场景:比如电信作为默认出口的情况下,内部服务器却使用移动网络做为DNAT为外部提供服务。如果此时不做源进源出的话,则会造成外部客户端访问内部服务器的时候,通过移动的地址访问服务器,但是又通过电信的地址进行回包,最终导致报文的源目IP不一致导致报文被丢弃。由于NE路由器本身不支持源进源出功能,需要使用重定向的方法实现该功能。
实现方法:配置MQC,抓取相应的源进源出的服务器在内部下联接口做inbound方向的重定向,重定向到相应的运营商的出口下一跳中。并且在出口的NAT实例中也配置重定向,此时的重定向为outbound方向。
配置示例:
#MQC配置
acl number 3000
rule 10 permit ip source x.x.x.x 0
traffic classifier YuanJinYuanChu_ChinaMobile operator or
if-match acl 3000
traffic behavior YuanJinYuanChu_ChinaMobile
redirect ip-nexthop x.x.x.x (这里是所对应运营商的下一跳地址)
traffic policy YuanJinYuanChu_ChinaMobile
classifier YuanJinYuanChu_ChinaMobile behavior YuanJinYuanChu_ChinaMobile
interface GigabitEthernet0/x/x
traffic-policy YuanJinYuanChu_ChinaMobile inbound(将MQC重定向配置在内网接口上)
#NAT配置
nat instance SNAT_Server_ChinaMobile id 1
nat address-group 3 group-id 3 x.x.x.x x.x.x.x(内部设备SNAT时候的地址池)
nat server global x.x.x.x inside x.x.x.x(NAT SERVER的DNAT)
redirect ip-nexthop x.x.x.x outbound(源进源出的NAT重定向)