交换机
园区网交换机
数据中心与云计算交换机
中小网络精简型交换机
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
小锐A系列
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
一、组网需求
1、NPE作为网络出口,通过2条电信、1条联通和1条教育网线路连接到外网,内网用户网关在核心交换机上,电信线路1带宽是400M,电信线路2带宽为100M,联通线路带宽为200M,教育网线路带宽为100M
NPE使用gi0/0接口与核心交换机互联,内网网段汇总后为192.168.0.0/16,内网教育网网段为210.25.0.0/16
3、需要实现内部私网地址用户访问两条链路时均需要进行NAT地址转换,内网教育网网段访问教育网地址时不进行NAT,访问其他地址时需要进行NAT转换;内网所有用户访问教育网地址时走教育网线路,访问其他地址时走电信线路;
二、组网拓扑
拓扑IP规划说明,从左往右:
电信线路1 IP地址为202.14.73.2/24,下一跳地址为202.14.73.1/24
电信线路2 IP地址为 202.14.74.2/24,下一跳地址为202.14.74.1/24
联通线路IP地址为119.4.4.2/24,下一跳地址为119.4.4.1/24
教育网IP地址为210.25.2.2/30,下一跳地址为210.25.2.1/30
三、配置要点
说明:本例为非快速配置设置,如设备为首次上点使用,希望使用快速配置功能快捷完成配置,请参考文档路径 常用功能配置 > 快速配置
1、首先需要确认好运营商提供的IP地址、掩码、外网网关、NAT的地址范围等信息,以及选用的内外网口。
注:接口具有内网(lan)属性或外网(wan)属性,lan口接内网,wan口接外网,lan口和wan口可以相互切换,切换后需重启。
默认NPE的接口属性如下:
NPE40:内网口默认为:G0/0,G0/3,外网口默认为G0/1,G0/2,G0/4,G0/5。
NPE50E/NPE60E:内网口默认为:G0/0,G0/2,G0/4,G0/6,外网口默认为G0/1,G0/3,G0/5,G0/7。
2、配置内网接口IP地址、接口类型、NAT内外网口、外网口的下一跳IP地址、源进源出功能、接口带宽;
3、配置到电信的默认路由及内网的回指路由
由于出口线路属于不同的运营商,建议配置地址库选路,实现电信地址走电信线路,联通地址走联通,教育网地址走教育网线路;
4、配置NAT地址转换
由于内网私网地址的转换需求与内网教育网地址段的转换需求不一样,此处需要设置两个NAT转换实例,而且两个NAT实例所引用的ACL不能存在地址包含关系,否则会造成这部分地址匹配错误,造成NAT转换错误
5、命令行配置时保存配置(WEB配置时由于每个功能配置完后就自动下发保存,因此不需要单独保存)
此场景下,由于教育网跨运营商访问电信、联通等资源时经常出现访问不了或者访问慢的情况,建议教育网不设置默认路由;
可以考虑使用应用路由功能,将P2P下载等较占带宽的应用选择从教育网线路和另一带宽利用率较低的线路组成的接口组转发,具体配置案例参考文档路径 常用功能配置 > 应用路由;
存在多条默认路由而且这些线路属于不同的运营商,建议开启地址库选路及多链路负载均衡,配置方法参见文档路径 常用功能配置 > 多链路负载均衡策略优化 > 多出口多运营商场景
如果为南方用户,电信资源占用带宽多;北方用户,联通资源占用带宽多,可以考虑使用正向DNS代理和应用路由功能均衡线路的流量。
正向DNS代理配置参见文档路径 常用功能配置 > 正向DNS代理功能
四、配置步骤
1、使用console线登陆设备(波特率为9600),或者使用网线直连设备gi0/0口,在IE中输入NPE内网口IP地址(默认为:192.168.1.1),登录到出口引擎的配置界面,默认用户名及密码均为admin;
2、配置内网接口IP地址、接口类型、NAT内外网口、外网口的下一跳IP地址;
CLI命令配置:
Ruijie(config)#int g0/0
Ruijie(config-if-GigabitEthernet 0/0)#ip address 10.10.10.1 255.255.255.252
Ruijie(config-if-GigabitEthernet 0/0)#ip nat inside
Ruijie(config-if-GigabitEthernet 0/0)#exit
Ruijie(config)#int g0/1
Ruijie(config-if-GigabitEthernet 0/1)#ip address 202.14.73.2 255.255.255.0
Ruijie(config-if-GigabitEthernet 0/1)#ip nat outside
Ruijie(config-if-GigabitEthernet 0/1)#reverse-path //如果内网有服务器需要映射,开启源进源出功能
Ruijie(config-if-GigabitEthernet 0/1)#nexthop 202.14.73.1
Ruijie(config-if-GigabitEthernet 0/1)#bandwidth 400000 //设置接口带宽为300M,为负载均衡策略给出负载转发判断依据
Ruijie(config-if-GigabitEthernet 0/1)#exit
设备所有接口默认使用电口,如果需要将某个接口转换为光口,需要进入接口配置模式,配置如下命令:
Ruijie(config-if-GigabitEthernet 0/1)#media-type basex auto
Ruijie(config)#int g0/2
Ruijie(config-if-GigabitEthernet 0/3)#ip address 202.14.74.2 255.255.255.0
Ruijie(config-if-GigabitEthernet 0/3)#ip nat outside
Ruijie(config-if-GigabitEthernet 0/3)#reverse-path //如果内网有服务器需要映射,开启源进源出功能
Ruijie(config-if-GigabitEthernet 0/3)#nexthop 202.14.74.1
Ruijie(config-if-GigabitEthernet 0/3)#bandwidth 100000 //设置接口带宽为100M,为负载均衡策略给出负载转发判断依据
Ruijie(config-if-GigabitEthernet 0/3)#exit
Ruijie(config)#int g0/3
Ruijie(config-if-GigabitEthernet 0/3)#ip address 119.4.4.2 255.255.255.0
Ruijie(config-if-GigabitEthernet 0/3)#ip nat outside
Ruijie(config-if-GigabitEthernet 0/3)#reverse-path //如果内网有服务器需要映射,开启源进源出功能
Ruijie(config-if-GigabitEthernet 0/3)#nexthop 119.4.4.1
Ruijie(config-if-GigabitEthernet 0/3)#bandwidth 200000 //设置接口带宽为100M,为负载均衡策略给出负载转发判断依据
Ruijie(config-if-GigabitEthernet 0/3)#exit
Ruijie(config)#int g0/5
Ruijie(config-if-GigabitEthernet 0/3)#ip address 210.25.2.2 255.255.255.252
Ruijie(config-if-GigabitEthernet 0/3)#ip nat outside
Ruijie(config-if-GigabitEthernet 0/3)#reverse-path //如果内网有服务器需要映射,开启源进源出功能
Ruijie(config-if-GigabitEthernet 0/3)#nexthop 210.25.2.1
Ruijie(config-if-GigabitEthernet 0/3)#bandwidth 100000 //设置接口带宽为100M,为负载均衡策略给出负载转发判断依据
Ruijie(config-if-GigabitEthernet 0/3)#exit
WEB配置:
进入菜单 接口配置>接口基本配置 绿色代表已经接好线的接口,选中要配置的接口,按实际需求配置上IP、掩码、选择光口或者是电口:
内网口配置:
开启NAT配置:内网接口勾选后,相当于命令行下下发ip nat inside命令
外网口配置:
给gi0/1配置上相应的IP、掩码、下一跳地址
选项说明:
下一跳地址:即该线路所接的对端设备IP,本例命令行下在接口将下发nexthop 202.14.73.1命令;
光电转换:指明该接口的链路类型,可以选择光口或者电口;
上下行带宽:在接口下发bandwidth 400000命令,用于多链路负载均衡策略功能判断接口负载情况及流控带宽设置;接口下行带宽改变的是接口bandwidth、流控的inbound下行总带宽,而上行带宽改变的是流控的outbound上行总带宽;
网络服务商:在有多条不同运营商的外网链路时使用,调用设备内置的不同运营商的地址库(相当于下发到对应运营商的明细路由,省去工程师自己写一大堆静态路由的麻烦工作),当不需要调用地址库时,网络服务商选择“其他”;
开启缺省路由:勾选后开启从该链路出的默认路由;
开启源进源出:勾选后,使得从该链路进入的数据,回应报文时不查路由表,还是从该链路转发出去,保证来回路径一致,在外网多链路且内网有服务器需要提供给外网访问时使用。
Gi0/2、Gi0/3、Gi0/5配置方法相同,注意网络服务器一项要选择正确的运营商地址类型,Gi0/5为教育网线路,不勾选开启缺省路由
3、配置默认路由、地址库选路及内网的回指路由:
CLI下命令配置:
Ruijie(config)#route-auto-choose cnii g0/1 202.14.73.1 //g0/1为电信线路,启用电信地址库
Ruijie(config)#route-auto-choose cnc g0/3 210.25.2.1 //g0/3为教育网线路,启用教育网地址库
Ruijie(config)#ip route 0.0.0.0 0.0.0.0 g0/1 202.14.73.1 //默认路由
Ruijie(config)#ip route 192.168.0.0 255.255.0.0 g0/0 10.10.10.2 //到内网私网网段的回指路由
Ruijie(config)#ip route 210.25.0.0 255.255.0.0 g0/0 10.10.10.2 //到内网教育网网段的回指路由
WEB配置(地址库选路的配置已在上图中体现,此处不再贴图):
①进入菜单 网络配置>路由/负载>普通路由
可以看到,步骤2接口配置完成后,已经下发了3条默认路由,只需要再添加回指路由即可;
②添加回指路由:
4、配置NAT地址转换:
CLI配置:
Ruijie(config)#access-list 101 permit ip 192.168.0.0 0.0.255.255 any //新建ACL 101,设置需要进行转换的内网私网IP地址
Ruijie(config)#access-list 102 permit ip 210.25.0.0 0.0.255.255 any //新建ACL 102,设置需要进行转换的内网教育网IP地址。注意由于NAT转换时匹配中第一个ACL后就不会再匹配其他ACL,因此ACL 101和ACL 102的地址不能存在包含关系
Ruijie(config)#ip nat pool nat_pool prefix-length 24 //建立NAT地址池,作为内网私网地址段转换的地址池,名称为nat_pool
Ruijie(config-ipnat-pool)#address 202.14.73.3 202.14.73.6 match int g0/1 // 当路由选路出口为g0/1,将源地址转换为202.14.73.3~202.14.73.6之间的某个地址
Ruijie(config-ipnat-pool)#address 202.14.74.2 202.14.73.3 match int g0/2 //当路由选路出口为g0/2,将源地址转换为202.14.74.2~202.14.73.3之间的某个地址
Ruijie(config-ipnat-pool)#address 119.4.4.2 119.4.4.2 match int g0/3
Ruijie(config-ipnat-pool)#address 210.25.2.2 210.25.2.2 match int g0/5
Ruijie(config-ipnat-pool)#exit
Ruijie(config)#ip nat pool cernet_pool prefix-length 24 //建立NAT地址池,作为教育网网段转换的地址池,名称为cernet_pool
Ruijie(config-ipnat-pool)#address 202.14.73.3 202.14.73.6 match int g0/1 // 当路由选路从电信口出时,转换为电信地址;
Ruijie(config-ipnat-pool)#address 202.14.74.2 202.14.73.3 match int g0/2 // 路由出口为电信线路2时的源地址转换设置
Ruijie(config-ipnat-pool)#address 119.4.4.2 119.4.4.2 match int g0/3 // 路由出口为联通线路时的源地址转换设置,由于此地址池中没有包含选路从教育网出的转换条目,因此内网教育网网段访问外网教育网IP时,不会进行NAT转换
Ruijie(config-ipnat-pool)#exit
Ruijie(config)#ip nat inside source list 101 pool nat_pool overload //应用地址池
Ruijie(config)#ip nat inside source list 102 pool cernet_pool overload //应用地址池
WEB配置:
①进入菜单 流控/行为/安全 > 防攻击/ACL > ACL访问列表,选择“新建ACL访问控制列表”:
单击“保存设置”后可以看到如下ACL信息:
说明:当需要往一个ACL中添加多个条目时,可以多次选择“新建ACL访问控制列表”,在条件设置中,将每次添加的ACL序号写成一致,代表这些都是一个ACL里面的控制规则。
ACL 102的配置方法相同;
② 进入菜单 网络配置>NAT 配置 > 添加NAT地址池:
cernet_pool的添加方法相同,但不需要勾选Gi0/5接口进行配置;
③应用NAT地址池:
选择“NAT转换规则”,选中需要关联的ACL和地址池,单击“添加设置”,即可在“NAT转换规则列表”中看到新增的转换规则:
5、命令行配置时保存配置(WEB配置时由于每个功能配置完后就自动下发保存,因此不需要单独保存)
CLI下命令配置完后,必须要保存配置,否则重启后配置会恢复到最近一次保存的配置中:
Ruijie#write
Building configuration...
[OK]
Ruijie#
五、配置验证
1、在内网电脑上打开百度,看下是否可以正常打开。如果可以正常打开,说明可以正常上网了。
2、可以在NPE上使用命令:sh ip fpm fl | in 内网_ip 来查看NPE的转换表项:
如:
sh ip fpm fl | in 192.168.1.100
Pro SrcAddr DstAddr SrcPort DstPort Vrf SendBytes RecvBytes State
TCP 192.168.1.100 (202.14.73.3) 58.61.39.131 1168 80 0 152 323 TCP_ESTABLISHED
上述表项代表源地址192.168.1.100访问外网58.61.39.131的80端口时,地址转换成202.14.73.3了;
查看内网教育网地址的转换表项时,如果访问的目的地址为教育网地址,则源地址不会进行转换,源地址后不会带括号跟转换后的地址;
如果发现内网部分电脑上不了网,检查发现这部分用户转换成同一个外网IP,而且RecvBytes为0,需要检查是否地址池地址配置错误,或者运营商未更新这些与接口地址不一样的地址池地址,如果是后者,可以使用全局配置命令 ip nat keepalive 30,每隔30S主动发送一次所有已经在地址池或者映射中使用的地址的免费ARP给运营商让其进行ARP更新。