Print

MSR3620静态nat outbound来回路径不一致导致不通问题经验案例

18小时前 发表

组网及说明

                                                                    


RT1RT2为两台出口路由器,对内网4.4.4.4访问外网的报文做nat static outbound,源地址转为100.1.1.1


问题描述

现网测试时4.4.4.4 ping 1.1.1.1不通。Debug nat packet发现仅RT2有出向nat过程,RT1RT2均无入向nat过程。

<RT2>debug nat packet

*Apr 28 15:39:14:850 2022 H3C NAT/7/COMMON:

 PACKET: (GigabitEthernet0/1-out-config) Protocol: ICMP

         4.4.4.4:  222 -         1.1.1.1: 2048(VPN:    0) ------>

       100.1.1.1:  222 -         1.1.1.1: 2048(VPN:    0)


过程分析

检查现网路由,从1.1.1.1返回100.1.1.1路由指向RT1。经确认,回程icmp echo reply报文不会触发nat static,流量到RT1后走到nat流程,既没有做nat,也没有做转发,而是丢弃了。

与上述类似的,还有:

1.  RT1配置nat server global 100.1.1.1 inside 4.4.4.4,回程icmp echo reply不能触发nat server

2.  4.4.4.4 telnet 1.1.1.1,回程的syn ack不会触发nat static outboundnat server


解决方法

调整路由,保证来回路径一致。

对于案例中的局点,1.1.1.1设备学习100.1.1.1路由是通过BGPRT1RT2BGP中引入直连(nat static配置生成直连路由)。考虑到需要来回路径一致,且保证RT1RT2内网线路故障时路由同步切换,最终调整方案为RT1RT2track检测内网线路,track联动EAA调整BGP路由引入配置。