NE80/NE40/S8016产品VRP3.1/3.3版本NAT到多ISP功能的配置

NE80/NE40/S8016产品VRP3.1/3.3版本NAT到多ISP功能的配置

一、  组网需求：

从8011的E3/0/15接口进入的源地址为10.0.0.0/8的数据流，如果访问的目的网段为100.0.0.0/8，则下一跳为20.0.1.2，源地址NAT为20.0.1.11～20.0.1.15，同时将NAT为30.0.1.11 ～30.0.1.15，从RTB绕行的链路作为备份。如果访问的目的网段为200.0.0.0/8，则下一跳为30.0.1.2，源地址NAT为30.0.1.11～30.0.1.15，同时将NAT为20.0.1.11～20.0.1.15，从RTA绕行的链路作为备份。

二、  组网图：

RTA和RTB可以为任意路由器或三层交换机，8011为需要实现访问控制功能的NE80/NE40/S8016设备。8011上VRP软件版本为3.1或3.3

三、  配置步骤：

1.                        按上图组网，在8011、RTA和RTB三台路由器上配置OSPF，在RTA和RTB的OSPF配置中用network命令发布Loopback地址路由，注意8011的端口3/0/15不要启用OSPF，也不要在OSPF中发布网段10.0.0.0/24的路由

2.                        在8011上配置NAT多ISP，配置过程如下：

1)             定义目的地址为100.0.0.0/8的流分类

[8011] rule-map intervlan 100 ip 10.0.0.0 0.255.255.255 100.0.0.0 0.255.255.255

2)             定义目的地址为200.0.0.0/8的流分类

[8011] rule-map intervlan 200 ip 10.0.0.0 0.255.255.255 200.0.0.0 0.255.255.255

3)             创建并激活到ISP-1的地址池

[8011] nat address-group isp-1 20.0.1.11 20.0.1.15 mask 255.255.255.0 slot 4

[8011] nat enable address-group isp-1

4)             创建并激活到ISP-2的地址池

[8011] nat address-group isp-2 30.0.1.11 30.0.1.15 mask 255.255.255.0 slot 4

[8011] nat enable address-group isp-2

5)             创建到ISP-1的的nat policy

[8011] nat-policy number 1 ip 20.0.1.2 nat address-group isp-1

6)             创建到ISP-2的nat policy

[8011] nat-policy number 2 ip 30.0.1.2 nat address-group isp-2

7)             定义流动作nat-1，以ISP-1为主路由，ISP-2为备

[8011]flow-action nat-1 nat 1 2 service-class 4

8)             定义流动作nat-2，以ISP-2为主路由，ISP-1为备

[8011]flow-action nat-2 nat 2 1 service-class 4

9)             创建名为nat的EACL，让访问100.0.0.0/8网段的数据执行流行为nat-1，访问200.0.0.0/8网段的数据执行流行为nat-2

[8011] eacl nat 100 nat-1

[8011] eacl nat 200 nat-2

10)         让连接ISP-1的端口3/0/0回应NAT地址池isp-1中各地址的ARP

[8011]interface Ethernet 3/0/0

[8011-Ethernet3/0/0]nat match-host isp-1

11)         让连接ISP-2的端口3/0/1回应NAT地址池isp-2中各地址的ARP

[8011]interface Ethernet 3/0/1

[8011-Ethernet3/0/1]nat match-host isp-2

12)         在私网数据入口Ethernet 3/0/15应用EACL

[8011]interface Ethernet 3/0/15

[8011-Ethernet3/0/15]access-group switch eacl nat

3.                        从PC机上ping 100.0.0.1和200.0.0.1，并用tracert命令查看经过的网关，这时会发现100.0.0.1和200.0.0.1都可以ping通，并且到100.0.0.1和200.0.0.1都只要一跳。

4.                        断开连接8011和RTA的链路，再从PC机上ping 100.0.0.1，并用tracert命令查看经过的网关，这时会发现100.0.0.1仍能ping通，但现在需要2跳，中途需要经过RTB。

5.                        重新连接8011和RTA之间的链路，断开8011与RTB之间的链路，再从PC机上ping 200.0.0.1，并用tracert命令查看经过的网关，这时会发现200.0.0.1仍可以ping通，但也需要2跳才能到达，中途需要经过RTA。

四、  配置关键点：

1.                        配置NAT时一定要执行命令nat enable address-group …来激活NAT地址池。

2.                        如果定义的NAT地址池和公网接口地址在同一网段，则需要在公网接口执行命令nat match-host NAT地址池名称。

3.                        创建NAT地址池时后面可以跟关键字no-pat，如果没有此关键字的话地址转换方式是地址+端口转换，如果有此关键字则为单纯的地址转换。