问题描述:
interface GigabitEthernet2/0/2
port link-mode route
description Multiple_Line2
combo enable copper
ip address 222.71.1.43 255.255.255.248
tcp mss 1280
nat outbound address-group 45
nat outbound 3045 address-group 45
nat outbound 3044 address-group 44
nat outbound 3000 address-group 1
nat outbound 2000
ipsec apply policy IPSECVPN_ZB
acl basic 2000
rule 0 permit
rule 5 permit source 10.0.0.0 0.255.255.255
#
acl advanced 3000
rule 5 permit ip source 10.245.183.34 0
rule 10 deny ip source 10.10.228.78 0 destination 10.245.191.0 0.0.0.255
rule 15 deny ip source 10.10.228.78 0 destination 10.245.192.0 0.0.0.255
rule 20 deny ip source 10.10.228.78 0 destination 10.245.193.0 0.0.0.255
rule 25 deny ip source 10.10.228.78 0 destination 10.245.194.0 0.0.0.255
rule 30 deny ip source 10.100.249.24 0 destination 10.245.191.0 0.0.0.255
rule 35 deny ip source 10.100.249.24 0 destination 10.245.192.0 0.0.0.255
rule 40 deny ip source 10.100.249.24 0 destination 10.245.193.0 0.0.0.255
rule 45 deny ip source 10.100.249.24 0 destination 10.245.194.0 0.0.0.255
rule 50 deny ip source 10.251.110.183 0 destination 10.245.191.0 0.0.0.255
rule 55 deny ip source 10.251.110.183 0 destination 10.245.192.0 0.0.0.255
rule 60 deny ip source 10.251.110.183 0 destination 10.245.193.0 0.0.0.255
rule 65 deny ip source 10.251.110.183 0 destination 10.245.194.0 0.0.0.255
#
acl advanced 3044
rule 5 permit ip source 10.245.182.145 0
#
acl advanced 3045
rule 5 permit ip source 10.245.182.158 0
rule 10 permit ip source 10.245.182.31 0
#
nat address-group 1
address 222.71.1.43 222.71.1.43
#
nat address-group 44
address 222.71.1.44 222.71.1.44
#
nat address-group 45
address 222.71.1.45 222.71.1.45
需求:当前接口是固定公网地址,多个公网地址,配置了地址池,使得10.10.228.78、10.100.249.24、10.251.110.183访问10.245.191.0/24、10.245.192.0/24、10.245.193.0/24、10.245.194.0/24拒绝进行NAT转换,流量通过222.71.1.43出去,能满足吗
你的需求可以通过当前配置的逻辑来实现,但现有的 ACL 写法存在一些细节问题。关键在于,H3C 设备在处理出方向报文时,NAT 的优先级高于 IPsec。
核心原理:NAT 与 IPsec 的处理顺序
正因为 NAT 优先级高于 IPsec,所以必须在 NAT 的 ACL 中用 deny 规则明确排除 IPsec 的“感兴趣流”。这样,被拒绝的流量就不会被 NAT 转换,而是直接进入 IPsec 流程。
你的现有配置评估
你的接口配置通过 nat outbound 3000 实现了以下关键逻辑:
IPsec 流量(不做NAT):通过 ACL 3000 中的多条
deny规则,明确拒绝了特定源访问目标网段的流量。普通上网流量(做NAT):通过
rule 5 permit ip source 10.0.0.0 0.255.255.255允许了其他内网流量进行 NAT 转换。
这个逻辑是正确的,但存在以下两个具体问题:
规则遗漏:ACL 3000 中
deny规则匹配的源地址缺少10.10.228.78和10.251.110.183。这意味着这些源发往四个目的网段的流量会被后续的permit规则命中,从而被错误地进行了 NAT 转换。地址组 (address-group) 使用混乱:接口上多条
nat outbound的优先级由 ACL 编号决定(数值越大越优先)。目前编号最高的 ACL3045优先处理10.245.182.158和10.245.182.31的流量,使用地址组45(即公网 IP222.71.1.45),这与你想让这些流量使用222.71.1.43直接通信的预期不符。
配置优化建议
为了解决上述问题,建议做如下调整:
方法一:优化 ACL 3000(推荐)
补充 deny 规则:将所有需要免除 NAT 的源地址和目的地址的“组合”都明确写入 ACL 3000。
rule 5 permit 仅用于 匹配上网流量。请注意,deny 规则只用来豁免 NAT,IPsec 的“感兴趣流”仍需在 IPsec 策略中单独定义。IPsec 封装后的报文会直接路由,不会再匹配 NAT。方法二:使用 ipsec no-nat-process(一键式备选)
如果你的配置逻辑很复杂,可以尝试这个更直接的办法。在接口 GigabitEthernet2/0/2 视图下,增加 ipsec no-nat-process enable 命令,并保留原来的配置。该命令能让系统自动绕过 IPsec 保护流量的 NAT 处理,适用于策略繁杂、难以用 ACL 精准区分流量的场景。
配置验证与调试
调整配置后,建议执行以下验证步骤:
检查 NAT 会话表:从被
deny的源 IP 主动 ping 对端子网,执行display nat session观察会话表。若正常,应 看不到 对应的 NAT 条目。检查 IPsec SA 状态:执行
display ipsec sa,确认特定流量的 IPsec 安全联盟已成功建立。抓包确认:在出接口
GigabitEthernet2/0/2上抓包,确认匹配的流量是否经过 ESP 封装。检查地址组优先级(关键):调整后,务必检查 3045、3044 等地址组的必要性。如果你的最终目标就是让特定流量通过
222.71.1.43直接通信,且这些流量不走 IPsec,那么3045等策略可能是不必要的。你需要理清多公网 IP 的使用场景,避免 NAT 策略互相干扰。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论