某客户出口用L5000-S作链路负载功能,但是出口共用一个物理接口,因为有绿盟的设备不能携带VLAN标签,L5000-S出接口在一个大二层的环境下。业务割接上线后出现部分网站访问不通的情况
页面无法打开,提示404错误
查看L5000-S的公网接口配置,如下所示
interface Ten-GigabitEthernet1/0/25
port link-mode route
ip address 218.246.84.XXX 255.255.255.252
ip address 61.50.213.XXX 255.255.255.248 sub
ip address 111.207.8.XXX 255.255.255.192 sub
ip address 218.205.137.XXX 255.255.255.252 sub
ip address 223.72.195.XXX 255.255.255.252 sub
ip last-hop hold
nat outbound
公网口使用sub地址和运营商进行通信,但是easy ip方式的nat仅对主地址生效,意味着从A运营商出去的报文会携带B运营商的地址池,导致业务不通
针对以上情况,需要针对不同的逻辑链路做不同的nat outbound,但是目前我司设备不支持这项功能,如果采用acl+nat outbound的方式的话,acl配置无法估计。
于是决定使用链路负载均衡中的snat功能替代接口上的nat outbound
修改配置如下
1、取消公网口的nat outbound的配置
2、增加公网的snat地址池
loadbalance snat-pool snat_1
ip range start 61.50.213.XXX end 61.50.213.XXX
#
loadbalance snat-pool snat_2
ip range start 218.246.84.XXX end 218.246.84.XXX
#
loadbalance snat-pool snat_3
ip range start 218.205.137.XXX end 218.205.137.XXX
#
loadbalance snat-pool snat_4
ip range start 223.72.195.XXX end 223.72.195.XXX
#
loadbalance snat-pool snat_5
ip range start 111.207.8.XXX end 111.207.8.XXX
3、在链路负载均衡中的链路组里面配置snat功能
loadbalance link-group cmcc_1
transparent enable
snat-pool snat_3
probe outbound-nqa
#
loadbalance link-group cmcc_2
transparent enable
snat-pool snat_4
probe outbound-nqa
#
loadbalance link-group shouxin
transparent enable
snat-pool snat_2
probe outbound-nqa
#
loadbalance link-group unicom_1
transparent enable
snat-pool snat_1
probe outbound-nqa
#
loadbalance link-group unicom_2
transparent enable
snat-pool snat_5
probe outbound-nqa
一般链路负载均衡不用nat功能,但是对于特殊局点的特殊需求是可以依据需求使用的
注意链路组里面的transparent enable这个配置是针对dnat而言的,意思为关闭dnat功能与配置的snat不冲突
注意nat outbound和snat不要混合使用
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作