网关产品线 >> NPE(除了NPE50-20) >> 路由/NAT >> 常见咨询 >>

1、如何调用接口的地址库?

1)web方式:系统高级选项 > 接口配置 > 接口基本设置

 

设备内置了各运营商的地址库,可以根据线路实际所属的运营商,选择线路类型,选择后,相当于下发往该运营商的静态路由,出接口为所选择的接口,下一跳为该线路的网关。

2)命令行方式:route-auto-choose cnii GigabitEthernet 0/0 x.x.x.x

命令行下配置时需要注意一定要要加出接口

 

2、默认的ref的负载均衡算法?如何修改负载均衡算法?

默认基于目的IP进行负载;

可修改为基于源IP+目的IP的负载均衡算法:Ruijie(config)#ip ref load-sharing original

可修改为仅基于源IP的负载均衡算法:Ruijie(config)#ip ref load-sharing original-only

NPE部署时,在存在负载均衡路由的情况下建议开启仅基于源IP的负载均衡算法,可保证如网银等业务正常使用,该功能配置后需要同时将多链路负载均衡的选路策略配置为带宽策略才能生效;

 

3、NPE配置1024条静态路由后无法再添加路由?

NPE产品默认限制仅能配置1024条静态路由;可通过ip static route-limit xxxx 进行调整;

备注:此与整机性能路由表无关,仅是配置上限制;

 

4、接口调用的地址库的优先级是否高于手工配置的静态路由?

route-auto-choose distance为2,小于手动添加的静态路由,所以手工配置的静态路由优先;

 

5、RPL(源进源出)的作用,如何配置

1)RPL的作用:RPL(reverse path limited)反向流限制,保证报文能够从哪个线路来还从哪个线路回,避免报文被不允许半连接的防火墙等设备过滤。 不优先查找路由表或策略路由表,保证了数据流的源进源出;

2)配置:在需要数据流源路返回的接口下配置 Ruijie(config-if)# reverse-path,在NPE部署时,一般部署在各外网口;

3)当应用 reverse-path 的接口是等价路由的出口之一时,建议等价路由的其它出口也应用 reverse-path

注意:RPL对到达设备本身的数据不生效。

 

6、配置负载均衡路由,接口bandwidth,但无法实现基于出口带宽的负载均衡效果

如果仅配置了负载均衡路由+接口bandwidth,NPE设备不会根据接口的bandwidth进行负载均衡,数据只是会随机发送;

如需要根据接口的bandwidth负载,就需要开启MLLB;

 

7、NPE在命令行配置了策略路由在WEB界面不显视

策略路由的名字必须配置成 Gi0/0等内网接口的名字。

如:

route-map Gi0/0 permit 10

 match ip address 1

 set ip next-hop 192.168.33.1

 

8、是否能将某IP全映射到不同的两个公网IP上?

不支持;

IP映射仅支持映射到某个公网IP,另外一条线路则使用端口映射;

 

9、NAT的转换规划的匹配顺序?是否能调整?

匹配顺序为至上而下匹配;

不能调整,只能是将所有的NAT转换规则no掉,在记事本里面编辑好所有的条目再黏贴配置;

 

10、permit-inside原理

端口映射仅将数据包的目的IP按端口映射规则转换为对应的私网地址;为了保证内网用户能使用公网地址来访问映射的服务器,避免来回路径不一致导致TCP三次握手不成功。所以就需要permit-inside的功能,

在进行端口映射时不仅数据包的目的IP按端口映射规则转换为对应的私网地址,同时将数据包的源IP转换为映射的公网IP。

 

11、如何让NAT pool中的连续地址发送出免费ARP

ip nat keepalive 命令开启和调整它的发送频率,如:

Ruijie(config)#ip nat keepalive 30   //设置30S发送一次地址池中地址和映射的IP地址的免费ARP报文

 

12、各种选路的优先级情况

PRL>DNS代理(仅对DNS报文有效)>策略路由>过载保护>应用路由>静态路由>地址库路由>默认路由

其中,静态路由、地址库路由、默认路由都可能会参与到MLLB选路中。

 

13、设备配置了多条端口映射,内网用户解析一个域名时,解析结果总是第一条端口映射对应的内网地址

这种情况,是由于开启了DNS ALG功能导致的,可以在全局模式下关闭:

Ruijie(config)#no ip nat translation dns

 

14、配置端口映射或IP映射,能否使用match参数

所谓的match参数,是下述命令中的match:

ip nat inside source static 1.1.1.1 2.2.2.2 match g0/0

这个参数是第一代智能DNS的遗留命令参数,为了保证设备配置的兼容性,没有将该参数删除;现有的设备在配置时,不允许添加match参数,否则可能导致映射失败;

 

15、策略路由的配置限制

NPE策略路由不支持下一跳地址与接口地址不在同一网段,即策略路由不支持路由递归。

 

16、NPE配置的地址池和接口IP不在同一个地址段是否支持?

支持,需要保证运营商有正常的路由指向NPE。

 

17、NPE 4b10版本策略路由的重要变更

在 10.3(4b10)版本之前,在策略路由调用的ACL中,如果在其中一个子图调用的ACL中deny掉某些地址段,对应的数据流将会直接跳出route-map,进行普通路由的匹配;

在10.3(4b10)版本及之后,在策略路由调用的ACL中,如果在其中一个子图调用的ACL中deny掉某些地址段,对应的数据流不会直接跳出route-map,而会跳出当前路由子图,进行下一个路由子图的匹配;

 

举例如下:

使用如下相同的配置:

Ruijie#sh ip route

Gateway of last resort is 172.18.10.1 to network 0.0.0.0

S*   0.0.0.0/0 [1/0] via 172.18.10.1, GigabitEthernet 0/1

C    10.10.10.0/24 is directly connected, GigabitEthernet 0/2

C    10.10.10.254/32 is local host.

C    20.20.20.0/24 is directly connected, GigabitEthernet 0/7

C    20.20.20.254/32 is local host.

C    172.18.10.0/24 is directly connected, GigabitEthernet 0/1

C    172.18.10.113/32 is local host.

 

Ruijie#sh ip int b

Interface                        IP-Address(Pri)      OK?       Status  

GigabitEthernet 0/0              192.168.1.1/24       YES       DOWN    

GigabitEthernet 0/1              172.18.10.113/24     YES       UP      

GigabitEthernet 0/2              10.10.10.254/24      YES       UP      

GigabitEthernet 0/3              no address           YES       DOWN    

GigabitEthernet 0/4              no address           YES       DOWN    

GigabitEthernet 0/5              no address           YES       DOWN    

GigabitEthernet 0/6              no address           YES       DOWN    

GigabitEthernet 0/7              20.20.20.254/24      YES       UP  

 

Ruijie#sh access-lists

ip access-list extended 110

 10 deny ip 10.10.10.0 0.0.0.255 any

 20 permit ip any any

 

ip access-list extended 120

 10 permit ip any any

 

Ruijie#sho route-map

route-map Gi0/2, permit, sequence 10

  Match clauses:

    ip address 110

  Set clauses:

    ip next-hop 172.18.10.1

route-map Gi0/2, permit, sequence 20

  Match clauses:

    ip address 120

  Set clauses:

    ip next-hop 20.20.20.1

 

Ruijie#sh run int g0/2

interface GigabitEthernet 0/2

 duplex auto

 speed auto

 ip nat inside

 ip policy route-map Gi0/2

 ip address 10.10.10.254 255.255.255.0

 

在内网使用主机10.10.10.1进行ping一个域名测试:

1)在4b8 p2版本:

2)在4b10 版本:

可以看到,4b8版本匹配到deny的数据后,直接按照默认路由进行匹配,而4b10版本仍会匹配序列号为20的路由子图。

 

 

18.NPE对于PBR、MLLB、REF路由处理顺序如下:

1、  数据进入到设备,按照正常的路由匹配,匹配PBR后, PBR感知REF策略,进行相应的负载。REF的负载方式如下几种:

Pbr最终选则哪个下一跳,取决于报文的源ip或目标ip:

(1)    ip ref load-sharing original  (基于源ip+目标ip来确认下一跳)

源ip和目标ip都不变的报文,只会选择固定的一个下一跳

(2)    ip ref load-sharing original-only (基于源ip来确认下一跳)

源ip不变的报文,只会选择固定的一个下一跳

(3)    默认 (基于目标ip来确认下一跳)

目标ip不变的报文,只会选择固定的一个下一跳

2、  数据若没有匹配到PBR,则进行后续的路由选路,如匹配到MLLB,MLLB根据自己的选路方式,如基于带宽、基于源负载。目前4b10之后版本,MLLB只要是ECMP等价路由就可以支持。故匹配到MLLB后就不会再匹配到REF。。

 

 

19.NPE修改PBR、NAT关联的ACL后,会进行清流操作?

会清除所有流表,保证配置的acl生效。

 

 

20.NPE的用户路由是否可以使用tracert来测试?

1.tracert数据不会走用户路由;

2.可以使用www.ip138.com网站确认用户走的那个出口,或者通过私有空间确认;

 

 

21.NPE vrrp每个group支持多少虚地址,另外,设备每个物理接口可以配置多少个vrrp group?

每个vrrp组最大可以支持16个虚地址。每个物理口可以支持6个vrrp组。Vrrp组的数量和支持的组播mac数量有关,目前最多支持7个组播mac至少要留一个组播MAC,因此最大支持6个。

 

 

22.NPE配置的地址池和接口IP不在同一个地址段是否支持?

支持,需要保证运营商有正常的路由指向NPE。