双运营商出口NAT映射对外提供服务来回不路径不一致问题案例

双运营商出口对外NAT映射案例

（来回路径不一致）

一、组网环境：

核心路由器SR6604采用联通、电信双出口，为了实现出口负载均衡，通过添加联通网段静态路由，缺省路由指向电信出口。内网服务器（WEB、Mail、SSL VPN）通过联通地址实现一对一静态映射，对外提供服务。

二、问题描述：

客户反馈近期突然部分外网联通用户无法正常访问中心各服务器地址，该类外网用户存在共性：用户地址均不在路由器中的联通静态路由地址段中。而在路由器上添加该的地址段后，就可以进行正常访问。

三、问题原因：

通过排查发现，不能正常访问的用户，数据流量均通过联通线路送达路由器，但内网服务器进行回包时，在路由器上查询NAT表项，以联通外网地址为源进行转换，由于路由表中不存在该目的用户网段明细路由，只能通过电信线路送出，但电信运营商近期添加新策略后，对源地址进行检测，检测到非电信地址会进行丢弃，数据包在电信内部传输的时候被丢弃，所以会有不通的现象发生。总而言之，造成该问题的原因就是因为数据流从联通进入，电信发出，但NAT转换后的地址为联通地址，电信又将该地址的数据进行丢弃。

四、解决办法：

通过添加在SR66路由器上添加所有联通网段的路由，可以解决该问题，从而实现联通进，联通出。但实际情况联通路由地址段无法收集完全，用户又对外提供服务,无法得知源地址归属，所以该方法解决起来十分复杂且不现实。

通过PBR策略，在路由器连接服务器的接口处调用策略路由，策略路由中if-match reverse-input-interface Ethernet2/2/0（联通接口），再重定向下一跳至联通线路出口。最终实现，联通外网用户访问的流量从联通线路进入，回程报文再从联通接口送出。其它访问流量均走电信线路，通过该方案既能实现数据流向来回路径一致，又能起到双出口负载分担的目的。