MSR5660接口同时配置NAT和包过滤后网络不通经验案例

公网出接口同时配置了包过滤和NAT，包过滤匹配了内网用户的源地址。已配置相关路由，但内网用户访问不了外网。
 

用户的关键配置如下：

#

interface GigabitEthernet2/0/0　／／设备的公网出口

 port link-mode route

 description ith

 combo enable copper

 ip address 125.69.76.100 255.255.255.0

 arp send-gratuitous-arp interval 200

 packet-filter 3000 inbound

 packet-filter 3002 outbound

 nat outbound 2001 address-group 1

#

acl basic 2001

 description ith

 rule 1 permit source 10.2.3.0 0.0.0.255

 rule 2 permit source 10.2.4.0 0.0.0.255

 rule 3 permit source 10.2.5.0 0.0.0.255

 rule 4 permit source 10.2.10.0 0.0.0.255／／测试用户地址段

 rule 5 permit source 10.2.12.0 0.0.0.255

 rule 6 permit source 10.2.13.0 0.0.0.255

 rule 7 permit source 10.2.15.0 0.0.0.255

 rule 8 permit source 192.168.50.0 0.0.0.255

 rule 9 permit source 10.2.100.0 0.0.0.255

 rule 10 permit source 10.2.11.0 0.0.0.255

 rule 11 permit source 10.2.200.0 0.0.0.255

 rule 20 deny

#

acl advanced 3000／／与ACL3000配置无关此处配置省略

#

acl advanced 3002

 rule 2 permit ip source 10.2.4.0 0.0.0.255

 rule 3 permit ip source 192.168.50.0 0.0.0.255

 rule 4 permit ip source 10.2.10.248 0

 rule 5 permit ip source 10.2.10.240 0

 rule 6 permit ip source 10.2.5.235 0

 rule 7 permit ip source 10.2.3.16 0

 rule 8 permit ip source 10.2.3.17 0

 rule 9 permit ip source 10.2.10.211 0／／测试用户地址

　　　　　　   ．

         ．

         ．

 Rule 400 deny ip

#             

 ip route-static 0.0.0.0 0 125.69.76.1

 ip route-static 10.1.0.0 16 10.2.10.199

 ip route-static 10.2.0.0 16 10.2.10.252 preference 70

 ip route-static 192.168.50.0 24 10.2.10.252

#

nat address-group 1

 address 125.69.76.101 125.69.76.102

#

检查路由配置没有问题，检查NAT配置没有问题。通过display acl查看匹配的rule规格的匹配情况，发现acl 2001的源地址没有问题。acl 3002的匹配用户地址段rule 9规则的匹配次数没有增加，而rule 400增加。

流量匹配NAT和包过滤是有先后顺序的，流量先匹配NAT再匹配包过滤。NAT之后报文的源地址变为NAT地址池中的地址。而包过滤的acl中没有放通该地址段，导致网络中断。

在包过滤的acl中放通NAT地址池中的地址

遇到接口NAT不生效的问题，可以查看由没有NAT会话。其次查看NAT的ACL有没有和其他功能的ACL有重叠的地址段。并注意接口下，各功能ACL的下发顺序。