MSR3620-XS接口下调用多个nat策略,转换后地址和规则中的地址不匹配
- 0关注
- 1收藏,1264浏览
问题描述:
MSR3620-XS在一个接口下调用了多个nat策略,客户实际使用过程中,发现偶尔有实际转换后源地址和nat策略中转换后地址不匹配的情况出现,有大佬遇到过这种问题吗?
组网及组网描述:
- 2021-11-22提问
- 举报
-
(0)
最佳答案
多个匹配的顺序是从上到下,如果和预期都不一致,你看下是不是匹配到了别的策略
- 2021-11-22回答
- 评论(4)
- 举报
-
(0)
我在hcl中模拟了环境,发现一个问题,就是当我用主机A去ping主机C的时候,抓换正常,但是我断开ping,然后用主机A去ping主机D的时候,还延续了上次的那个nat session,只有重新清除才可以。但是当我清除了nat session后,再次用主机A去ping主机C的时候,依旧延续的是ping主机D的那个转换地址。
您说的我明白,接口下只调用了几个nat策略,没有全局下的nat策略,按道理不会出现这种与策略不匹配的情况出现,奇怪的是每次问题出现的时候,将nat session 给清掉,就好了
已经升级到官网最新版本了
我在hcl中模拟了环境,发现一个问题,就是当我用主机A去ping主机C的时候,抓换正常,但是我断开ping,然后用主机A去ping主机D的时候,还延续了上次的那个nat session,只有重新清除才可以。但是当我清除了nat session后,再次用主机A去ping主机C的时候,依旧延续的是ping主机D的那个转换地址。
acl编号越大越优,所以你先命中了3002的没匹配到再命中3001转换成10.0.0.2
- 2021-11-22回答
- 评论(3)
- 举报
-
(0)
您没明白我的意思,我下面的会话截图,172.16.1.2是acl 3001,对应的应该是10.0.0.2,172.16.1.1对应的是acl 3000,对应的address-group是10.0.0.1,我先ping的172.16.1.2,nat 转换的地址是对的(10.0.0.2),当我取消ping,重新ping172.16.1.1的时候,还是转换成了10.0.0.2,当我取消ping的间隔60秒后,在重新平,这个时候转换后的地址就变成了10.0.0.1了,我感觉像是跟session aging-time state ICMP-REQUEST 有关系
可是我acl 3002对应的是nat address-group 3(10.0.0.3),nat session中的global地址也对不上啊
您没明白我的意思,我下面的会话截图,172.16.1.2是acl 3001,对应的应该是10.0.0.2,172.16.1.1对应的是acl 3000,对应的address-group是10.0.0.1,我先ping的172.16.1.2,nat 转换的地址是对的(10.0.0.2),当我取消ping,重新ping172.16.1.1的时候,还是转换成了10.0.0.2,当我取消ping的间隔60秒后,在重新平,这个时候转换后的地址就变成了10.0.0.1了,我感觉像是跟session aging-time state ICMP-REQUEST 有关系
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明