• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

MSR5660设备作为MPLS PE时公网口做nat问题经验案例

2019-03-28发表
  • 0关注
  • 1收藏,307浏览
0

组网及说明

MSR5660设备作为MPLS组网的PE。公网口地址10.0.0.1/24。

问题描述

客户需求该PE下私网访问对端PE下私网的流量都做nat转源地址;同时要在该PE的公网口做nat server,对端私网访问nat server地址时PE转目的地址,映射到本PE下的私网地址去。


过程分析

MPLS组网做nat这个需求比较特殊。对于MPLS组网,从公网口出去的报文一般是带私网、公网两层标签,公网口下的nat outboundnat servermplsldp的处理顺序比较复杂。本案例仅验证MSR G2设备在该组网下的处理情况,不代表适用于SR66SR88等设备。

    PE之间IGP互通、MPLS-IBGP建立、私网路由发布配置略,请参考配置指导MPLS L3VPN部分内容。

1、公网口做nat outbound

#

acl advanced 3000

rule 5 permit ip vpn-instance 1 //软件处理设备,acl匹配私网报文要带vpn实例

#

nat address-group 1

address 123.1.1.1 123.1.1.1

//要定义单独的nat地址池,不能nat outbound/nat server成公网口地址,否则对于bgpldp等邻居建立有影响

#

interface GigabitEthernet2/0/2

ip address 10.0.0.1 255.255.255.0

mpls enable

mpls ldp enable

nat outbound 3000 address-group 1 vpn-instance 1 //nat后要带vpn实例

#

bgp 100

#

ip vpn-instance 1

  #

  address-family ipv4 unicast

   import-route direct //要把nat地址池的路由发给对端PE,可以在bgp里面引入直连

#

 

CE1上面ping对端PE2的私网地址1.1.1.1能通,

ping -c 1 1.1.1.1

Ping 1.1.1.1 (1.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 1.1.1.1: icmp_seq=0 ttl=254 time=5.369 ms

 

PE2上面debug icmp,可以看到源地址已转换为地址池中的123.1.1.1

*May 12 03:08:53:718 2013 PE2 SOCKET/7/ICMP: -MDC=1-Chassis=1-Slot=3;

ICMP Input:

ICMP Packet: vpn = 1(1), src = 123.1.1.1, dst = 1.1.1.1

              type = 8, code = 0 (echo)

 

*May 12 03:08:53:718 2013 PE2 SOCKET/7/ICMP: -MDC=1-Chassis=1-Slot=3;

ICMP Output:

ICMP Packet: vpn = 1(1), src = 1.1.1.1, dst = 123.1.1.1

              type = 0, code = 0 (echo-reply)

 

2、公网口做nat server + nat outbound

#

interface GigabitEthernet2/0/2

ip address 10.0.0.1 255.255.255.0

mpls enable

mpls ldp enable

nat outbound 3000 address-group 1 vpn-instance 1

nat server global 123.1.1.1 vpn-instance 1 inside 20.0.0.2 vpn-instance 1

//与上述nat outbound过程类似,注意要带vpn实例。global地址不能是公网口地址,会影响协议

#

 

PE2上面ping一下nat server global地址进行验证,能ping通,

ping -vpn-instance 1 123.1.1.1

Ping 123.1.1.1 (123.1.1.1): 56 data bytes, press CTRL_C to break

56 bytes from 123.1.1.1: icmp_seq=0 ttl=254 time=3.297 ms

 

CE1debug icmp,可以看到有报文到达CE1,说明PE1上面nat server已生效,

*Feb 21 14:01:57:053 2019 CE1 SOCKET/7/ICMP: -Slot=2;

ICMP Input:

ICMP Packet: src = 1.1.1.1, dst = 20.0.0.2

              type = 8, code = 0 (echo)

 

*Feb 21 14:01:57:053 2019 MSR5660-2 SOCKET/7/ICMP: -Slot=2;

ICMP Output:

ICMP Packet: src = 20.0.0.2, dst = 1.1.1.1

              type = 0, code = 0 (echo-reply)



解决方法

在MPLS组网中做nat,与具体组网情况、设备型号和版本都有关系,上述情况仅对MSR5660 V7版本适用。其他情况下MPLS中做nat需要实际评估测试。


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
自动化解放运维
参与话题讨论
赢取积分大奖!

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作