现场遇到M9000等Comware V7安全产品NAT不生效问题,可通过以下方法做基本排查。
无
如果出现设备上的NAT配置不生效,请按照下面顺序进行排查定位。
第一步:在设备上查看NAT配置是否配置正确。注意携带的vpn-instance参数的 acl和nat配置是否都同时携带。
第二步:在probe 视图下通过下面命令查看是NAT配置是否在Blade板卡的内核态下发成功。
display system internal nat chassis 1 slot 4 cpu 1
chassis chassis-number slot slot-number:显示指定单板的内核的NAT配置信息,chassis-number表示设备在IRF中的成员编号slot-number表示单板所在的槽位号。
cpu cpu-number:显示指定CPU上的内核的NAT配置信息
如下NAT 配置,对应的 Blade内核态的配置信息,
[M9010-probe]dis current-configuration interface GigabitEthernet 1/5/0/19
#
interface GigabitEthernet1/5/0/19
port link-mode route
combo enable copper
ip address 2.1.1.1 255.255.255.0
nat outbound 2000 address-group 1
#
return
[M9010-probe]dis nat a
[M9010-probe]dis nat all
[M9010-probe]dis nat address-group 1
Address group 1:
Port range: 1-65535
Address information:
Start address End address
10.0.1.1 10.0.1.10
Blade 侧内核态信息:
[M9010-probe]dis system internal nat chassis 1 slot 4 cpu 1
NAT address group information:
Totally 1 NAT address groups.
Address group 1:
Port range: 1-65535
Address information:
Start address End address
10.0.1.1 10.0.1.10
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/5/0/19
ACL: 2000 Address group: 1 Port-preserved: N
NO-PAT: N Reversible: N
如果内核态查不到对应的地址池信息,或者是接口的NAT 配置。然后开启
debugging nat config all
收集相关的信息。
debug ip packet acl
debug ip info acl
可以看本地是否转发和丢包。有固定故障的时候可以快速定位。
无
无
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作