ME60上NAT部署手册

更新时间：2023-12-09 11:06:01 阅读量：教育文库文档下载

说明：文章内容仅供预览，部分内容可能不全。下载后的文档，内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的，是否完整无缺。

me60上如何测试ipv6用户推荐度：
相关推荐

文档名称文档密级：

V6R2版本NAT应用场景配置说明

一、概述

NAT（Network Address Translation，网络地址转换）是一种IP地址共享的技术，用来解决随着Internet规模的日益扩大而带来的IPv4合法地址短缺的问题。利用NAT技术，可以实现多用户同时使用少量的合法IPv4地址进行Internet访问，并且这种Internet访问对于大多数应用程序是透明的，无需在客户端进行任何特殊配置。每个用户只拥有私有的IP地址，用户相互之间访问时使用这个地址。在进行Internet访问时，这个私有的IP地址在私有网络的出口处被临时替换为一个合法的IP地址，同时这种映射关系被记录下来，以使返回的报文可以进行反方向的IP地址替换。这种映射关系一直持续到本次访问结束。

二、 NAT应用场景

NAT有两种基本实现方式：

? ?

PAT（Port Address Translation）方式：同时替换报文中的IP地址和端口号。

NoPAT方式:只替换报文中的IP地址。

PAT可以实现更高效的IP地址共享，是地址转换中最常用的方式。应用场景重点对pat方式进行说明。如下图所示：

用户获取一个私网地址192.168.1.10；当用户需要访问网络时，发送一个源IP为

192.168.1.10，源端口为688的UDP报文，通过nat转换为公网地址212.112.10.100，端口为10250的UDP报文，访问网络资源。对于不同的目的ip、目的端口转换成不同的地址。

2.1基于UCL匹配的nat转换功能

2019-7-25

华为机密，未经许可不得扩散

第1页, 共20页

文档名称文档密级：

一个运营商网络的上线用户通过ME60设备的网络地址转换功能连接到Internet。ME60设备的NAT板分别插在3号槽位、4号槽位上。用户通过以太网接口GE1/0/0在ME60上线，上线分配私网地址网段为10.10.0.0/16。ME60设备通过接口POS2/0/0与Internet相连，运营商具有202.38.160.1/24的公网地址。

1）配置用户上线私网地址池、用户组等，实现用户上线功能 //配置地址池

ip pool 1 bas local

gateway 10.10.0.1 255.255.0.0 section 0 10.10.0.1 10.10.254.254

//配置user-group,用户匹配用户上线的流量，来做nat转换

user-group 1

//配置用户上线的domain，其中认证方式采用不认证

domain 1

authentication-scheme default0 accounting-scheme default0 ip-pool 1 user-group 1

//配置用户上线接口，实现用户上线 interface GigabitEthernet 1/0/0.2 user-vlan 100 user-vlan 100 qinq 1 bas

access-type layer2-subscriber

2）配置NAT实例。有2块nat板，其中3为master，4为slave；如果只有一块板则只

配置master即可

nat instance 1 add slot 3 master

2019-7-25

华为机密，未经许可不得扩散

第2页, 共20页

文档名称文档密级：

add slot 4 slave

nat address-group 1 202.38.160.1 202.38.160.254 //公网地址池

nat outbound any address-group 1 //做nat的acl与公网地址池的对应关系，可以做到不同的流匹配到不同的公网地址池，acl只能配置2000～3999，由于nat板上不识别用户，所以对于用户acl 6000的流，需要剥离user－group，重新配置acl 3000范围的

3）配置traffic policy并在系统视图下应用，使满足一定条件的用户流量做nat转换

acl number 6000 //接入用户的acl需要配置6000以上的 rule 5 permit ip source user-group 1

traffic classifier nat operator or if-match acl 6000

traffic behavior nat //配置nat动作 nat bind instance 1

traffic policy 1

classifier nat behavior nat

traffic-policy 1 inbound //在全局模式下应用此策略

4）通过路由协议发布NAT地址池网段路由

//把公网地址池路由配置成静态路由

ip route-static 112.34.3.0 255.255.255.0 NULL 0

//通过ospf、isis或者bgp路由发布到网络侧

ospf 1

import-route static

或

bgp 100

import-route static

5）完成配置，用户上线有流量的情况下，即能做nat转换，查看到nat session

2019-7-25

华为机密，未经许可不得扩散第3页, 共20页

文档名称文档密级：

2.2基于ACL匹配的nat转换功能

一个公司网络的用户通过NE40E设备的网络地址转换功能连接到Internet。NE40E设备的NAT板分别插在3号槽位、4号槽位上。用户通过以太网接口GE1/0/0接入NE40E，用户私网地址网段为10.10.0.0/16。ME60设备通过接口POS2/0/0与Internet相连，运营商给公司分配202.38.160.1/24的公网地址。 1) 配置ACL匹配私网用户IP地址。

//用户获取的地址范围是10.10.0.0/16，满足如下条件的用户进行nat转换功能

acl number 3000

rule 5 permit ip source 10.10.0.0 0.0.255.255

2）配置NAT实例

nat instance 1 add slot 3 master add slot 4 slave

nat address-group 1 202.38.160.1 202.38.160.254 //获取的公网地址池

nat outbound 3000 address-group 1 // acl与公网地址池对应关系（即私网地址池与公网地址池对应关系）

3）配置traffic policy

traffic classifier nat operator or if-match acl 3000

traffic behavior nat //nat动作 nat bind instance 1

traffic policy 1

classifier nat behavior nat

2019-7-25

华为机密，未经许可不得扩散

第4页, 共20页

文档名称文档密级：

interface GigabitEthernet 1/0/0.1 vlan-type dot1q 1

ip address 10.10.0.1 255.255.0.0

traffic-policy 1 inbound //在接口下应用策略

4) 通过路由协议发布NAT地址池网段路由 //配置公网地址池，对应的NULL0路由

ip route-static 112.34.3.0 255.255.255.0 NULL 0

//在ospf、isis、bgp等协议中引入静态路由

ospf 1

import-route static …….

或

bgp 100 …….

import-route static …….

5) 完成配置，有流量触发的情况下，即能做nat转换，查看到nat session

三、局点应用举例

3.1浙江移动NAT转换方案

浙江移动是vlanif接口上线的用户做nat转换，vlanif接口运行在E-trunk物理链路上。OLT双归到2台ME60上，配置vrrp，正常情况下用户从做VRRP上线做nat转换。当链路故障

2019-7-25

华为机密，未经许可不得扩散

第5页, 共20页

文档名称文档密级：

主备切换后，用户切换到另外一台设备上做NAT转换。 ? 配置vlanif接口 # interface Vlanif32 description GPON_AG ip address 10.186.188.1 255.255.254.0 # interface Vlanif96 ip address 10.186.2.1 255.255.254.0 # ? 配置NAT实例添加NAT的板卡，以及NAT的公网地址 nat instance 1 add slot 8 master nat address-group 1 120.193.15.208 120.193.15.211 nat outbound any address-group 1 ? 配置NAT的流策略其中配置acl 3000，是为当用户ping vlanif的网关时能够通，不做NAT转换。匹配acl 3000的策略必须在nat策略前，否则不生效 # acl number 3000 rule 5 permit ip destination 10.186.188.1 0 rule 10 permit ip destination 10.186.2.1 0 # acl number 3001 rule 5 permit ip source 10.186.188.0 0.0.1.255 rule 10 permit ip source 10.186.2.0 0.0.1.255 # traffic classifier permit operator or if-match acl 3000 traffic classifier nat operator or if-match acl 3001 # traffic behavior permit traffic behavior nat nat bind instance 1 # traffic policy nat share-mode statistics enable classifier permit behavior permit classifier nat behavior nat ? 在2台ME60的互联接口配置nat的流策略，对满足条件的流量做nat动作 2019-7-25

华为机密，未经许可不得扩散

第6页, 共20页

文档名称文档密级：

# interface Eth-Trunk0 portswitch description TO ZJLSH-MC-CMNET-RT14-JN_ME60 GI1/0/0 port link-type trunk port trunk allow-pass vlan 8 to 9 16 32 96 568 to 623 902 912 3071 to 3072 3078 to 3083 4055 to 4062 port trunk allow-pass vlan 4071 to 4078 traffic-policy nat inbound vlan 32 traffic-policy nat inbound vlan 96 # return ? 在连接OLT的下行接口配置nat的流策略 interface Eth-Trunk2 portswitch description To_jingning_MA5680T mode user-termination port trunk allow-pass vlan 8 to 9 16 32 to 159 568 to 575 902 912 922 3071 to 3072 3078 to 3083 traffic-policy nat inbound vlan 32 traffic-policy nat inbound vlan 96 mode lacp-static e-trunk 1 port-queue af3 wfq weight 30 outbound # Vlanif+VRRP配置

Vlanif+VRRP的配置，一般是设备管理vlanif和wlan的管理vlanif需要配置VRRP。 ? NE40E上配置： interface Vlanif8 description manager ip binding vpn-instance ims-manager ip address 10.216.4.1 255.255.252.0 ? ME60上配置说明：

1. 在VRRP主上需要配置优先级大于备的优先级别（默认的优先级为100） 2. 在VRRP主上需要配置抢占延迟时间，而在备上不需要配置

3. 在vrrp主和备上分别需要track上行接口，上行接口故障vrrp优先级减少30，就能使

得主优先级比备低而主备状态切换。

2019-7-25

华为机密，未经许可不得扩散

第7页, 共20页

文档名称文档密级：

4. 在vrrp主和备上分别track下行的接口与所在设备的e-trunk为主的成员接口一致。

如：ME60-1上Eth-Trunk2,、4、6、8、10所在的E-TRUNK1为主，而Eth-TRUNK3、5、7、9所在E-TRUNK2为备；在ME60-2上在相反。则track的接口如下。 5. 根据方案，需要配置下行接口出现两个接口故障才切换。所以下行接口故障优先级降低

15，当一条下行链路故障后优先级降低不会导致VRRP主状态低于备设备，而只有两条链路以上故障才能使主设备的优先级低于备设备，主备状态才切换。 ME60-1: interface Vlanif8 description manager ip binding vpn-instance ims-manager ip address 10.216.4.2 255.255.252.0 vrrp vrid 1 virtual-ip 10.216.4.1 vrrp vrid 1 priority 120 vrrp vrid 1 preempt-mode timer delay 6 vrrp vrid 1 track interface GigabitEthernet5/0/0 reduced 30 vrrp vrid 1 track interface Eth-Trunk2 reduced 15 vrrp vrid 1 track interface Eth-Trunk4 reduced 15 vrrp vrid 1 track interface Eth-Trunk6 reduced 15 vrrp vrid 1 track interface Eth-Trunk8 reduced 15 vrrp vrid 1 track interface Eth-Trunk10 reduced 15 ME60-2： interface Vlanif8 description manager ip binding vpn-instance ims-manager ip address 10.216.4.3 255.255.252.0 vrrp vrid 1 virtual-ip 10.216.4.1 vrrp vrid 1 track interface GigabitEthernet5/0/0 reduced 30 vrrp vrid 1 track interface Eth-Trunk3 reduced 15 vrrp vrid 1 track interface Eth-Trunk5 reduced 15 vrrp vrid 1 track interface Eth-Trunk7 reduced 15 vrrp vrid 1 track interface Eth-Trunk9 reduced 15

四、NAT部署限制

1、板卡

NAT功能可以通过两种集中式业务板支持：SPUC和VSUA。

SPUC为V6R2新开发的业务板，推荐采用该单板承载NAT功能。 VSUA同V1R6版本的防火墙板（SSU），V6R2支持VSUA做为NAT业务板，但范围仅限于ME60形态的NAT功能，主要用于ME60 V1R6版本升级到V6R2版本后支持NAT

2019-7-25

华为机密，未经许可不得扩散

第8页, 共20页

文档名称文档密级：

功能。

配置前需要确认单板的业务类型是否为NAT，命令为

display board-type slot 2

MultiserviceEngine 60-8's board-type: Slot board-type

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 2 NAT

2、 license SPUC采用LME0SNAT00的license项控制，为资源型license。License个数和已经单板是1：1的比例关系。

VSUA采用LME0FWF01（同V1R6）的license控制，为功能型license。整机配置一个即可。

当无license或license个数不足时，在配置NAT命令时会提示GTL license不足。

五、与其他版本NAT差异

与ME60 V1R5/V1R6实现差别: V1R5/V1R6基于防火墙进行配置，V6R2无防火墙配置。配置模式不同，不能直接做命令行转换。主要规格各个版本保持一致。

五、常用维护命令与故障排查

5.1常用维护命令

1、查看当前总的会话数

display nat statistics normal slot 8

TCP sessions in current : 0 UDP sessions in current : 0 ICMP sessions in current : 0 Total sessions in current : 0

2、查看当前会话表，其中8号板为nat单板 display nat session table slot 8

3、当配置有主备NAT板时，通过以下命令查看当前实际状态为master的业务板。

display nat instance state

2019-7-25

华为机密，未经许可不得扩散

第9页, 共20页

nat instance 1

master slot : 8, active state: master slave slot : 2, active state: slave

文档名称文档密级：

5.2 常用问题FAQ

5.2.1 ACL配置

NAT转换是通过在接口下匹配traffic policy引流到业务板，然后在业务板匹配ACL选择地址池实现的地址转换。匹配的顺序为先匹配traffic policy引用的ACL，然后在业务板匹配nat outbound引用的ACL。

1）配置traffic policy时，使用的ACL注意不能配置rule deny，除非是需要将匹配该规则的流量全部丢弃。

请参考如下配置，rule 10的配置会导致在接口GE6/0/0下的流量除了10.10.0.0/16网段的流量全部被丢弃，而不是转发。

acl number 3000

rule 5 permit ip source 10.10.0.0 0.0.255.255 rule 10 deny ip ---------配置错误

traffic classifier 1 operator or if-match acl 3000

traffic behavior 1 nat bind instance 1

traffic policy 1

classifier 1 behavior 1

interface GigabitEthernet6/0/0 undo shutdown

ip address 2.2.2.1 255.255.255.0 traffic-policy 1 inbound

2）NAT实例下的nat outbond引用的ACL同样不能配置rule deny项，否则匹配rule deny的报文不会做NAT转换。

以下配置，原配置目的是10.10.10.0/24网段采用地址池1地址进行NAT转换，10.10.20.0/24网段采用地址池2地址进行NAT转换，配置ACL 3000时加了一条deny配置，则10.10.20.0/24无法正常转换。

acl number 3001

2019-7-25

华为机密，未经许可不得扩散

第10页, 共20页

文档名称文档密级：

rule 5 permit ip source 10.10.10.0 0.0.0.255 rule 10 deny ip ---------配置错误

acl number 3001

rule 5 permit ip source 10.10.20.0 0.0.0.255

nat instance 1 add slot 8 master

nat address-group 1 112.12.2.1 112.12.2.254 nat address-group 2 112.12.3.1 112.12.3.254 nat outbound 3001 address-group 1 nat outbound 3002 address-group 2

5.2.2 traffic policy配置

用户上线做NAT转换，必须在用户域下配置user-group，配置UCL(即ACL 6000-9999段)匹配用户的user-group，在全局视图下绑定traffic-policy，不能在用户上线的接口下绑定。

用户上线的情况下，user-group和用户域是1：1的对应关系，不支持同一个域有部分用户做NAT，部分用户不做NAT的情况。

非用户上线的流量，配置ACL 3000-3999或2000-2999， traffic policy只能绑定在具体的接口视图或子接口视图下，不能在全局视图下配置。

Traffic policy只能配置inbound方向。

5.2.3 配置traffic policy和nat outbound时分配需要匹配ACL，两者可以按以下关系配置：

1）用户上线根据UCL配置traffic policy，在配置nat outbound时如果不需要区分不同网段用户选地址池，可以直接配置nat outbound any address-group；如果需要根据ACL选择地址池，建议按照匹配用户的私网IP段的模式进行配置。

配置参考：

ip pool 1 bas local

gateway 192.168.0.1 255.255.255.0 section 0 192.168.0.1 192.168.0.254

user-group 1

domain 1 ip-pool 1 user-group 1