-manage-1024] remote interface ten-gigabitethernet 3/1/1
[vBRAS-up-manage-1024] quit
# 创建ID为1025的UP管理实例,并进入UP管理视图。
[vBRAS] up-manage id 1025
# 创建远端UP接口Remote-XGE1025/3/1/1。
[vBRAS-up-manage-1025] remote interface ten-gigabitethernet 3/1/1
[vBRAS-up-manage-1025] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[vBRAS] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[vBRAS-acl-ipv4-adv-3000] rule permit ip user-group user
[vBRAS-acl-ipv4-adv-3000] quit
¡ 配置QoS策略,将匹配用户组user中用户的IP报文引流到NAT实例。
# 定义类c1的匹配规则为:匹配用户组user中用户的IP报文。
[vBRAS] traffic classifier c1
[vBRAS-classifier-c1] if-match acl 3000
[vBRAS-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量绑定NAT实例inst的动作。
[vBRAS] traffic behavior b1
[vBRAS-behavior-b1] bind nat-instance inst
[vBRAS-behavior-b1] quit
# 创建QoS策略cb1,并为类c1指定采用流行为b1。
[vBRAS] qos policy cb1
[vBRAS-qospolicy-cb1] classifier c1 behavior b1
[vBRAS-qospolicy-cb1] quit
# 将QoS策略cb1应用到接口Remote-XGE1024/3/1/1的入方向上。
[vBRAS] interface remote-xge 1024/3/1/1
[vBRAS-Remote-XGE1024/3/1/1] qos apply policy cb1 inbound
[vBRAS-Remote-XGE1024/3/1/1] quit
# 将QoS策略cb1应用到接口Remote-XGE1025/3/1/1的入方向上。
[vBRAS] interface remote-xge 1025/3/1/1
[vBRAS-Remote-XGE1025/3/1/1] qos apply policy cb1 inbound
[vBRAS-Remote-XGE1025/3/1/1] quit
¡ 配置DHCP
# 配置DHCP服务器上的IP地址池pool,动态分配的地址网段为202.38.1.0/24。
[vBRAS] ip pool pool nat-central
[vBRAS-ip-pool-pool] network 202.38.1.0 mask 255.255.255.0
# 配置请求子网段的掩码长度为28。
[vBRAS-ip-pool-pool] subnet mask-length 28
[vBRAS-ip-pool-pool] quit
¡ 配置PPPoE Server
# 配置虚拟模板接口1的参数,采用PAP认证对端。
[vBRAS] interface virtual-template1
[vBRAS-Virtual-Template1] ppp authentication-mode pap domain cgn
[vBRAS-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1024/3/1/1
[vBRAS-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1024/3/1/1] quit
# 在远端接口Remote-XGE1025/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1025/3/1/1
[vBRAS-Remote-XGE1025/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1025/3/1/1] quit
¡ 配置UP备份组
# 创建UP备份组1,并将UP 1024和UP 1025加入该备份组。
[vBRAS] up-backup-group 1
[vBRAS-up-backup-group-1] backup up-id 1024 local-ip 33.3.3.1
[vBRAS-up-backup-group-1] backup up-id 1025 local-ip 34.3.3.1
[vBRAS-up-backup-group-1] quit
# 配置1:1热备模式,并配置主用接口和备用接口上同时发布路由。
[vBRAS] up-backup-profile 1 hot-standby
[vBRAS-up-backup-profile-1] backup route-advertise master-cost 10 backup-cost 30
# 配置UP设备的主接口为远端接口Remote-XGE1024/3/1/1,备接口为Remote-XGE1025/3/1/1。为了保证主备用接口切换后,接口的MAC地址不发生改变,UP设备应答用户的上线请求时使用的是由VRRP 2生成的虚拟MAC地址。
[vBRAS-up-backup-profile-1] backup-group master remote-xge 1024/3/1/1backup remote-xge 1025/3/1/1 vrid 2 resource-id 1
¡ 配置静态路由
[vBRAS] ip route-static 0.0.0.0 0 192.168.181.1
(2) 配置RouterA
¡ 配置Router A的工作模式
# 配置Router A的工作模式为转发模式。
[RouterA] work-mode user-plane
¡ 配置备份组
# 创建备份组dp,并将CGN单板指定为备份组的节点,将备份组dp和Ten-GigabitEthernet3/1/3.1下创建的VRRP备份组1绑定,此时,备份组节点的激活状态由VRRP协议决定。
[RouterA] failover group dp
[RouterA-failover-group-dp] bind slot 5 vrrp
[RouterA-failover-group-dp] bind-vrrp 1 interface ten-gigabitethernet 3/1/3.1
# 指定跨系统板间业务备份时使用的备份通道,本地接口的IP地址为3.1.1.1,对端接口的IP地址为3.1.1.2。
[RouterA-failover-group-dp] remote-backup local 3.1.1.1 peer 3.1.1.2 port 10000
[RouterA-failover-group-dp] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterA] nat address-group 1
# 配置地址池的端口块参数,端口块大小为300。
[RouterA-address-group-1] port-block block-size 300
[RouterA-address-group-1] port-range 1024 65535
[RouterA-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组sgrp,并进入业务实例组视图。
[RouterA] service-instance-group sgrp
# 将业务实例组sgrp和备份组dp关联。
[RouterA-service-instance-group-sgrp] failover-group dp
[RouterA-service-instance-group-sgrp] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterA] nat ip-pool pool1 dynamic
# 指定UP设备上的本端和对端的动态全局地址池标识符。
[RouterA-nat-ip-pool-pool1] up-backup local-up-id 1024 peer-up-id 1025
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterA-nat-ip-pool-pool1] bind dhcp-server-pool pool
[RouterA-nat-instance-inst] quit
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为inst,实例ID为10。
[RouterA] nat instance inst id 10
# 将NAT实例inst与业务实例组sgrp关联。
[RouterA-nat-instance-inst] service-instance-group sgrp
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterA-nat-instance-inst] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterA-nat-instance-inst] nat address-group 1 bind-ip-pool pool1
[RouterA-nat-instance-inst] quit
¡ 配置VRRP备份组。若需要主用设备故障时备用设备能够尽快代替主用设备,可将路由器在IPv4 VRRP备份组中的优先级调高,或者将Master路由器发送VRRP通告报文的时间间隔调小
# 创建VRRP备份组1,配置接口Ten-GigabitEthernet3/1/3.1的IP地址、备份组的虚拟IP地址及本端备份组中的优先级。
[RouterA] interface ten-gigabitethernet 3/1/3.1
[RouterA-Ten-GigabitEthernet3/1/3.1] ip address 5.1.1.1 255.255.255.0
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 virtual-ip 5.1.1.100
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 priority 254
# 配置VRRP备份组初始化状态保持时间300s。
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 initialize state-hold-time 300
# 配置VRRP备份组忽略接口down。
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 ignore-interface-down
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为30000厘秒。确保该延迟时间和vBRAS上UP备份组中配置的回切延迟时间一致。
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 preempt-mode delay 30000
[RouterA-Ten-GigabitEthernet3/1/3.1] quit
# 创建和备份组dp关联的Track项1。如果Track项的状态为Negative,则说明设备的CGN板卡故障。
[RouterA] track 1 failover-group dp
# 创建和BFD关联的Track项2,检测Router B是否可达。
[RouterA] track 2 bfd echo interface ten-gigabitethernet 3/1/3.1 remote ip 5.1.1.2 local ip 5.1.1.1
# 创建和BFD关联的Track项3,BFD关联网络侧接口Ten-GigabitEthernet3/1/2。如果Track项的状态为Negative,则说明设备的网络侧链路故障。
[RouterA] track 3 bfd echo interface ten-gigabitethernet 3/1/2 remote ip 4.4.4.2 local ip 4.4.4.1
# 创建布尔类型列表Track项4,用来监测网络侧链路,接入侧链路及CGN业务板的状态。当列表中对象的状态都是Positive时,Track项的状态才是Positive。
[RouterA] track 4 list boolean and
[RouterA-track-5] object 1
[RouterA-track-5] object 3
# 在接口Ten-GigabitEthernet3/1/3.1上配置监视Track项2和Track项4。当Track项2的状态为Negative且当前设备状态为备时,Router A快速从Backup切换为Master状态。当Track项4的状态为Negative时,将Router A的优先级降为0。
[RouterA] interface ten-gigabitethernet 3/1/3.1
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 track 2 switchover
[RouterA-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 track 4 priority reduced 255
[RouterA-Ten-GigabitEthernet3/1/3.1] quit
# 在接口Ten-GigabitEthernet3/1/3.1上配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterA] interface ten-gigabitethernet 3/1/3.1
[RouterA-Ten-GigabitEthernet3/1/3.1] bfd min-echo-receive-interval 10
[RouterA-Ten-GigabitEthernet3/1/3.1] bfd echo enable
[RouterA-Ten-GigabitEthernet3/1/3.1] bfd detect-multiplier 3
[RouterA-Ten-GigabitEthernet3/1/3.1] quit
# 配置接入侧接口Ten-GigabitEthernet3/1/1的接口识别码为1。
[RouterA-Ten-GigabitEthernet3/1/1] identity-number 1
[RouterA-Ten-GigabitEthernet3/1/1] quit
# 配置Router A上行口Ten-GigabitEthernet3/1/2的BFD属性,配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] bfd min-echo-receive-interval 10
[RouterA-Ten-GigabitEthernet3/1/2] bfd min-transmit-interval 10
[RouterA-Ten-GigabitEthernet3/1/2] bfd min-receive-interval 10
[RouterA-Ten-GigabitEthernet3/1/2] bfd echo enable
[RouterA-Ten-GigabitEthernet3/1/2] bfd detect-multiplier 3
[RouterA-Ten-GigabitEthernet3/1/2] quit
# 配置Router A上行口Ten-GigabitEthernet3/1/2的接口识别码为2。
[RouterA-Ten-GigabitEthernet3/1/2] identity-number 2
[RouterA-Ten-GigabitEthernet3/1/2] quit
¡ 开启备份功能
# 开启会话业务热备份功能。
[RouterA] session synchronization enable
¡ 配置VSRP
# 创建名称为1的多机备份组。
[RouterA] vsrp peer 1
[RouterA-vsrp-peer-1] peer 34.3.3.1 local 33.3.3.1
# 配置网络侧流量回程时主、备设备之间的转发保护路径。
[RouterA-vsrp-peer-1] protect lsp-tunnel for-all-instance peer-ip 34.3.3.1
[RouterA-vsrp-peer-1] quit
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1。
[RouterA] vsrp instance 1
[RouterA-vsrp-instance-1] backup id 1 peer 1
# 配置多机备份实例1与接口Ten-GigabitEthernet3/1/3.1上的VRRP备份组1绑定。
[RouterA-vsrp-instance-1] bind vrrp vrid 1 interface ten-gigabitethernet 3/1/3.1
# 配置NAT实例inst与多机备份实例1绑定。
[RouterA] nat instance inst
[RouterA-nat-instance-inst] bind vsrp-instance 1
[RouterA-nat-instance-inst] quit
¡ 配置保护隧道
# 配置LSR ID为本设备上Loopback接口的IP地址33.3.3.1。
[RouterA] mpls lsr-id 33.3.3.1
# 全局使能本设备的LDP能力,并使能LDP NSR功能。
[RouterA] mpls ldp
[RouterA-ldp] non-stop-routing
[RouterA-ldp] quit
# 在网络侧接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] mpls enable
[RouterA-Ten-GigabitEthernet3/1/2] mpls ldp enable
[RouterA-Ten-GigabitEthernet3/1/2] quit
¡ 配置IS-IS
# 指定NET为00.0000.0000.0002.00。其中区域ID是00,System ID是0000.0000.0002。
[RouterA] isis 1
[RouterA-isis-1] network-entity 00.0000.0000.0002.00
# 配置IS-IS的开销值类型为wide。
[RouterA-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterA-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterA-isis-1] address-family ipv4 unicast
[RouterA-isis-1-ipv4] import-route direct inherit-cost
[RouterA-isis-1-ipv4] import-route unr inherit-cost
[RouterA-isis-1-ipv4] quit
[RouterA-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和Loopback1上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterA-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterA-Ten-GigabitEthernet3/1/2] quit
[RouterA] interface loopback 1
[RouterA-LoopBack1] isis enable 1
[RouterA-LoopBack1] quit
¡ 配置静态路由
# 配置静态路由。
[RouterA] ip route-static 8.1.1.0 24 4.4.4.2
(3) 配置RouterB
¡ 配置RouterB的工作模式
# 配置RouterB的工作模式为转发模式。
[RouterB] work-mode user-plane
¡ 配置备份组
# 创建备份组dp,并将CGN单板指定为备份组的节点,且节点的激活状态由VRRP备份组决定。
[RouterB] failover group dp
[RouterB-failover-group-dp] bind slot 5 vrrp
[RouterB-failover-group-dp] bind-vrrp 1 interface ten-gigabitethernet 3/1/3.1
# 指定跨系统板间业务备份时使用的备份通道,本地接口的IP地址为3.1.1.2,对端接口的IP地址为3.1.1.1。
[RouterB-failover-group-dp] remote-backup local 3.1.1.2 peer 3.1.1.1 port 10000
[RouterB-failover-group-dp] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterB] nat address-group 1
# 配置地址池的端口块参数,端口块大小为300。
[RouterB-address-group-1] port-block block-size 300
[RouterB-address-group-1] port-range 1024 65535
[RouterB-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组sgrp,并进入业务实例组视图。
[RouterB] service-instance-group sgrp
# 将业务实例组sgrp和备份组dp关联。
[RouterB-service-instance-group-sgrp] failover-group dp
[RouterB-service-instance-group-sgrp] quit
¡ 配置全局NAT动态地址池。
# 创建名称为pool1的全局NAT动态地址池,指定该全局地址池为备份地址池。
[RouterB] nat ip-pool pool1 dynamic backup
# 指定UP设备上的本端和对端的动态全局地址池标识符。
[RouterB-nat-ip-pool-pool1] up-backup local-up-id 1025 peer-up-id 1024
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterB-nat-ip-pool-pool1] bind dhcp-server-pool pool
[RouterB-nat-ip-pool-pool1] quit
¡ 创建NAT实例inst,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为inst,实例编号为10。
[RouterB] nat instance inst id 10
# 将NAT实例inst与业务实例组sgrp关联。
[RouterB-nat-instance-inst] service-instance-group sgrp
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterB-nat-instance-inst] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterB-nat-instance-inst] nat address-group 1 bind-ip-pool pool1
[RouterB-nat-instance-inst] quit
¡ 配置VRRP备份组。若需要主用设备故障时备用设备能够尽快代替主用设备,可将路由器在IPv4 VRRP备份组中的优先级调高,或者将Master路由器发送VRRP通告报文的时间间隔调小。关于VRRP的详细介绍,请请参见“可靠性配置指导”中的“VRRP”
# 创建VRRP备份组1,配置接口Ten-GigabitEthernet3/1/3.1的IP地址、备份组的虚拟IP地址及本端备份组中的优先级。
[RouterB] interface ten-gigabitethernet 3/1/3.1
[RouterB-Ten-GigabitEthernet3/1/3.1] ip address 5.1.1.2 255.255.255.0
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 virtual-ip 5.1.1.100
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 priority 253
# 配置VRRP备份组初始化状态保持时间300s。
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 initialize state-hold-time 300
# 配置VRRP备份组忽略接口down。
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 ignore-interface-down
# 配置VRRP备份组工作在抢占模式,抢占延迟时间为30000厘秒。确保该延迟时间和vBRAS上BRAS UP备份组中配置的回切延迟时间一致。
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 preempt-mode delay 30000
[RouterB-Ten-GigabitEthernet3/1/3.1] quit
# 创建和备份组dp关联的Track项1。如果Track项的状态为Negative,则说明设备的CGN板卡故障。
[RouterB] track 1 failover-group dp
# 创建和BFD关联的Track项2,检测Router A是否可达。
[RouterB] track 2 bfd echo interface ten-gigabitethernet 3/1/3.1 remote ip 5.1.1.1 local ip 5.1.1.2
# 创建和BFD关联的Track项3,BFD关联网络侧接口Ten-GigabitEthernet3/1/2。如果Track项的状态为Negative,则说明设备的网络侧链路故障。
[RouterB] track 3 bfd echo interface ten-gigabitethernet 3/1/2 remote ip 6.6.6.2 local ip 6.6.6.1
# 创建布尔类型列表Track项4,用来监测网络侧链路,接入侧链路及CGN业务板的状态。当列表中对象的状态都是Positive时,Track项的状态才是Positive。
[RouterB] track 4 list boolean and
[RouterB-track-4] object 1
[RouterB-track-4] object 3
# 配置当Router A和vBRAS之间的CUSP通道断开后,若Router A和Core Router之间链路正常,则Router A的主用接口不切换为备用接口,关联的Track项为4。
[RouterB] user-plane switch-over track 4
#在接口Ten-GigabitEthernet3/1/3.1上配置监视Track项2和Track项4。当Track项2的状态为Negative且当前设备状态为备时,Router B快速从Backup切换为Master状态。当Track项4的状态为Negative时,将Router B的优先级降为0。
[RouterB] interface ten-gigabitethernet 3/1/3.1
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 track 2 switchover
[RouterB-Ten-GigabitEthernet3/1/3.1] vrrp vrid 1 track 5 priority reduced 255
[RouterB-Ten-GigabitEthernet3/1/3.1] quit
# 在接口Ten-GigabitEthernet3/1/3.1上配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterB] interface ten-gigabitethernet 3/1/3.1
[RouterB-Ten-GigabitEthernet3/1/3.1] bfd min-echo-receive-interval 10
[RouterB-Ten-GigabitEthernet3/1/3.1] bfd echo enable
[RouterB-Ten-GigabitEthernet3/1/3.1] bfd detect-multiplier 3
[RouterB-Ten-GigabitEthernet3/1/3.1] quit
# 配置接口Ten-GigabitEthernet3/1/1的接口识别码为1。
[RouterB-Ten-GigabitEthernet3/1/1] identity-number 1
[RouterB-Ten-GigabitEthernet3/1/1] quit
# 配置路由器上行口Ten-GigabitEthernet3/1/2的BFD属性,配置BFD接收echo报文的最小时间间隔为10毫秒,配置单跳BFD检测时间倍数为3。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] bfd min-echo-receive-interval 10
[RouterB-Ten-GigabitEthernet3/1/2] bfd min-transmit-interval 10
[RouterB-Ten-GigabitEthernet3/1/2] bfd min-receive-interval 10
[RouterB-Ten-GigabitEthernet3/1/2] bfd detect-multiplier 3
# 配置路由器上行口Ten-GigabitEthernet3/1/2的接口识别码为2。
[RouterB-Ten-GigabitEthernet3/1/2] identity-number 2
[RouterB-Ten-GigabitEthernet3/1/2] quit
¡ 开启备份功能
# 开启会话业务热备份功能。
[RouterB] session synchronization enable
¡ 配置VSRP
# 创建名称为1的多机备份组。
[RouterB] vsrp peer 1
[RouterB-vsrp-peer-1] peer 33.3.3.1 local 34.3.3.1
# 配置网络侧流量回程时主、备设备之间的转发保护路径。
[RouterB-vsrp-peer-1] protect lsp-tunnel for-all-instance peer-ip 33.3.3.1
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1。
[RouterB] vsrp instance 1
[RouterB-vsrp-instance-1] backup id 1 peer 1
# 配置多机备份实例1与接口Ten-GigabitEthernet3/1/3.1上的VRRP备份组1绑定。
[RouterB-vsrp-instance-1] bind vrrp vrid 1 interface ten-gigabitethernet 3/1/3.1
# 配置NAT实例inst与多机备份实例1绑定。
[RouterB] nat instance inst
[RouterB-nat-instance-inst] bind vsrp-instance 1
[RouterB-nat-instance-inst] quit
¡ 配置保护隧道
# 配置LSR ID为本设备上Loopback接口的IP地址34.3.3.1。
[RouterB] mpls lsr-id 34.3.3.1
# 全局使能本设备的LDP能力,并使能LDP NSR功能。
[RouterB] mpls ldp
[RouterB-ldp] non-stop-routing
[RouterB-ldp] quit
# 在网络侧接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] mpls enable
[RouterB-Ten-GigabitEthernet3/1/2] mpls ldp enable
[RouterB-Ten-GigabitEthernet3/1/2] quit
¡ 配置IS-IS
# 创建IS-IS进程1,并指定NET为00.0000.0000.0003.00。其中区域ID是00,System ID是0000.0000.0003。
[RouterB] isis 1
[RouterB-isis-1] network-entity 00.0000.0000.0003.00
# 配置IS-IS的开销值类型为wide。
[RouterB-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterB-isis-1] non-stop-routing
# 配置IS-IS快速收敛。
[RouterB-isis-1] timer spf 1 10 10
[RouterB-isis-1] timer lsp-generation 1 10 10
# 配置IS-IS引入直连路由和UNR路由。
[RouterB-isis-1] address-family ipv4 unicast
[RouterB-isis-1-ipv4] import-route direct inherit-cost
[RouterB-isis-1-ipv4] import-route unr inherit-cost
[RouterB-isis-1-ipv4] quit
[RouterB-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和Loopback1上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterB-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterB-Ten-GigabitEthernet3/1/2] quit
[RouterB] interface loopback 1
[RouterB-LoopBack1] isis enable 1
[RouterB-LoopBack1] quit
¡ 配置静态路由
# 配置静态路由。
[RouterB] ip route-static 8.1.1.0 24 6.6.6.2
(4) 配置Core Router
¡ 配置IS-IS
# 创建IS-IS进程1,并指定NET为00.0000.0000.0004.00。其中区域ID是00,System ID是0000.0000.0004。
[CoreRouter] isis 1
[CoreRouter-isis-1] network-entity 00.0000.0000.0004.00
# 配置IS-IS的开销值类型为wide。
[CoreRouter-isis-1] cost-style wide
# 配置IS-IS引入直连路由。
[CoreRouter-isis-1] address-family ipv4 unicast
[CoreRouter-isis-1-ipv4] import-route direct
# 使能IS-IS进程1的快速重路由功能,并通过LFA算法选取备份下一跳信息。
[CoreRouter-isis-1-ipv4] fast-reroute lfa
[CoreRouter-isis-1-ipv4] quit
[CoreRouter-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2、Ten-GigabitEthernet3/1/3和LoopBack1上使能IS-IS功能,并在接口Ten-GigabitEthernet3/1/1和Ten-GigabitEthernet3/1/2上配置IS-IS与BFD联动。
[CoreRouter] interface ten-gigabitethernet 3/1/1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-transmit-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-receive-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd detect-multiplier 3
[CoreRouter-Ten-GigabitEthernet3/1/1] quit
[CoreRouter] interface ten-gigabitethernet 3/1/2
[CoreRouter-Ten-GigabitEthernet3/1/2] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/2] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/2] bfd min-transmit-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/2] bfd min-receive-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/2] bfd detect-multiplier 3
[CoreRouter-Ten-GigabitEthernet3/1/2] quit
[CoreRouter] interface loopback1
[CoreRouter-LoopBack1] isis enable 1
[CoreRouter-LoopBack1] quit
¡ 配置保护隧道
# 配置LSR ID为本设备上Loopback接口的IP地址35.3.3.1。
[CoreRouter] mpls lsr-id 35.3.3.1
# 全局使能本设备的LDP能力,并使能LDP NSR功能。
[CoreRouter] mpls ldp
[CoreRouter-ldp] non-stop-routing
[CoreRouter-ldp] quit
# 在接口Ten-GigabitEthernet3/1/1上使能MPLS能力和MPLS LDP能力。
[CoreRouter] interface ten-gigabitethernet 3/1/1
[CoreRouter-Ten-GigabitEthernet3/1/1] mpls enable
[CoreRouter-Ten-GigabitEthernet3/1/1] mpls ldp enable
[CoreRouter-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[CoreRouter] interface ten-gigabitethernet 3/1/2
[CoreRouter-Ten-GigabitEthernet3/1/2] mpls enable
[CoreRouter-Ten-GigabitEthernet3/1/2] mpls ldp enable
[CoreRouter-Ten-GigabitEthernet3/1/2] quit
# 以上配置完成后,Host能够访问外网服务器。通过在vBRAS查看如下显示信息,可以验证以上配置成功。
[vBRAS] display dhcp server ip-in-use pool pool
IP address Client identifier/ Lease expiration Type
Hardware address
202.38.1.0 3130-3234 Unlimited Auto(C)
Slot 97:
IP address Client identifier/ Lease expiration Type
Hardware address
202.38.1.0 0010-9400-0002 Unlimited Auto(C)
Slot 99:
IP address Client identifier/ Lease expiration Type
Hardware address
202.38.1.0 0011-2400-0001 Jun 12 07:13:05 2020 Auto(C)
# 查看RouterA上全局NAT地址池pool1的信息,可以看到地址池pool1获得了CP分配的公网IP地址。
[RouterA] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : 1024/1025
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : inst/10
Total IP count : 256
Available IP count : 0
Usage : 100%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 202.38.1.0 255.255.255.0 256 4
# 查看RouterA上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterA] display nat statistics
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 256
Active static port block entries: 0
Active dynamic port block entries: 4
Total PAT entries: 0
# 查看RouterA上的保护隧道信息。
[RouterA] display mpls tunnel all
Destination Type Tunnel/NHLFE VPN Instance
34.3.3.1 LSP NHLFE5 -
# 查看RouterA上的标签申请状态。
[RouterA] display mpls lsp protocol nat
FEC Proto In/Out Label Out Inter/NHLFE/LSINDEX
10/0 NAT 1149/- -
# 查看RouterB上全局NAT地址池pool1的信息,可以看到地址池pool1获得了CP分配的公网IP地址。
[RouterB] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : 1025/1024
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : inst/10
Total IP count : 256
Available IP count : 0
Usage : 100%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 202.38.1.0 255.255.255.0 256 4
# 查看RouterB上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterB] display nat statistics
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 256
Active static port block entries: 0
Active dynamic port block entries: 4
Total PAT entries: 0
# 查看RouterB上的保护隧道信息。
[RouterB] display mpls tunnel all
Destination Type Tunnel/NHLFE VPN Instance
33.3.3.1 LSP NHLFE5 -
# 查看RouterB上的标签申请状态。
[RouterB] display mpls lsp protocol nat
FEC Proto In/Out Label Out Inter/NHLFE/LSINDEX
10/0 NAT 1149/- -
在如图2-30所示的转发与控制分离组网中,有如下组网需求:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· vBRAS作为CP设备,工作在控制模式,负责NAT向DHCP申请、释放、续租公网IP段。
· Router A、Router B和Router C加入同一UP备份组,UP备份组的主备状态由vBRAS决定。
· 部署N:1温备模式的CGN备份策略模板。CGN备份策略模板中,Router A和Router B为处理NAT业务的主UP,Router C为处理NAT业务的备UP。实际运行过程中的主备状态由vBRAS决定。
· RouterA、Router B和Router C均工作在转发模式,分别处理如下工作:
¡ Router A和Router B作为主UP,负责接入用户与NAT联动触发数据分配,及用户数据报文私网IP地址、端口转换为公网IP地址、端口处理,并根据从CP设备收到的用户会话信息指导数据报文转发。
¡ Router C作为备UP,接收业务备份信息,包括CP分配给主UP设备的地址信息,以及主UP设备上的用户表信息。
· RouterA、Router B和Router C上的NAT实例分别与VSRP实例绑定。
· 保证处理用户接入业务和处理NAT业务的设备一致。
· 采用NAT端口块动态映射方式复用200.1.0.0/20网段的地址,外网地址的端口范围为20000~40000,端口块大小为1000。
图2-30 转发与控制分离N:1温备组网中的CGN框间备份配置举例
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
Router A |
XGE3/1/2 |
20.1.1.1 |
Router B |
XGE3/1/2 |
30.1.1.1 |
|
|
Loop1 |
8.1.2.1 |
|
Loop1 |
8.1.2.2 |
|
|
Loop2 |
99.1.1.1 |
|
Loop2 |
99.1.2.1 |
|
Router C |
XGE3/1/2 |
40.1.1.1 |
Core Router |
XGE3/1/1 |
20.1.1.2 |
|
|
Loop1 |
8.1.2.3 |
|
XGE3/1/3 |
30.1.1.2 |
|
|
Loop2 |
99.1.3.1 |
|
XGE3/1/2 |
40.1.1.2 |
|
vBRAS |
XGE1/1/0 |
110.1.1.20 |
|
XGE3/1/4 |
110.1.1.10 |
|
|
Loop1 |
8.1.1.1 |
|
Loop2 |
99.1.1.2 |
· 按照组网图配置各接口的IP地址。
· 配置CP和各个UP间的管理通道、控制通道和协议隧道,其中UP使用各自LoopBack2接口的IP地址和CP上的IP地址8.1.1.1建立CUSP连接。具体配置请参见“转发与业务分离业务配置指导”中的“CP-UP连接管理”。
(1) 配置Router A
¡ 配置Router A的工作模式
[RouterA] work-mode user-plane
¡ 配置备份组
# 创建备份组2,并将CGN单板指定为备份组的节点。
[RouterA] failover group 2 id 2
[RouterA-failover-group-2] bind slot 4 primary
[RouterA-failover-group-2] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterA] user-group user
[RouterA-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterA] nat address-group 1
# 配置地址组的端口块参数,端口块大小为1000,端口范围为20000~40000。
[RouterA-address-group-1] port-block block-size 1000
[RouterA-address-group-1] port-range 20000 40000
[RouterA-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组2,并进入业务实例组视图。
[RouterA] service-instance-group 2
# 将业务实例组2和备份组2关联。
[RouterA-service-instance-group-2] failover-group 2
[RouterA-service-instance-group-2] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterA] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterA-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterA-acl-ipv4-adv-3000] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterA] nat ip-pool pool1 dynamic
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterA-nat-ip-pool-pool1] bind dhcp-server-pool pool
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为aaa,实例ID为1。
[RouterA] nat instance aaa id 1
# 将NAT实例aaa与业务实例组2关联。
[RouterA-nat-instance-aaa] service-instance-group 2
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterA-nat-instance-aaa] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterA-nat-instance-aaa] nat address-group 1 bind-ip-pool pool1
# 开启转发与控制分离场景下的CGN温备非负载分担模式。
[RouterA-nat-instance-aaa] cu warm-standby-mode enable
¡ 配置VSRP
# 创建名称为2的多机备份对端,多机备份本地地址为99.1.1.1,对端地址为99.1.3.1。
[RouterA] vsrp peer 2
[RouterA-vsrp-peer-2] peer 99.1.3.1 local 99.1.1.1 port 13000
# 配置网络侧流量回程时主、备设备之间的转发保护路径。
[RouterA-vsrp-peer-2] protect lsp-tunnel for-all-instance peer-ip 99.1.3.1
[RouterA-vsrp-peer-2] quit
# 创建名称为2的多机备份实例,并配置多机备份实例的备份ID为1,关联的多机备份对端名称为2。
[RouterA] vsrp instance 2
[RouterA-vsrp-instance-2] backup id 1 peer 2
[RouterA-vsrp-instance-2] quit
# 配置NAT实例aaa与多机备份实例2绑定。
[RouterA] nat instance aaa
[RouterA-nat-instance-aaa] bind vsrp-instance 2
[RouterA-nat-instance-aaa] quit
¡ 配置LSP隧道
# 配置LSR ID为本设备上Loopback接口2的IP地址99.1.1.1。
[RouterA] mpls lsr-id 99.1.1.1
# 全局使能本设备的LDP能力
[RouterA] mpls ldp
# 在网络侧接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] mpls enable
[RouterA-Ten-GigabitEthernet3/1/2] mpls ldp enable
[RouterA-Ten-GigabitEthernet3/1/2] quit
使能MPLS与BFD联动功能,并配置通过BFD检测LSP的连通性。
[RouterA] mpls bfd enable
[RouterA] mpls bfd 99.1.3.1 32
¡ 配置IS-IS
# 指定NET为00.0000.0000.0002.00。其中区域ID是00,System ID是0000.0000.0001。
[RouterA] isis 1
[RouterA-isis-1] network-entity 00.0000.0000.0002.00
# 配置IS-IS的开销值类型为wide。
[RouterA-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterA-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterA-isis-1] address-family ipv4 unicast
[RouterA-isis-1-ipv4] import-route direct inherit-cost
[RouterA-isis-1-ipv4] import-route unr inherit-cost
[RouterA-isis-1-ipv4] quit
[RouterA-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack2上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterA-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterA-Ten-GigabitEthernet3/1/2] quit
[RouterA] interface loopback 2
[RouterA-LoopBack2] isis enable 1
¡ 配置静态路由
[RouterA] ip route-static 8.1.1.1 32 20.1.1.2
(2) 配置Router B
¡ 配置Router B的工作模式
[RouterB] work-mode user-plane
¡ 配置备份组
# 创建备份组2,并将CGN单板指定为备份组的节点。
[RouterB] failover group 2 id 2
[RouterB-failover-group-2] bind slot 4 primary
[RouterB-failover-group-2] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterB] user-group user
[RouterB-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterB] nat address-group 1
# 配置地址池的端口块参数,端口块大小为1000,端口范围为20000~40000。
[RouterB-address-group-1] port-block block-size 1000
[RouterB-address-group-1] port-range 20000 40000
[RouterB-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组2,并进入业务实例组视图。
[RouterB] service-instance-group 2
# 将业务实例组2和备份组2关联。
[RouterB-service-instance-group-2] failover-group 2
[RouterB-service-instance-group-2] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterB] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterB-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterB-acl-ipv4-adv-3000] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterB] nat ip-pool pool1 dynamic
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterB-nat-ip-pool-pool1] bind dhcp-server-pool pool
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为aaa,实例ID为1。
[RouterB] nat instance aaa id 1
# 将NAT实例aaa与业务实例组2关联。
[RouterB-nat-instance-aaa] service-instance-group 2
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterB-nat-instance-aaa] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterB-nat-instance-aaa] nat address-group 1 bind-ip-pool pool1
# 开启转发与控制分离场景下的CGN温备非负载分担模式。
[RouterB-nat-instance-aaa] cu warm-standby-mode enable
¡ 配置VSRP
# 创建名称为2的多机备份对端,多机备份本地地址为99.1.2.1,对端地址为99.1.3.1。
[RouterB] vsrp peer 2
[RouterB-vsrp-peer-2] peer 99.1.3.1 local 99.1.2.1 port 13000
# 配置网络侧流量回程时主、备设备之间的转发保护路径。
[RouterB-vsrp-peer-2] protect lsp-tunnel for-all-instance peer-ip 99.1.3.1
[RouterB-vsrp-peer-2] quit
# 创建名称为2的多机备份实例,并配置多机备份实例的备份ID为2,关联的多机备份对端名称为2。
[RouterB] vsrp instance 2
[RouterB-vsrp-instance-2] backup id 2 peer 2
[RouterB-vsrp-instance-2] quit
# 配置NAT实例aaa与多机备份实例2绑定。
[RouterB] nat instance aaa
[RouterB-nat-instance-aaa] bind vsrp-instance 2
[RouterB-nat-instance-aaa] quit
¡ 配置LSP隧道
# 配置LSR ID为本设备上Loopback接口2的IP地址99.1.2.1。
[RouterB] mpls lsr-id 99.1.2.1
# 全局使能本设备的LDP能力
[RouterB] mpls ldp
# 在网络侧接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] mpls enable
[RouterB-Ten-GigabitEthernet3/1/2] mpls ldp enable
[RouterB-Ten-GigabitEthernet3/1/2] quit
使能MPLS与BFD联动功能,并配置通过BFD检测LSP的连通性。
[RouterB] mpls bfd enable
[RouterB] mpls bfd 99.1.3.1 32
¡ 配置IS-IS
# 指定NET为00.0000.0000.0002.00。其中区域ID是00,System ID是0000.0000.0001。
[RouterB] isis 1
[RouterB-isis-1] network-entity 00.0000.0000.0002.00
# 配置IS-IS的开销值类型为wide。
[RouterB-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterB-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterB-isis-1] address-family ipv4 unicast
[RouterB-isis-1-ipv4] import-route direct inherit-cost
[RouterB-isis-1-ipv4] import-route unr inherit-cost
[RouterB-isis-1-ipv4] quit
[RouterB-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack2上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterB-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterB-Ten-GigabitEthernet3/1/2] quit
[RouterB] interface loopback 2
[RouterB-LoopBack2] isis enable 1
¡ 配置静态路由
[RouterB] ip route-static 8.1.1.1 32 30.1.1.2
(3) 配置Router C
¡ 配置Router C的工作模式
[RouterC] work-mode user-plane
¡ 配置备份组
# 创建备份组2,并将CGN单板指定为备份组的节点。
[RouterC] failover group 2 id 2
[RouterC-failover-group-2] bind slot 4 primary
[RouterC-failover-group-2] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterC] user-group user
[RouterC-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterC] nat address-group 1
# 配置地址池的端口块参数,端口块大小为1000,端口范围为20000~40000。
[RouterC-address-group-1] port-block block-size 1000
[RouterC-address-group-1] port-range 20000 40000
[RouterC-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组2,并进入业务实例组视图。
[RouterC] service-instance-group 2
# 将业务实例组2和备份组2关联。
[RouterC-service-instance-group-2] failover-group 2
[RouterC-service-instance-group-2] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterC] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterC-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterC-acl-ipv4-adv-3000] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterC] nat ip-pool pool1 dynamic
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterC-nat-ip-pool-pool1] bind dhcp-server-pool pool
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为aaa,实例ID为1。
[RouterC] nat instance aaa id 1
# 将NAT实例aaa与业务实例组2关联。
[RouterC-nat-instance-aaa] service-instance-group 2
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterC-nat-instance-aaa] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterC-nat-instance-aaa] nat address-group 1 bind-ip-pool pool1
# 开启转发与控制分离场景下的CGN温备非负载分担模式。
[RouterC-nat-instance-aaa] cu warm-standby-mode enable
¡ 配置VSRP
# 创建名称为1的多机备份对端,多机备份本地地址为99.1.3.1,对端地址为99.1.1.1。
[RouterC] vsrp peer 1
[RouterC-vsrp-peer-1] peer 99.1.1.1 local 99.1.3.1 port 13000
# 配置网络侧流量回程时主、备设备之间的转发保护路径。
[RouterC-vsrp-peer-1] protect lsp-tunnel for-all-instance peer-ip 99.1.1.1
[RouterC-vsrp-peer-1] quit
# 创建名称为2的多机备份对端,多机备份本地地址为99.1.3.1,对端地址为99.1.2.1。
[RouterC] vsrp peer 2
[RouterC-vsrp-peer-1] peer 99.1.2.1 local 99.1.3.1 port 13000
# 配置网络侧流量回程时主、备设备之间的转发保护路径。
[RouterC-vsrp-peer-2] protect lsp-tunnel for-all-instance peer-ip 99.1.2.1
[RouterC-vsrp-peer-2] quit
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1,关联的多机备份对端名称为1。
[RouterC] vsrp instance 1
[RouterC-vsrp-instance-1] backup id 1 peer 1
[RouterC-vsrp-instance-1] quit
# 创建名称为2的多机备份实例,并配置多机备份实例的备份ID为2,关联的多机备份对端名称为2。
[RouterC] vsrp instance 2
[RouterC-vsrp-instance-2] backup id 2 peer 2
[RouterC-vsrp-instance-2] quit
# 配置NAT实例aaa与多机备份实例1和2绑定。
[RouterC] nat instance aaa
[RouterC-nat-instance-aaa] bind vsrp-instance 1
[RouterC-nat-instance-aaa] bind vsrp-instance 2
[RouterC-nat-instance-aaa] quit
¡ 配置LSP隧道
# 配置LSR ID为本设备上Loopback接口2的IP地址99.1.3.1。
[RouterC] mpls lsr-id 99.1.3.1
# 全局使能本设备的LDP能力
[RouterC] mpls ldp
# 在网络侧接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[RouterC] interface ten-gigabitethernet 3/1/2
[RouterC-Ten-GigabitEthernet3/1/2] mpls enable
[RouterC-Ten-GigabitEthernet3/1/2] mpls ldp enable
[RouterC-Ten-GigabitEthernet3/1/2] quit
使能MPLS与BFD联动功能,并配置通过BFD检测LSP的连通性。
[RouterC] mpls bfd enable
[RouterC] mpls bfd 99.1.1.1 32
¡ 配置IS-IS
# 指定NET为00.0000.0000.0003.00。其中区域ID是00,System ID是0000.0000.0003。
[RouterC] isis 1
[RouterC-isis-1] network-entity 00.0000.0000.0003.00
# 配置IS-IS的开销值类型为wide。
[RouterC-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterC-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterC-isis-1] address-family ipv4 unicast
[RouterC-isis-1-ipv4] import-route direct inherit-cost
[RouterC-isis-1-ipv4] import-route unr inherit-cost
[RouterC-isis-1-ipv4] quit
[RouterC-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack2上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterC] interface ten-gigabitethernet 3/1/2
[RouterC-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterC-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterC-Ten-GigabitEthernet3/1/2] quit
[RouterC] interface loopback 2
[RouterC-LoopBack2] isis enable 1
¡ 配置静态路由
[RouterC] ip route-static 8.1.1.1 32 40.1.1.2
(4) 配置CoreRouter
¡ 配置IS-IS
# 创建IS-IS进程1,并指定NET为00.0000.0000.0004.00。其中区域ID是00,System ID是0000.0000.0004。
# 配置IS-IS的开销值类型为wide。
[CoreRouter-isis-1] cost-style wide
# 配置IS-IS引入直连路由和UNR路由。
[CoreRouter-isis-1] address-family ipv4 unicast
[CoreRouter-isis-1-ipv4] import-route direct
[CoreRouter-isis-1-ipv4] import-route unr
# 使能IS-IS进程1的快速重路由功能,并通过LFA算法选取备份下一跳信息。
[CoreRouter-isis-1-ipv4] fast-reroute lfa
[CoreRouter-isis-1-ipv4] quit
[CoreRouter-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2、Ten-GigabitEthernet3/1/3和LoopBack2上使能IS-IS功能,并在接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2和Ten-GigabitEthernet3/1/3上配置IS-IS与BFD联动。
[CoreRouter] interface ten-gigabitethernet 3/1/1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-transmit-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-receive-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd detect-multiplier 3
[CoreRouter-Ten-GigabitEthernet3/1/1] quit
[CoreRouter] interface ten-gigabitethernet 3/1/2
[CoreRouter-Ten-GigabitEthernet3/1/2] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/2] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/2] quit
[CoreRouter] interface ten-gigabitethernet 3/1/3
[CoreRouter-Ten-GigabitEthernet3/1/3] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/3] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/3] quit
[CoreRouter] interface loopback2
[CoreRouter-LoopBack2] isis enable 1
[CoreRouter-LoopBack2] quit
¡ 配置LSP隧道
# 配置LSR ID为本设备上Loopback接口2的IP地址99.1.1.2。
[CoreRouter] mpls lsr-id 99.1.1.2
# 全局使能本设备的LDP能力。
[CoreRouter] mpls ldp
[CoreRouter-ldp] quit
# 在接口Ten-GigabitEthernet3/1/1上使能MPLS能力和MPLS LDP能力。
[CoreRouter] interface ten-gigabitethernet 3/1/1
[CoreRouter-Ten-GigabitEthernet3/1/1] mpls enable
[CoreRouter-Ten-GigabitEthernet3/1/1] mpls ldp enable
[CoreRouter-Ten-GigabitEthernet3/1/1] quit
# 在接口Ten-GigabitEthernet3/1/2上使能MPLS能力和MPLS LDP能力。
[CoreRouter] interface ten-gigabitethernet 3/1/2
[CoreRouter-Ten-GigabitEthernet3/1/2] mpls enable
[CoreRouter-Ten-GigabitEthernet3/1/2] mpls ldp enable
[CoreRouter-Ten-GigabitEthernet3/1/2] quit
# 在接口Ten-GigabitEthernet3/1/3上使能MPLS能力和MPLS LDP能力。
[CoreRouter] interface ten-gigabitethernet 3/1/3
[CoreRouter-Ten-GigabitEthernet3/1/3] mpls enable
[CoreRouter-Ten-GigabitEthernet3/1/3] mpls ldp enable
[CoreRouter-Ten-GigabitEthernet3/1/3] quit
(5) 配置vBRAS
¡ 配置NAT实例
# 创建一个NAT实例,名称为aaa,实例编号为1。与UP上配置的NAT实例名称一致。
[vBRAS] nat instance aaa id 1
[vBRAS-nat-instance-aaa] quit
¡ 配置ODAP类型的IP地址池
# 创建ODAP类型的IP地址池userpool,分配的IP地址网段为10.210.0.0/16,分配子网网段的掩码长度为24,该地址池按UP备份策略模板下的主备关系分配子网段。
[vBRAS] ip pool userpool odap
[vBRAS-ip-pool-userpool] network 10.210.0.0 16 export-route
[vBRAS-ip-pool-userpool] subnet mask-length 24
[vBRAS-ip-pool-userpool] subnet alloc-mode up-backup-profile
[vBRAS-ip-pool-userpool] quit
¡ 配置NAT-CENTRAL类的IP地址池
# 创建NAT-CENTRAL类型的IP地址池pool,分配的IP地址网段为200.1.0.0/20,分配子网网段的掩码长度为32。
[vBRAS] ip pool pool nat-central
[vBRAS-ip-pool-pool] network 200.1.0.0 mask 255.255.240.0
[vBRAS-ip-pool-pool] subnet mask-length 32
[vBRAS-ip-pool-pool] quit
¡ 配置ISP域
# 创建并进入名称为cgn的ISP域。
[vBRAS] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费,并授权用户地址池。
[vBRAS-isp-cgn] authentication ppp radius-scheme rad
[vBRAS-isp-cgn] authorization ppp radius-scheme rad
[vBRAS-isp-cgn] accounting ppp radius-scheme rad
[vBRAS-isp-cgn] authorization-attribute ip-pool userpool
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[vBRAS-isp-cgn] user-address-type private-ipv4
[vBRAS-isp-cgn] quit
¡ 配置负载分担用户组和NAT实例的绑定关系
# 创建名称为user的用户组。
[vBRAS] user-group user
[vBRAS-ugroup-user] quit
# 配置用户组user和NAT实例aaa绑定。
[vBRAS] domain name cgn
[vBRAS-isp-cgn] user-group user bind nat-instance aaa
[vBRAS-isp-cgn] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[vBRAS] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[vBRAS-acl-ipv4-adv-3000] rule permit ip user-group user
[vBRAS-acl-ipv4-adv-3000] quit
¡ 配置QoS策略,将匹配用户组user中用户的IP报文引流到NAT实例。
# 定义类c1的匹配规则为:匹配用户组user中用户的IP报文。
[vBRAS] traffic classifier c1
[vBRAS-classifier-c1] if-match acl 3000
[vBRAS-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量绑定NAT实例aaa的动作。
[vBRAS] traffic behavior b1
[vBRAS-behavior-b1] bind nat-instance aaa
[vBRAS-behavior-b1] quit
# 创建QoS策略cb1,并为类c1指定采用流行为b1。
[vBRAS] qos policy cb1
[vBRAS-qospolicy-cb1] classifier c1 behavior b1
[vBRAS-qospolicy-cb1] quit
¡ 配置UP备份策略模板
# 创建温备份模式的UP备份策略模板3。
[vBRAS] up-backup-profile warm-standby
# 指定主用接口发布路由的开销值为20,备用接口发布路由的开销值为30。
[vBRAS-up-backup-profile-1] backup route-advertise master-cost 20 backup-cost 30
# 配置备用接口为Remote-GE1026/1/0/1。
[vBRAS-up-backup-profile-1] backup-interface remote-ge 1026/1/0/1
# 配置主用接口为Remote-XGE1024/3/1/1和Remote-XGE1025/3/1/1。主用接口Remote-XGE1024/3/1/1的VRID为254,主用接口Remote-XGE1025/3/1/1的VRID为255。
[vBRAS-up-backup-profile-1] master-interface remote-xge 1024/3/1/1 vrid 254
[vBRAS-up-backup-profile-1] master-interface remote-xge 1025/3/1/1 vrid 255
# 配置温备份UP备份策略模板3与NAT实例aaa关联。
[vBRAS-up-backup-profile-1] bind nat-instance aaa
[vBRAS-up-backup-profile-1] quit
¡ 配置CGN-UP备份策略模板
# 创建温备份模式的CGN-UP备份策略模板4,并绑定NAT实例aaa。
[vBRAS] cgn-backup-profile 4 warm-standby nat-instance aaa
# 配置CGN-UP备份策略模板的备用UP ID为1026。
[vBRAS-cgn-backup-profile-4] backup up-id 1026
# 配置CGN-UP备份策略模板的主用UP ID为1024和1025。
[vBRAS-cgn-backup-profile-4] master up-id 1024
[vBRAS-cgn-backup-profile-4] master up-id 1025
# 配置主UP故障恢复后的回切延迟时间为300秒。
[vBRAS-cgn-backup-profile-4] failure-recovery-switch enable delay 300
¡ 配置PPPoE Server
# 配置虚拟模板接口1的参数,采用PAP认证对端。
[vBRAS] interface virtual-template1
[vBRAS-Virtual-Template1] ppp authentication-mode pap domain cgn
[vBRAS-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1024/3/1/1
[vBRAS-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1024/3/1/1] quit
# 在远端接口Remote-XGE1025/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1025/3/1/1
[vBRAS-Remote-XGE1025/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1025/3/1/1] quit
¡ 配置静态路由
[vBRAS] ip route-static 0.0.0.0 0.0.0.0 110.1.1.10
# 在vBRAS上查看CGN-UP备份策略模板信息。
[vBRAS] display cgn-backup-profile
Profile ID: 4
Backup mode: Warm standby
Failure recovery: Enabled Delay time: 30 seconds
NAT instance: aaa
Backup UP ID: 1026, state=backup(normal)
Master UP ID: 1024, state=master(normal)
Master UP ID: 1025, state=master(normal)
Switchback state: Not ready
# 查看Router A上的NAT统计信息,可以看到slot 4上已经创建了一个动态端口块表项。
[RouterA] display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
0 0 0 0 0 0 0
4 0 0 0 20 0 1
5 0 0 0 0 0 0
# 以上配置完成后,Host能够访问外网服务器。通过在vBRAS查看如下显示信息,可以看到CP给UP分配的网段信息。
[vBRAS] display nat dhcp-server-pool-alloc statistics
DHCP server IP pool allocation statistics for NAT:
Totally 1 DHCP server IP pools.
Pool name: pool
Subnet count: 4
UPID Subnet Mask
------------------------------------------
1024 200.1.0.0 255.255.255.255
1024 200.1.0.1 255.255.255.255
1025 200.1.0.2 255.255.255.255
1025 200.1.0.3 255.255.255.255
# 查看RouterA上全局NAT地址池pool1的信息,可以看到地址池pool1获得了CP分配的公网IP地址。
[RouterA] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : 1024/1025
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : aaa/1
Total IP count : 2
Available IP count : 1
Usage : 50%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 200.1.0.0 255.255.255.255 1 1
1 200.1.0.1 255.255.255.255 1 0
# 查看RouterA上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterA] display nat statistics slot 4
Slot 4:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 20
Active static port block entries: 0
Active dynamic port block entries: 1
Total PAT entries: 0
# 查看RouterB上全局NAT地址池pool1的信息,可以看到地址池pool1获得了CP分配的公网IP地址。
[RouterB] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : 1025/1024
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : aaa/1
Total IP count : 2
Available IP count : 1
Usage : 50%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 200.1.0.2 255.255.255.255 1 1
1 200.1.0.3 255.255.255.255 1 0
# 查看RouterB上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterB] display nat statistics slot 4
Slot 4:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 20
Active static port block entries: 0
Active dynamic port block entries: 1
Total PAT entries: 0
在如图2-31所示的转发与控制分离组网中,有如下组网需求:
· 主机作为PPPoE Client,运行PPPoE客户端拨号软件。
· vBRAS作为CP设备,工作在控制模式,负责NAT向DHCP申请、释放、续租公网IP段。
· Router A、Router B和Router C加入同一UP备份组。
· 部署1:N温备模式的UP备份策略模板。UP备份策略模板中,Router A、Router B和RouterC均为主UP。
· RouterA、Router B和Router C均工作在转发模式,处理如下工作:
¡ 每个UP设备都作为主UP,负责接入用户与NAT联动触发数据分配,及用户数据报文私网IP地址、端口转换为公网IP地址、端口处理,并根据从CP设备收到的用户会话信息指导数据报文转发。
¡ 每个UP设备同时作为备UP,接收业务备份信息,包括用户表、全局NAT地址池的地址段信息、NAT地址组中的地址成员信息。
· RouterA、Router B和Router C上的NAT实例分别与VSRP实例绑定。
· 采用NAT端口块动态映射方式复用200.1.0.0/20网段的地址,外网地址的端口范围为20000~40000,端口块大小为1000。
图2-31 转发与控制分离1:N温备组网中的CGN框间备份配置举例
|
设备 |
接口 |
IP地址 |
设备 |
接口 |
IP地址 |
|
Router A |
XGE3/1/2 |
20.1.1.1 |
Router B |
XGE3/1/2 |
30.1.1.1 |
|
|
Loop1 |
8.1.2.1 |
|
Loop1 |
8.1.2.2 |
|
|
Loop2 |
99.1.1.1 |
|
Loop2 |
99.1.2.1 |
|
Router C |
XGE3/1/2 |
40.1.1.1 |
Core Router |
XGE3/1/1 |
20.1.1.2 |
|
|
Loop1 |
8.1.2.3 |
|
XGE3/1/3 |
30.1.1.2 |
|
|
Loop2 |
99.1.3.1 |
|
XGE3/1/2 |
40.1.1.2 |
|
vBRAS |
XGE1/1/0 |
110.1.1.20 |
|
XGE3/1/4 |
110.1.1.10 |
|
|
Loop1 |
8.1.1.1 |
|
Loop2 |
99.1.1.2 |
· 按照组网图配置各接口的IP地址。
· 配置CP和各个UP间的管理通道、控制通道和协议隧道,其中UP使用各自LoopBack1接口的IP地址和CP上的IP地址8.1.1.1建立CUSP连接。具体配置请参见“转发与业务分离业务配置指导”中的“CP-UP连接管理”。
(1) 配置Router A
¡ 配置Router A的工作模式
[RouterA] work-mode user-plane
¡ 配置备份组
# 创建备份组1,并将CGN单板指定为备份组的节点。
[RouterA] failover group 1 id 1
[RouterA-failover-group-1] bind slot 3 primary
# 创建备份组2,并将CGN单板指定为备份组的节点。
[RouterA] failover group 2 id 2
[RouterA-failover-group-2] bind slot 4 primary
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterA] user-group user
[RouterA-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterA] nat address-group 1
# 配置地址组的端口块参数,端口块大小为1000,端口范围为20000~40000。
[RouterA-address-group-1] port-block block-size 1000
[RouterA-address-group-1] port-range 20000 40000
[RouterA-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组2,并进入业务实例组视图。
[RouterA] service-instance-group 2
# 将业务实例组2和备份组1以及备份组2关联。
[RouterA-service-instance-group-2] failover-group 1
[RouterA-service-instance-group-2] failover-group 2
[RouterA-service-instance-group-2] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterA] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterA-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterA-acl-ipv4-adv-3000] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterA] nat ip-pool pool1 dynamic
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterA-nat-ip-pool-pool1] bind dhcp-server-pool pool
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为aaa,实例ID为1。
[RouterA] nat instance aaa id 1
# 将NAT实例aaa与业务实例组2关联。
[RouterA-nat-instance-aaa] service-instance-group 2
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterA-nat-instance-aaa] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterA-nat-instance-aaa] nat address-group 1 bind-ip-pool pool1
# 开启转发与控制分离场景下的CGN温备模式。
[RouterA-nat-instance-aaa] cu warm-load-balance-mode enable
¡ 配置VSRP
# 创建名称为1的多机备份对端,多机备份本地地址为99.1.1.1,对端地址为99.1.2.1。
[RouterA] vsrp peer 1
[RouterA-vsrp-peer-1] peer 99.1.2.1 local 99.1.1.1 port 13000
[RouterA-vsrp-peer-1] quit
# 创建名称为2的多机备份对端,多机备份本地地址为99.1.1.1,对端地址为99.1.3.1。
[RouterA] vsrp peer 2
[RouterA-vsrp-peer-2] peer 99.1.3.1 local 99.1.1.1 port 13000
[RouterA-vsrp-peer-2] quit
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1,关联的多机备份对端名称为1。
[RouterA] vsrp instance 1
[RouterA-vsrp-instance-1] backup id 1 peer 1
[RouterA-vsrp-instance-1] quit
# 创建名称为2多机备份实例,并配置多机备份实例的备份ID为2,关联的多机备份对端名称为2。
[RouterA] vsrp instance 2
[RouterA-vsrp-instance-2] backup id 2 peer 2
[RouterA-vsrp-instance-2] quit
# 配置NAT实例aaa与多机备份实例1和多机备份实例2绑定。
[RouterA] nat instance aaa
[RouterA-nat-instance-aaa] bind vsrp-instance 1
[RouterA-nat-instance-aaa] bind vsrp-instance 2
[RouterA-nat-instance-aaa] quit
¡ 配置IS-IS
# 指定NET为00.0000.0000.0002.00。其中区域ID是00,System ID是0000.0000.0001。
[RouterA] isis 1
[RouterA-isis-1] network-entity 00.0000.0000.0002.00
# 配置IS-IS的开销值类型为wide。
[RouterA-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterA-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterA-isis-1] address-family ipv4 unicast
[RouterA-isis-1-ipv4] import-route direct inherit-cost
[RouterA-isis-1-ipv4] import-route unr inherit-cost
[RouterA-isis-1-ipv4] quit
[RouterA-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack2上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterA] interface ten-gigabitethernet 3/1/2
[RouterA-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterA-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterA-Ten-GigabitEthernet3/1/2] quit
[RouterA] interface loopback 2
[RouterA-LoopBack2] isis enable 1
¡ 配置静态路由
[RouterA] ip route-static 8.1.1.1 32 20.1.1.2
¡ 配置关联备份组的Track项
# 配置Track项1关联备份组1。
[RouterA] track 1 failover-group 1
# 配置Track项2关联备份组2。
[RouterA] track 2 failover-group 2
# 配置或类型的布尔列表关联的Track项100。添加或单个监测对象联动的Track对象1和对象2。
[RouterA] track 100 list boolean or
[RouterA-track-100] object 1
[RouterA-track-100] object 2
¡ 配置UP设备和Track项联动
[RouterA]user-plane switchover track 100 uplink-group up-1024
¡ 配置和BFD会话关联的Track项,监听公网侧接口
[RouterA] track 150 bfd echo interface GigabitEthernet1/0/2 remote ip 20.1.1.2 local ip 20.1.1.1
¡ 配置UP设备的主用接口不切换为备用接口。
[RouterA] user-plane control-tunnel-down switchover track 150
(2) 配置Router B
¡ 配置Router B的工作模式
[RouterB] work-mode user-plane
¡ 配置备份组
# 创建备份组2,并将CGN单板指定为备份组的节点。
[RouterB] failover group 2 id 2
[RouterB-failover-group-2] bind slot 4 primary
[RouterB-failover-group-2] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterB] user-group user
[RouterB-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterB] nat address-group 1
# 配置地址池的端口块参数,端口块大小为1000,端口范围为20000~40000。
[RouterB-address-group-1] port-block block-size 1000
[RouterB-address-group-1] port-range 20000 40000
[RouterB-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组2,并进入业务实例组视图。
[RouterB] service-instance-group 2
# 将业务实例组2和备份组2关联。
[RouterB-service-instance-group-2] failover-group 2
[RouterB-service-instance-group-2] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterB] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterB-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterB-acl-ipv4-adv-3000] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterB] nat ip-pool pool1 dynamic
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterB-nat-ip-pool-pool1] bind dhcp-server-pool pool
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为aaa,实例ID为1。
[RouterB] nat instance aaa id 1
# 将NAT实例aaa与业务实例组2关联。
[RouterB-nat-instance-aaa] service-instance-group 2
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterB-nat-instance-aaa] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterB-nat-instance-aaa] nat address-group 1 bind-ip-pool pool1
# 开启转发与控制分离场景下的CGN温备模式。
[RouterB-nat-instance-aaa] cu warm-load-balance-mode enable
¡ 配置VSRP
# 创建名称为1的多机备份对端,多机备份本地地址为99.1.2.1,对端地址为99.1.1.1。
[RouterB] vsrp peer 1
[RouterB-vsrp-peer-1] peer 99.1.1.1 local 99.1.2.1 port 13000
[RouterB-vsrp-peer-1] quit
# 创建名称为2的多机备份对端,多机备份本地地址为99.1.2.1,对端地址为99.1.3.1。
[RouterB] vsrp peer 2
[RouterB-vsrp-peer-2] peer 99.1.3.1 local 99.1.2.1 port 13000
[RouterB-vsrp-peer-2] quit
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为1,关联的多机备份对端名称为1。
[RouterB] vsrp instance 1
[RouterB-vsrp-instance-1] backup id 1 peer 1
[RouterB-vsrp-instance-1] quit
# 创建名称为2的多机备份实例,并配置多机备份实例的备份ID为3,关联的多机备份对端名称为2。
[RouterB] vsrp instance 2
[RouterB-vsrp-instance-2] backup id 3 peer 2
[RouterB-vsrp-instance-2] quit
# 配置NAT实例aaa与多机备份实例1和多机备份实例2绑定。
[RouterB] nat instance aaa
[RouterB-nat-instance-aaa] bind vsrp-instance 1
[RouterB-nat-instance-aaa] bind vsrp-instance 2
[RouterB-nat-instance-aaa] quit
¡ 配置IS-IS
# 指定NET为00.0000.0000.0002.00。其中区域ID是00,System ID是0000.0000.0001。
[RouterB] isis 1
[RouterB-isis-1] network-entity 00.0000.0000.0002.00
# 配置IS-IS的开销值类型为wide。
[RouterB-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterB-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterB-isis-1] address-family ipv4 unicast
[RouterB-isis-1-ipv4] import-route direct inherit-cost
[RouterB-isis-1-ipv4] import-route unr inherit-cost
[RouterB-isis-1-ipv4] quit
[RouterB-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack2上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterB] interface ten-gigabitethernet 3/1/2
[RouterB-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterB-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterB-Ten-GigabitEthernet3/1/2] quit
[RouterB] interface loopback 2
[RouterB-LoopBack2] isis enable 1
¡ 配置静态路由
[RouterB] ip route-static 8.1.1.1 32 30.1.1.2
¡ 配置关联备份组的Track项
# 配置Track项1关联备份组1。
[RouterB] track 1 failover-group 1
# 配置或类型的布尔列表关联的Track项100。添加或单个监测对象联动的Track对象1。
[RouterB] track 100 list boolean or
[RouterB-track-100] object 1
¡ 配置UP设备和Track项联动
[RouterB] user-plane switchover track 100 uplink-group up-1025
¡ 配置和BFD会话关联的Track项,监听公网侧接口
[RouterB] track 150 bfd echo interface GigabitEthernet1/0/2 remote ip 30.1.1.2 local ip 30.1.1.1
¡ 配置UP设备的主用接口不切换为备用接口
[RouterB] user-plane control-tunnel-down switchover track 150
(3) 配置Router C
¡ 配置Router C的工作模式
[RouterC] work-mode user-plane
¡ 配置备份组
# 创建备份组2,并将CGN单板指定为备份组的节点。
[RouterC] failover group 2 id 2
[RouterC-failover-group-2] bind slot 4 primary
[RouterC-failover-group-2] quit
¡ 配置用户组
# 创建用户组user,与CP上创建的用户组一致。
[RouterC] user-group user
[RouterC-ugroup-user] quit
¡ 配置地址组
# 创建一个地址组,编号为1。
[RouterC] nat address-group 1
# 配置地址池的端口块参数,端口块大小为1000,端口范围为20000~40000。
[RouterC-address-group-1] port-block block-size 1000
[RouterC-address-group-1] port-range 20000 40000
[RouterC-address-group-1] quit
¡ 配置业务实例组
# 创建业务实例组2,并进入业务实例组视图。
[RouterC] service-instance-group 2
# 将业务实例组2和备份组2关联。
[RouterC-service-instance-group-2] failover-group 2
[RouterC-service-instance-group-2] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[RouterC] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[RouterC-acl-ipv4-adv-3000] rule permit ip user-group user
[RouterC-acl-ipv4-adv-3000] quit
¡ 配置全局NAT动态地址池
# 创建名称为pool1的全局NAT动态地址池。
[RouterC] nat ip-pool pool1 dynamic
# 全局NAT动态地址池pool1绑定DHCP服务器上的IP地址池pool。
[RouterC-nat-ip-pool-pool1] bind dhcp-server-pool pool
[RouterC-nat-ip-pool-pool1] quit
¡ 配置NAT实例,与CP上创建的NAT实例名称一致
# 创建一个NAT实例,名称为aaa,实例ID为1。
[RouterC] nat instance aaa id 1
# 将NAT实例aaa与业务实例组2关联。
[RouterC-nat-instance-aaa] service-instance-group 2
# 配置地址转换规则,对匹配用户组user中的用户IP报文进行地址转换。
[RouterC-nat-instance-aaa] nat outbound 3000 address-group 1
# 配置NAT地址组与全局NAT地址池pool1绑定。
[RouterC-nat-instance-aaa] nat address-group 1 bind-ip-pool pool1
# 开启转发与控制分离场景下的CGN温备模式。
[RouterC-nat-instance-aaa] cu warm-load-balance-mode enable
[RouterC-nat-instance-aaa] quit
¡ 配置VSRP
# 创建名称为1的多机备份对端,多机备份本地地址为99.1.3.1,对端地址为99.1.1.1。
[RouterC] vsrp peer 1
[RouterC-vsrp-peer-1] peer 99.1.1.1 local 99.1.3.1 port 13000
[RouterC-vsrp-peer-1] quit
# 创建名称为1的多机备份对端,多机备份本地地址为99.1.3.1,对端地址为99.1.2.1。
[RouterC] vsrp peer 2
[RouterC-vsrp-peer-2] peer 99.1.2.1 local 99.1.3.1 port 13000
[RouterC-vsrp-peer-2] quit
# 创建名称为1的多机备份实例,并配置多机备份实例的备份ID为2,关联的多机备份对端名称为1。
[RouterC] vsrp instance 1
[RouterC-vsrp-instance-1] backup id 2 peer 1
[RouterC-vsrp-instance-1] quit
# 创建名称为2的多机备份实例,并配置多机备份实例的备份ID为3,关联的多机备份对端名称为2。
[RouterC] vsrp instance 2
[RouterC-vsrp-instance-2] backup id 3 peer 2
[RouterC-vsrp-instance-2] quit
# 配置NAT实例aaa与多机备份实例1和2绑定。
[RouterC] nat instance aaa
[RouterC-nat-instance-aaa] bind vsrp-instance 1
[RouterC-nat-instance-aaa] bind vsrp-instance 2
[RouterC-nat-instance-aaa] quit
¡ 配置IS-IS
# 指定NET为00.0000.0000.0003.00。其中区域ID是00,System ID是0000.0000.0003。
[RouterC] isis 1
[RouterC-isis-1] network-entity 00.0000.0000.0003.00
# 配置IS-IS的开销值类型为wide。
[RouterC-isis-1] cost-style wide
# 使能IS-IS NSR功能。
[RouterC-isis-1] non-stop-routing
# 配置IS-IS引入直连路由和UNR路由。
[RouterC-isis-1] address-family ipv4 unicast
[RouterC-isis-1-ipv4] import-route direct inherit-cost
[RouterC-isis-1-ipv4] import-route unr inherit-cost
[RouterC-isis-1-ipv4] quit
[RouterC-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/2和LoopBack2上使能IS-IS功能,并且在接口Ten-GigabitEthernet3/1/2下配置IS-IS与BFD联动。
[RouterC] interface ten-gigabitethernet 3/1/2
[RouterC-Ten-GigabitEthernet3/1/2] isis enable 1
[RouterC-Ten-GigabitEthernet3/1/2] isis bfd enable
[RouterC-Ten-GigabitEthernet3/1/2] quit
[RouterC] interface loopback 2
[RouterC-LoopBack2] isis enable 1
¡ 配置静态路由
[RouterC] ip route-static 8.1.1.1 32 40.1.1.2
¡ 配置关联备份组的Track项
# 配置Track项1关联备份组1
[RouterC] track 1 failover-group 1
# 配置或类型的布尔列表关联的Track项100。添加或单个监测对象联动的Track对象1。
[RouterC] track 100 list boolean or
[RouterC-track-100] object 1
¡ 配置UP设备和Track项联动
[RouterC] user-plane switchover track 100 uplink-group up-1026
¡ 配置和BFD会话关联的Track项,监听公网侧接口
[RouterC] track 150 bfd echo interface GigabitEthernet1/0/2 remote ip 40.1.1.2 local ip 40.1.1.1
¡ 配置UP设备的主用接口不切换为备用接口
[RouterC] user-plane control-tunnel-down switchover track 150
(4) 配置CoreRouter
¡ 配置IS-IS
# 创建IS-IS进程1,并指定NET为00.0000.0000.0004.00。其中区域ID是00,System ID是0000.0000.0004。
# 配置IS-IS的开销值类型为wide。
[CoreRouter-isis-1] cost-style wide
# 配置IS-IS引入直连路由和UNR路由。
[CoreRouter-isis-1] address-family ipv4 unicast
[CoreRouter-isis-1-ipv4] import-route direct
[CoreRouter-isis-1-ipv4] import-route unr
# 使能IS-IS进程1的快速重路由功能,并通过LFA算法选取备份下一跳信息。
[CoreRouter-isis-1-ipv4] fast-reroute lfa
[CoreRouter-isis-1-ipv4] quit
[CoreRouter-isis-1] quit
# 在接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2、Ten-GigabitEthernet3/1/3和LoopBack2上使能IS-IS功能,并在接口Ten-GigabitEthernet3/1/1、Ten-GigabitEthernet3/1/2和Ten-GigabitEthernet3/1/3上配置IS-IS与BFD联动。
[CoreRouter] interface ten-gigabitethernet 3/1/1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/1] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-transmit-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd min-receive-interval 10
[CoreRouter-Ten-GigabitEthernet3/1/1] bfd detect-multiplier 3
[CoreRouter-Ten-GigabitEthernet3/1/1] quit
[CoreRouter] interface ten-gigabitethernet 3/1/2
[CoreRouter-Ten-GigabitEthernet3/1/2] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/2] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/2] quit
[CoreRouter] interface ten-gigabitethernet 3/1/3
[CoreRouter-Ten-GigabitEthernet3/1/3] isis enable 1
[CoreRouter-Ten-GigabitEthernet3/1/3] isis bfd enable
[CoreRouter-Ten-GigabitEthernet3/1/3] quit
[CoreRouter] interface loopback2
[CoreRouter-LoopBack2] isis enable 1
[CoreRouter-LoopBack2] quit
(5) 配置vBRAS
¡ 配置NAT实例
# 创建一个NAT实例,名称为aaa,实例编号为1。与UP上配置的NAT实例名称一致。
[vBRAS] nat instance aaa id 1
[vBRAS-nat-instance-aaa] quit
¡ 配置ODAP类型的IP地址池
# 创建ODAP类型的IP地址池userpool,分配的IP地址网段为10.210.0.0/16,分配子网网段的掩码长度为24,该地址池按UP备份策略模板下的主备关系分配子网段。
[vBRAS] ip pool userpool odap
[vBRAS-ip-pool-userpool] network 10.210.0.0 16 export-route
[vBRAS-ip-pool-userpool] subnet mask-length 24
[vBRAS-ip-pool-userpool] subnet alloc-mode up-backup-profile
[vBRAS-ip-pool-userpool] quit
¡ 配置NAT-CENTRAL类的IP地址池
# 创建NAT-CENTRAL类型的IP地址池pool,分配的IP地址网段为200.1.0.0/20,分配子网网段的掩码长度为32。
[vBRAS] ip pool pool nat-central
[vBRAS-ip-pool-pool] network 200.1.0.0 mask 255.255.240.0
[vBRAS-ip-pool-pool] subnet mask-length 32
[vBRAS-ip-pool-pool] quit
¡ 配置ISP域
# 创建并进入名称为cgn的ISP域。
[vBRAS] domain name cgn
# 为PPP用户配置AAA认证方法为RADIUS认证/授权/计费,并授权用户地址池。
[vBRAS-isp-cgn] authentication ppp radius-scheme rad
[vBRAS-isp-cgn] authorization ppp radius-scheme rad
[vBRAS-isp-cgn] accounting ppp radius-scheme rad
[vBRAS-isp-cgn] authorization-attribute ip-pool userpool
# 配置用户地址类型为私网IPv4地址。该地址类型的用户认证成功后将触发NAT地址分配。
[vBRAS-isp-cgn] user-address-type private-ipv4
[vBRAS-isp-cgn] quit
¡ 配置负载分担用户组和NAT实例的绑定关系
# 创建名称为user的用户组。
[vBRAS] user-group user
[vBRAS-ugroup-user] quit
# 配置用户组user和NAT实例aaa绑定。
[vBRAS] domain name cgn
[vBRAS-isp-cgn] user-group user bind nat-instance aaa
[vBRAS-isp-cgn] quit
¡ 配置高级ACL
# 创建IPv4高级ACL 3000。
[vBRAS] acl advanced 3000
# 为IPv4高级ACL 3000创建一条规则,仅允许匹配名称为user的用户组的用户报文通过。
[vBRAS-acl-ipv4-adv-3000] rule permit ip user-group user
[vBRAS-acl-ipv4-adv-3000] quit
¡ 配置QoS策略,将匹配用户组user中用户的IP报文引流到NAT实例。
# 定义类c1的匹配规则为:匹配用户组user中用户的IP报文。
[vBRAS] traffic classifier c1
[vBRAS-classifier-c1] if-match acl 3000
[vBRAS-classifier-c1] quit
# 定义流行为b1,为流行为b1配置流量绑定NAT实例aaa的动作。
[vBRAS] traffic behavior b1
[vBRAS-behavior-b1] bind nat-instance aaa
[vBRAS-behavior-b1] quit
# 创建QoS策略cb1,并为类c1指定采用流行为b1。
[vBRAS] qos policy cb1
[vBRAS-qospolicy-cb1] classifier c1 behavior b1
[vBRAS-qospolicy-cb1] quit
# 将QoS策略cb1应用到接口Remote-XGE1024/3/1/1的入方向。
[vBRAS] interface Remote-GE1024/1/0/1
[vBRAS-Remote-XGE1024/3/1/1] qos apply policy cb1 inbound
[vBRAS-Remote-XGE1024/3/1/1] quit
# 将QoS策略cb1应用到接口Remote-XGE1025/3/1/1的入方向。
[vBRAS] interface Remote-GE1025/1/0/1
[vBRAS-Remote-XGE1025/3/1/1] qos apply policy cb1 inbound
[vBRAS-Remote-XGE1025/3/1/1] quit
# 将QoS策略cb1应用到接口Remote-XGE1026/3/1/1的入方向。
[vBRAS] interface Remote-GE1026/1/0/1
[vBRAS-Remote-XGE1026/3/1/1] qos apply policy cb1 inbound
[vBRAS-Remote-XGE1026/3/1/1] quit
¡ 配置UP备份策略模板
# 创建温备份模式的UP备份策略模板3。
[vBRAS] up-backup-profile 3 warm-load-balance
# 配置主用接口和备用接口上同时发布路由。
[vBRAS-up-backup-profile-3] backup route-advertise
#配置CUSP通道故障时的延迟切换时间为10秒。
[vBRAS-up-backup-profile-3] control-tunnel-down switchover delay 10
#开启主UP或主UP接口故障恢复后的回切功能并设置回切延时时间为100秒。
[vBRAS-up-backup-profile-4] failure-recovery-switch enable delay 100
# 配置CP监控UP1024、1025和1026的CGN状态。
[vBRAS-up-backup-profile-4] up-id 1024 network-state track uplink-group up-1024
[vBRAS-up-backup-profile-4] up-id 1025 network-state track uplink-group up-1025
[vBRAS-up-backup-profile-4] up-id 1026 network-state track uplink-group up-1026
# 配置主用接口为Remote-XGE1024/3/1/1、Remote-XGE1025/3/1/1和Remote-XGE1026/3/1/1。主用接口Remote-XGE1024/3/1/1的VRID为1,主用接口Remote-XGE1025/3/1/1的VRID为2,主用接口Remote-XGE1026/3/1/1的VRID为3。
[vBRAS-up-backup-profile-1] master-interface remote-xge 1024/3/1/1 vrid 1
[vBRAS-up-backup-profile-1] master-interface remote-xge 1025/3/1/1 vrid 2
[vBRAS-up-backup-profile-1] master-interface remote-xge 1025/3/1/1 vrid 3
¡ 配置PPPoE Server
# 配置虚拟模板接口1的参数,采用PAP认证对端。
[vBRAS] interface virtual-template1
[vBRAS-Virtual-Template1] ppp authentication-mode pap domain cgn
[vBRAS-Virtual-Template1] quit
# 在远端接口Remote-XGE1024/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1024/3/1/1
[vBRAS-Remote-XGE1024/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1024/3/1/1] quit
# 在远端接口Remote-XGE1025/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1025/3/1/1
[vBRAS-Remote-XGE1025/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1025/3/1/1] quit
# 在远端接口Remote-XGE1026/3/1/1上启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[vBRAS] interface remote-xge 1026/3/1/1
[vBRAS-Remote-XGE1026/3/1/1] pppoe-server bind virtual-template 1
[vBRAS-Remote-XGE1026/3/1/1] quit
¡ 配置静态路由
[vBRAS] ip route-static 0.0.0.0 0.0.0.0 110.1.1.10
# 查看Router A上的NAT统计信息,可以看到slot 3上已经创建了一个动态端口块表项。
[RouterA] display nat statistics summary
EIM: Total EIM entries.
SPB: Total static port block entries.
DPB: Total dynamic port block entries.
ASPB: Active static port block entries.
ADPB: Active dynamic port block entries.
Slot Sessions EIM SPB DPB ASPB ADPB
0 0 0 0 0 0 0
3 0 0 0 40 0 1
4 0 0 0 20 0 0
5 0 0 0 0 0 0
# 以上配置完成后,Host能够访问外网服务器。通过在vBRAS查看如下显示信息,可以看到CP给UP分配的网段信息。
[vBRAS] display nat dhcp-server-pool-alloc statistics
DHCP server IP pool allocation statistics for NAT:
Totally 1 DHCP server IP pools.
Pool name: pool
Subnet count: 4
UPID Subnet Mask
------------------------------------------
1024 200.1.0.0 255.255.255.255
1024 200.1.0.1 255.255.255.255
1024 200.1.0.2 255.255.255.255
1024 200.1.0.3 255.255.255.255
# 查看RouterA上全局NAT地址池的信息,可以看到地址池pool1对应的子地址池获得了CP分配的公网IP地址。
[RouterA] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : -/-
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : aaa/1
Totally 1 sub NAT IP pools.
Pool name : Sub_196610_pool1
UPID (Local/Peer) : 1024/1025
Instance name/ID : Sub_196610_aaa/129
Total IP count : 4
Available IP count : 1
Usage : 75%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 200.1.0.0 255.255.255.255 1 1
1 200.1.0.1 255.255.255.255 1 1
2 200.1.0.2 255.255.255.255 1 1
3 200.1.0.3 255.255.255.255 1 0
# 查看RouterA上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterA] display nat statistics slot 3
Slot 3:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 40
Active static port block entries: 0
Active dynamic port block entries: 1
Total PAT entries: 0
[RouterA] display nat statistics slot 4
Slot 4:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 20
Active static port block entries: 0
Active dynamic port block entries: 0
Total PAT entries: 0
# 查看RouterB上全局NAT地址池的信息,可以看到地址池pool1对应的子地址池获得了主UP备份的公网IP地址。
[RouterB] display nat ip-pool
NAT IP pool information:
Totally 1 NAT ip pools.
Pool name : pool1
Type of pool : Dynamic
DHCP pool name : pool
UPID (Local/Peer) : -/-
Subnet length (Initial/Extended): 27/27
Usage thresholds (High/Low) : 80%/20%
Instance name/ID : aaa/1
Totally 1 sub NAT IP pools.
Pool name : Sub_196610_pool1
UPID (Local/Peer) : 1024/1025
Instance name/ID : Sub_196610_aaa/129
Total IP count : 4
Available IP count : 1
Usage : 75%
Section info:
ID Subnet Mask Total Used
-----------------------------------------------------------
0 200.1.0.0 255.255.255.255 1 1
1 200.1.0.1 255.255.255.255 1 1
2 200.1.0.2 255.255.255.255 1 1
3 200.1.0.3 255.255.255.255 1 0
# 查看RouterB上当前可分配的动态端口块总数和已分配的动态端口块个数。
[RouterB] display nat statistics slot 4
Slot 4:
Total session entries: 0
Total EIM entries: 0
Total inbound NO-PAT entries: 0
Total outbound NO-PAT entries: 0
Total static port block entries: 0
Total dynamic port block entries: 60
Active static port block entries: 0
Active dynamic port block entries: 0
Total PAT entries: 0
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
