客户使用f5000系列防护墙,出接口上配置了多条no pat模式的地址转换。
acl number 3003
rule permit ip source 1.1.1.1 0 de 2.2.2.2 0
acl number 3002
rule permit ip source 1.1.1.1 0 de 3.3.3.3 0
acl number 2000
rule permit source 1.1.1.1 0
interface g 0/0
nat outbound 3003 address-group 230 no-pat
nat outbound 3002 address-group 229 no-pat
nat outbound 2001 address-group 231 no-pat
配置后,客户发现acl 3003中的流量被转换的公网地址理论上应该是230地址池里的地址,但有时会被转换成229或231地址池里的地址。
通过配置查看,发现无其他异常问题,测试发现有时转换正确,但确实有时出现地址池中地址选择错误,并且不止3003出现错误,3002,2001中的流量有时也会出现公网地址选择错误。由于配置了no-pat选项,文档中有说明会生成一个no-pat表项,怀疑和此有关,
[H3C-GigabitEthernet0/0]dis nat no-pat
Slot 0:
Local IP: 100.0.0.1
Global IP: 10.0.0.10
Reversible: N
Type : Outbound
Total entries found: 1
查看no-pat表项,此表项只记录原地址和转换的映射地址。如果后续报文进来,例如3002中访问其他目的地址,但优先匹配此表项的话,就会被转换成错误地址。
清空nat表项进行复现确认,发现确实如猜测的原因,优先出发3001的流量,再进行3002的流量,3002选择的地址池就是错误的。反之亦然
针对同一源地址配置多条源地址转换时,不可配置no-pat参数,否则会出现地址选择错误情况,现场去除no-pat参数后业务恢复正常。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作