WX6100E内网侧配置公网地址无法访问公网的处理经验

沈阳联通特殊需求,需要在内网AC控制器WX6100E上配置一个公网地址,并可以直接访问公网,但配置后发现无法ping通外网。网络拓扑简图如图一所示:

图一 组网拓扑

由于是现网设备新增需求,所以防火墙三层部署不能修改为二层模式。

所以代理商想通过配置缺省路由的方式，在途经的设备都配置静态路由，并且在防火墙F1020和S5500交换机上配置回城路由：

FW: ip route-static 123.1.1.2 255.255.255.255 192.168.1.2

S5500：ip route-static 123.1.1.2 255.255.255.255 192.168.0.2

通过查路由表发现，配置的静态路由优先级为60，而防火墙本机自动生成的直连路由的优先级为0，原因是直连路由的优先级高于静态路由, 直连路由的优先级高于配置的静态路由，从而导致在无线控制器上无法ping通公网。

0.0.0.0/0          Static  60  0           123.1.1.3       GE0/1

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

123.1.1.0/24       Direct  0   0           123.1.1.1       GE0/1

123.1.1.0/32       Direct  0   0           123.1.1.1       GE0/1

123.1.1.1/32       Direct  0   0           127.0.0.1       InLoop0

123.1.1.2/32       Static  60  0           192.168.1.2     GE0/0

123.1.1.255/32     Direct  0   0           123.1.1.1       GE0/1

在wx6100e上配置sub地址，同时配置nat outbound,将接口地址转成sub address所配置的地址,然后在华为防火墙上配置32位主机回城路由后问题解决。

具体配置如下：

WX6100E:

acl advanced 3000
        rule 0 permit ip source 123.1.1.2 0
     nat address-group 1
       address 10.1.1.1 10.1.1.1
    interface Vlan-interface1000
       ip address 192.168.0.2 255.255.255.0
       ip address 10.1.1.1 255.255.255.0 sub
       nat outbound 3000 address-group 1

S5500:

ip route-static 10.1.1.1 255.255.255.255 192.168.0.2

F1020:

ip route-static 10.1.1.1 255.255.255.255 192.168.1.2

由于WX6100E上会生成NAT表项，所以回城路由到达WX6100E上会自动转换为123.1.1.2这个公网地址。

测试结果，在WX6100E上带源123.1.1.2 ping 防火墙的公网地址123.1.1.1可以ping通：

[WX6100E]ping -a 123.1.1.2 123.1.1.1

Ping 123.1.1.1 (123.1.1.1) from 123.1.1.2: 56 data bytes, press CTRL_C to break

56 bytes from 123.1.1.1: icmp_seq=0 ttl=255 time=8.266 ms

56 bytes from 123.1.1.1: icmp_seq=1 ttl=255 time=1.151 ms

56 bytes from 123.1.1.1: icmp_seq=2 ttl=255 time=1.568 ms

56 bytes from 123.1.1.1: icmp_seq=3 ttl=255 time=3.616 ms

56 bytes from 123.1.1.1: icmp_seq=4 ttl=255 time=4.338 ms

1、配置时有时会忽略直连路由优先级高于静态路由，导致配置不通。

2、无线控制器上需要配置sub address和nat outbound才能实现此功能。