客户用一台M9K-S作为出口。
在M9K上配置了nat server映射,发现不生效。
1、检查确认nat server的global地址没有和nat address-group的地址冲突
2、收集会话,发现会话有发没收
3、在防火墙接口上做流量统计,发现设备有将报文发给服务器,并且服务器正确回了报文,防火墙未处理。
4、仔细检查配置,发现客户配置了关闭nat server的自动引流,导致流量不会自动引流到防火墙板卡上
undo nat flow-redirect dynamic server static static-port-block
关于该命令的说明如下
nat flow-redirect命令用来开启NAT生成OpenFlow流表的功能。
undo nat flow-redirect命令用来关闭NAT生成OpenFlow流表的配置。
【命令】
nat flow-redirect { all | dynamic | server | static | static-port-block } *
undo nat flow-redirect { all | dynamic | server | static | static-port-block } *
【缺省情况】
NAT生成OpenFlow流表的功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:动态NAT(包括动态地址转换和动态NAT444)、NAT server、静态地址转换和静态NAT444生成OpenFlow流表的控制开关。
dynamic:动态NAT(包括动态地址转换和动态NAT444)生成OpenFlow流表的控制开关。
server:NAT server生成OpenFlow流表的控制开关。
static:静态地址转换生成OpenFlow流表功能的控制开关。
static-port-block:静态NAT444生成OpenFlow流表的控制开关。
【使用指导】
如果开启该功能,则新的NAT转换配置会生成OpenFlow流表,已经存在的NAT转换配置会补充生成OpenFlow流表。
如果关闭该功能,则新的NAT转换配置不会再生成OpenFlow流表,已存在的NAT转换配置生成的OpenFlow流表会被删除,从而可能造成流量中断。
【举例】
# 开启静态地址转换生成OpenFlow流表的功能。
[Sysname] nat flow-redirect static
5、因此建议客户开启自动引流,或者开启会话引流,也可以手动引流
nat flow-redirect dynamic server static static-port-block
session flow-redirect enable
如果M9K上关闭了自动引流功能,也没有开启会话引流或者手动配置引流的情况,会导致流量哈希到不通的板子上,导致流量不通。
建议开启自动引流,或者开启会话引流,也可以手动引流
nat flow-redirect dynamic server static static-port-block
session flow-redirect enable
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作