H3C华三路由器nat避免生成null 0路由并解决nat需求

已于 2023-09-20 15:38:50 修改
阅读量4.3k 收藏 9
点赞数
分类专栏: 华三nat故障实践 华三h3c配置nat映射 文章标签: 网络 运维 服务器 h3c
于 2021-12-12 16:25:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/henu_lxz/article/details/121801503
版权

拓扑如下:(不看问题可以直接跳转至解决方案及结论部分)

问题描述:

商户client通过双线接入分支机构网络中,R1、R2写静态一对一 outbound nat对商户server IP进行映射(outbound nat映射会产生一条null 0路由,并且null 0路由会通过R1,R2重分发进入ospf进程),sw1上会形成商户server IP(此案例中指在R1R2上映射后IP)的ospf负载路由,在生产环境中商户发起访问内网ssh服务时,会有约50%流量被阻断,反之亦然(ping测试也是中断现象),模拟器的现象是全部中断(ping测试和ssh服务),经过抓包分析发现:商户发起的TCP链接的第一个syn可以顺利到达ssh内网服务,内网服务响应syn并回复syn ack,数据包发送至SW1有几率负载路由(对于交换机来说转发至商户需要依赖这条重分发的null 0路由)转发至R2,R2没有nat session并且也不会由此tcp syn ack数据流建立新的session,R2选择drop数据包阻断流量。如果数据包在SW1上选择负载的ospf路由的下一跳是R1便不会有这个问题,数据也能正常转发和访问。

【最终解决方案】

修改R1的nat 为:inbound nat,阻止null 0路由的生成。除了商户server 3的IP地址路由之外,商户的映射后地址也要加路由,为了能让SW1通过ospf路由正常访问商户,同时跟进华三官网的介绍,针对商户入向流量端口开启nat功能。

R1
nat static inbound 2.2.2.2 188.8.190.64   #修改nat为inbound nat
ip route-static 2.2.2.2 32 172.16.10.2 track 6 tag 10
#
interface GigabitEthernet0/0   #在下联商户接口生效nat
 ip address 172.16.10.1 255.255.255.0
 nat static enable
#    

R2
nat static inbound 2.2.2.2 188.8.190.64
ip route-static 188.8.190.64 32 172.16.20.2 track 6 tag 20
#
interface GigabitEthernet0/0
 port link-mode route
 combo enable copper
 ip address 172.16.20.1 255.255.255.0
 nat static enable
#

【验证】

商户server3验证:
<Server3_Clinet>ping 188.8.3.2
Ping 188.8.3.2 (188.8.3.2): 56 data bytes, press CTRL+C to break
56 bytes from 188.8.3.2: icmp_seq=0 ttl=252 time=4.000 ms
56 bytes from 188.8.3.2: icmp_seq=1 ttl=252 time=5.000 ms
56 bytes from 188.8.3.2: icmp_seq=2 ttl=252 time=2.000 ms
56 bytes from 188.8.3.2: icmp_seq=3 ttl=252 time=3.000 ms
56 bytes from 188.8.3.2: icmp_seq=4 ttl=252 time=3.000 ms
--- Ping statistics for 188.8.3.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg
最低0.47元/天 解锁文章
多想普度众生
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H3C_综合配置之NAT及端口映射基础案例
04-20
本文将深入解析H3C网络设备(如交换机、路由器)在V7版本下的NAT和端口映射基础配置,适用于初入行的网络工程师学习参考。 在HCL3.0.1模拟环境下,我们设定一个典型的网络架构:内网A有一台SERVER(模拟路由器),...
华三路由器双出口,链路故障切换
YT9264826的博客
07-24 1849
路由器双出口,链路故障自动切换
关于路由器双向地址转换问题的分析(适用于各厂家设备)
weixin_44528173的博客
06-18 2245
#需求描述: 内网终端想通过访问本地公网出口地址访问内部服务器业务(适用于员工在不同网络环境下,使用统一的域名或IP访问内网服务器场景)。 #网络拓扑: 通过软件抓包分析可以看出,外网通过访问本地公网地址113.87.189.1,已经可以与内部服务器192.168.1.1建立TCP连接,证明本地服务已经正常映射到公网。 与此同时,内部电脑通过访问本地公网113.87.189.1则显示端口不可达,初步怀疑Nat Server映射对于数据包的来源具有方向性限制 ;这样,是不是只要在路由器的内部1
一文告诉你什么是NAT,为什么需要NAT
最新发布
qq_50927871的博客
06-04 1699
IPv4地址短缺,互联网用户增多。• 缓解IPv4地址短缺。• 外网无法获悉内网地址,保证内网安全性。
H3C防火墙NAT类型及处理顺序
phoenixbleed的博客
04-19 1万+
H3C防火墙NAT处理顺序 本文主要适用于H3C V7版本防火墙,介绍了NAT的基本类型和执行顺序。相关内容很多援引H3C官方产品文档,NAT类型及相关说明以官方文档为准。 1 NAT类型及配置说明 H3C V7产品支持的NAT按照组网方式可分为以下几种: (1) 传统NAT 报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出...
华三配置nat推荐
henu_lxz的博客
07-13 1万+
华三设备nat常用的配置方法
H3C配置NAT实验
NeverGUM的博客
02-22 1万+
一:搭建实验环境,依照拓补图将所有接口配置如图所示的IP地址,并且在私网出口RTA路由器上配置一条静态路由,指向公网路由器RTB。 二:实验拓补 三:配置完毕后在PC上面ping外网服务器的地址198.76.29.4,并不通 四:配置BasicNAT的过程 RTA <H3C>system-view [H3C]undo info-center en Informa...
华三h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
h3c 华三路由器 RC3000 编程器备份固件
10-07
h3c 华三路由器 RC3000 编程器备份固件 使用编程器备份出来的固件。直接写入就用使用。 W25N01GW
H3C路由器经常掉线的原因及解决方法
10-02
以下我们将深入探讨可能导致H3C路由器频繁掉线的原因,并提供相应的解决方法。 首先,广域网(WAN)连接问题可能是路由器掉线的常见原因之一。如果WAN是通过路由器和交换机连接,应确保每台电脑的IP地址设置正确,...
H3C路由器无法打开网页怎么办?如何解决
10-01
故障原因是内网端口的DNS服务代理默认没有开启导致,内网向路由器发解析请求不能立即得到路由器内网端口回应,所有域名解析要通过外网端口找到公网的DNS来解析,导致DNS解析响应很慢
华三包过2024年/华三H3C/云计算GB0-713
05-19
华三H3C云计算GB0-713:通往2024年的技术宝典》 在数字化转型的大潮中,云计算已成为企业创新与发展的关键驱动力。华三H3C)作为国内领先的ICT解决方案提供商,其云计算产品线在行业中独树一帜。特别是针对...
NAT简介与配置
m0_71224020的博客
05-02 1074
RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。之后,RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并转发报文到公网。本示例中,当内部主机A和主机B需要与公网中的目的主机通信时,网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后,其他主机才能使用它来访问公网。
动态路由 华三nat 静态路由_最新[史上最详细]H3C路由器NAT典型配置案例资料
weixin_39639550的博客
12-20 584
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。1.11NAT典型配置举例1.11.1内网用户通过NAT地址访问外网(静态地址转换)1.组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。2.组网图图1-5静态地址转换典型配置组网图3.配置步骤#按照组网图配置各接口的IP地址,具体配置过程略。#配置内网IP地址10.11...
H3C_ISIS的基础配置案例(L1/L2路由邻接,路由渗透,修改cost,接口及区域验证)
zsisle的博客
09-04 1294
IS-IS(Intermediate System-to-Intermediate System,中间系统到中间系统)路由协议最初是ISO(国际标准化组织)为CLNP(Connection Less Network Protocol,无连接网络协议)设计的一种动态路由协议,也是一种基于链路状态并使用最短路径优先算法(SPF)进行路由计算的一种IGP协议。
H3C | 如何利用NAT技术隐藏GRE报文中的源地址信息
qq_43416206的博客
05-12 113
注:如无特别说明,描述中的 FW1 或 MSR1 对应拓扑中设备名称末尾数字为 1 的设备,FW2 或 MSR2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地址的主机位为其设备编号,如 FW1 的 g0/0 接口若在 192.168.1.0/24 网段,则其 IP 地址为 192.168.1.1/24,以此类推。由于GRE报文为明文封装,在网络中传输容易被监听导致信息泄漏。基于此,本案例提供一种方案,使用NAT技术隐藏客户端源地址。注意事项:需要注意添加对应的静态路由
华三 h3c NAT配置
热门推荐
m0_49686750的博客
12-23 2万+
基本的端口什么的就不做阐述了,这里我在R1上做了默认路由,方便与外网互通,在没有配置地址转换之前,PCA、C是不能互通的。 重要的配置如下: [R1-acl-ipv4-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255---定义允许地址转换的私网地址范围 一:Basic Nat转换(一对一转换) [R1]nat address-group 1---地址转换池1 [R1-address-group-1]address 100.1.1....
h3c交换机配置nat_H3C NAT配置实例
weixin_30969479的博客
12-31 9547
H3C NAT配置:1、 配置静态地址转换:一对一静态地址转换:[system] nat static ip-addr1 ip-addr2静态网段地址转换: [system] nat static net-to-net inside-start-address inside-end-address global global-address mask应用到接口: [inte...
h3c交换机配置nat_H3C-NAT 命令配置
weixin_31833307的博客
12-31 6000
配置地址池 :&ltH3C&gtsystem-view[H3C]nat address-group group-number start-add end-add配置一对一静态地址转换1.&ltH3C&gtsystem-view[H3C]nat static local-ip(本地IP) global-ip(通用IP)[H3C]interface (端口号)[H3C-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值