华为 Quidway S8500系列核心交换机多块NAT板的配置指导书V1.00.doc

1、Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 1 页, 共 31 页Quidway S8500系列核心交换机大256K路由表路由转发表灵活QinQ配置同时应用多块NAT板配置指导书Huawei-3Com Technologies Co., Ltd. 华为3Com 技术有限公司All rights reserved版权所有 侵权必究Quidway S8500 系列核心交换机大 256K 路由表路由

2、转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 2 页, 共 31 页修订记录日期 修订版本 描述 作者2002006-5-225-58-1291.00 初稿完成 S8500研发S8500研发 郭志滨03353Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 3 页,

3、 共 31 页目录1 概述 42 配置要求 5Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 4 页, 共 31 页2.1 主控板配置 52.2 接口板配置 52.3 NAT板配置 .53 配置指南 53.1 单实例NAT配置 .53.2 多实例NAT（VPNNAT）配置 .64 配置举例 74.1 组网需求 74.2 配置思路 85 配置命令 95.1 单实例NAT .95.1.1 配置步骤 9

4、5.2 多实例NAT（VPNNAT） .115.2.1 配置步骤 116 一些说明 167 相关资料 16概述Internet面临着最紧迫的问题是IP地址枯竭。针对这个问题，有两种解决方案：NAT 和Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 5 页, 共 31 页IPV6。NAT通过地址重用的方式来满足IP地址的需要，它主要是利用了这样一个事实：在一些域中（像一个公司的网络），在一段给定的时

5、间内只有很少的主机需要访问域外的网络，80左右的网络流量都局限于域内部。因此，这些域内的主机都使用私网IP地址（IANA 保留了三个网段作为私网地址：10.0.0.0/8 、172.16.0.0/12、 192.168.0.0/16)，私网地址无需全球唯一，在不同的私网内可以重复使用，当需要访问域外的网络时，它们的IP地址转换成公网IP地址。随着Internet的发展，综合了 IP技术和ATM 技术的优点而产生的 MPLS（Multiprotocol Label Switching）技术已经得到了越来越多的应用。由于采纳了面向无连接的控制和面向连接的数据转发，MPLS能从IP路由协议和控制协议

6、中得到支持，它路由功能强大、灵活，可以满足许多新应用对网络的要求。通过MPLS技术可以非常容易地实现基于IP技术的VPN业务，而且可以满足 VPN可扩展性和管理的需求；通过配置，可将单一接入点形成多种VPN，每种VPN代表不同的业务，使网络能以灵活方式传送不同类型的业务。随着IP转向MPLS继而支持MPLS VPN（三层VPN ），私网 VPN和公网之间如何互访也成为问题。通过把单实例NAT 扩展为多实例NAT 是一个自然的想法。 NAT多实例就是在普通NAT 板（单实例）上增加多实例NAT 特性，针对每一个私网实例做 NAT，是NAT应用的自然延伸。这样，多实例NAT （VPNNAT）既继承

7、了MPLS 组网灵活、VPN 安全的特点，又实现了地址重用，可以为用户节省大量资源，可谓一举多得。S8500支持在同一个主机同时配置多块NAT 板，可以实现NAT 业务的负载分担，提高S8500 NAT业务处理性能。本文对如何在同一个S8500主机上配置多块NAT板进行设置加以介绍。配置要求2.1 主控板配置无特殊要求。接口板配置标S8500所有B类标准型接口板（EX板）均支持单实例NAT；，Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康

8、机密，未经许可不得扩散版权所有，侵权必究第 6 页, 共 31 页S8500所有C类标准型MPLS VPN增强型接口板（MX板） 均既支持单实例NAT，又可支持多实例NAT。；BOM编码单板类型单板描述0231A03ALSBM1NATB0功能模块-Quidway S8500-LSBM1NATB0-NAT业务处理卡NAT 板配置 无特殊要求，而且从单实例 NAT 可以很平滑的升级为到多实例NAT。 BOM编码 单板类型 单板描述0231A03A LSBM1NATB0 功能模块-Quidway S8500-LSBM1NATB0-NAT业务处理卡配置指南本配置指导以学校学生和教师分别走 2 块 NA

9、T 板访问公网的组网为例，对单实例 NAT 和多实例 NAT 情况下的配置加以介绍。单实例 NAT 配置Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 7 页, 共 31 页概述S8500系列（8505、8508、8512）核心交换机在支持基于端口的QinQ基础上，D类单板还目前支持128K和路由转发表 基于流的QinQ 特性（Selected QinQ），可灵活根据流分类的结果选择打不打外层VL

10、AN tag、打上何种外层VLAN tag：如根据用户Vlan tag 、MAC 地址、IP协议、源地址、目的地址、优先级、或应用程序的端口号等信息实施灵活QinQ特性。借助上述流分类方法，实际实现了根据不同用户、不同业务、不同优先级等对报文进行外层VLAN tag封装，在网上进行不同承载的方案。S8500系列核心交换机的 D类标准型接口板均支持灵活QinQ功能。即将发布的 R002B002版本将支持256K两种路由表路由转发表规格，。其中128K路由表路由转发表 作为基本规格，目前销售的 GV48D所有的单板、GP48D、 GT24D、GP24D均能支持 ，其他单板不能支持。 ；，256K路

11、由表路由转发表因为需要更大的内存支持空间，所以需要使用配置时对单板类型有所要求，目前新型的MPLS VPN增强型业务接口板和L3+业务处理板可对256K路由表进行有效支持。 说明：本文涉及的128K和256K均指路由转发表规格，路由转发表与路由表是两个不同的概念，路由转发表（FIB）是在各个接口板转发芯片中指导转发数据报文时使用的，而路由表是在主控板上进行路由学习时生成的，路由转发表是路由表与其他相关表项综合而成的，是路由表的子集。配置要求主控板配置128K路由表路由转发表规格：所有主控板均能支持 128K路由表路由转发表，配置128K路由表路由转发表时，对主控板无特殊要求。256K路由表路由

12、转发表规格：所有主控板均能基本支持 256K路由表路由转发表，但为了获得更好的性能，配置256K路由表 路由转发表时，建议使用带有1G 内存的LSBM1SRP1N3型主控板，或者如下所述将其他主控板内存升级为1G容量。Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 8 页, 共 31 页a、LSBM1SRP1N3 型主控板：标准配置1G 内存。LSBM1SRP1N3 型主控板BOM编码 型号定义

13、单板描述0231A4440231A639LSBM1SRP1N3 Quidway S8500-交换路由处理板-带时钟模块含时钟模块的SRP1N交换路由处理板b、主控板内存升级：除LSBM1SRP1N3型主控板外，其他主控板内存的标准配置为512M。当系统需要配置256K路由转发表时，为了获得更好的性能，建议将主控板内存升级为1G容量。因为主控板上内存条的插座只有一个，所以只能使用LSBM1SDRAM 型1G内存条将原有512M内存条替换掉。LSBM1SDRAM 型 1G 内存条BOM编码 型号定义 模块描述0231A01B LSBM1SDRAM Quidway S8500-1G内存条无特殊要求。

14、 说明：除LSBM1SRP1N3型主控板内存为1G外，其余主控板内存均为512M，目前不提供主控板内存升级服务？，需要配置256K路由表路由转发表规格时，为了更好的性能表现，建议直接使用LSBM1SRP1N3型主控板。业务接口板配置S8500所有D类标准型接口板均支持灵活QinQ 功能（D类单板IPv6硬件ready，但不支持MPLS ），目前 支持该特性的单板列表为（其中GV48DB 1:4收敛，其余为线速板）：128K路由表路由转发表规格：所有业务 接口板均能支持128K路由表路由转发表，配置128K路由表路由转发表时，对业务板 接口板无特殊要求。256K路由表路由转发表规格：只有新型 C

15、A类MPLS VPN增强型业务接口板和L3+业务处理Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 9 页, 共 31 页板支持256K路由表路由转发表 规格，其余类型单接口板（标准型业务接口板和老型C类MPLS VPN增强型业务接口 板）均只支持128K路由表路由转发表。配置256K路由表路由转发表时，系统中所有业务接口板必须为新型CA类MPLS VPN 增强型业务接口板和或L3+业务处理板。a

16、、新型MPLS VPN增强型业务接口板具体类型：新型 MPLS VPN 增强型业务接口板型号列表型号定义单板描述LSB2FT48CA48 端口百兆以太网电接口板（CA）LSB1FP20CA20 端口百兆以太网光接口板 (CA)LSB1GP12CA12 端口千兆以太网光接口板（CA）LSB1 12 端口千兆以太网电接口板(CA)Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 10 页, 共 31 页

17、GT12CALSB1P4G8CA4 端口 OC-3c POS 光接口及 8 端口千兆光接口板(CA)LSB1F32GCA32 端口百兆以太网电接口及 4 端口千兆以太网光接口板（CA）LSBM1GT24CA0LSB1GT24Quidway S8500-24 端口千兆以太网电接口业务板（CA）24 端口千兆以太网电接口板(CA)Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 11 页, 共 31 页

18、CALSBM1GP24CA0LSB1GP24CAQuidway S8500-24 端口千兆以太网光接口业务板（CA）24 端口千兆以太网光接口板(CA)LSBM1XK1CA0LSB1XK1CAQuidway S8500-1 端口万兆以太网光接口业务板 （CA）1 端口万兆以太网光接口板 (CA)Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 12 页, 共 31 页LSBM1XP2CA0LSB1X

19、P2CAQuidway S8500-2 端口万兆以太网光接口业务板（CA）2 端口万兆以太网光接口板(CA)LSBM1XP4CA0LSB1XP4CAQuidway S8500-4 端口万兆以太网光接口业务板-1:2（CA）4 端口万兆以太网光接口板-1:2(CA)LSBM1SQuidway S8500-4 端口 OC-48c-POS 光接口业务板 （CA）4 端口 OC-48c-POS 光接口板 (CA)Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-12

20、22华为三康机密，未经许可不得扩散版权所有，侵权必究第 13 页, 共 31 页P4CA0LSB1SP4CALSBM1UP1CA0LSB1UP1CAQuidway S8500-1 端口 OC-192c-POS 光接口业务板（CA）1 端口 OC-192c-POS 光接口板（CA）0231A03ELSB1VP2CA2*10G RPR 光接口板（CA）Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 1

21、4 页, 共 31 页新型 MPLS VPN 增强型单接口板的型号编码统一以 CA0 结尾，所有该类单板均支持 256K 路由表路由转发表规格；原有 C 类 MPLS VPN 增强型单接口板型号编码以 C0 结尾，仅支持128K 路由表路由转发表规格。b、L3+业务板具体类型L3+业务板型号列表BOM编码型号定义单板描述0231A03ALSB1NATBNAT 板（B）0231A03BLSB1VPNBVPLS 板（B）所有类型的 L3+板因为采用 NP（网络处理器）进行业务处理，均可视为支持 256K 路由表路由转发表规格。cb、系统路由表路由转发表规格适用就低原则，即系统路由表路由转发表规格和

22、所有业务单板板中路由表路由转发表规格最小的相同，因此如果系统需要支持 256K 路由表路由转发表规格，则所有业务接口板都必须采用支持 256K 路由表路由转发表规格的单板类型。专用业务处理板配置128K 路由转发表规格：所有专用业务处理板均能支持 128K 路由转发表，配置 128K 路由转发表时，对专用业务处理板无特殊要求。256K 路由转发表规格：所有专用业务处理板均能支持 256K 路由转发表，配置 256K 路由转发表时，对专用业务处理板无特殊要求。Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部

23、公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 15 页, 共 31 页专用业务处理板型号列表BOM编码型号定义单板描述0231A03ALSBM1NATB0Quidway S8500-NAT 业务处理板（B）0231A03BLSBM1VPNB0Quidway S8500-VPLS 业务处理板（B）BOM编码 单板描述0231A05E Quidway S8500-LSBM1GV48DB0-48端口带POE千兆以太网电接口业务板(DB)0231A03K Quidway S8500-LSBM1GP24DB0-24端口千兆以太网光接口业务板

24、(DB)0231A03L Quidway S8500-LSBM1GP24DC0-24端口千兆以太网光接口业务板(DC)0231A02T Quidway S8500-LSBM1GT24DB0-24端口千兆以太网电接口业务板(DB)到下一跳 S8500 NAT基本配置：配置 ACL 规则（必选）配置 QACL 报文重定向动作（必选）配置 EACL 报文重定向 下一跳的动作（必选）NAT Address Pool 配置（非必选）NAT Outbound （必选） 说明：相关配置命令请参见 S8500 用户手册Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时

25、应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 16 页, 共 31 页配置项 命令 说明配置ACL规则 参考“07-QACL操作”相关章节 必选配置QACL动作 参考“07-QACL操作”相关章节 必选 配置EACL动作 参考“07-QACL操作”相关章节 必选配置地址池 参考“14-NAT&URPF&VPLS操作 ”可选配置NAT绑定 参考“14-NAT&URPF&VPLS操作 ” 必选多实例 NAT（VPNNAT）配置到下一跳的S8500 VPNNAT 基本配置：MPLS 配置（可

26、选）VPN 配置（必选）配置 ACL 规则（必选）配置 QACL 报文重定向动作（必选）配置 EACL 报文重定向 下一跳的动作（必选）NAT Address Pool 配置（非必选）NAT Outbound （必选）说明：相关配置命令请参见 S8500 用户手册配置项 命令 说明配置MPLS 参考“08-MPLS操作”相关章节 可选配置VPN 参考“08-MPLS操作”相关章节 必选配置ACL规则 参考“07-QACL操作”相关章节 必选配置QACL动作 参考“07-QACL操作”相关章节 必选 配置EACL动作 参考“07-QACL操作”相关章节 必选配置地址池 参考“14-NAT&URP

27、F&VPLS操作 ” 可选Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 17 页, 共 31 页配置项 命令 说明配置NAT绑定 参考“14-NAT&URPF&VPLS操作 ” 必选配置举例4.1 组网需求下面介绍的是在S8500上同时插入多块NAT 板进行流量负载分担的组网配置，此处以2块为例。PE S8500 作为用户侧的接入设备，同时作为NAT转换和策略路由设备，把符合不同规则的报文分别分

28、流到对端的不同设备，如下图所示：图1 NAT策略路由组网图NAT业务板所在槽位：PE的slot 6和slot 7。环境设定：假设现在学校里学生和老师的IP地址是可以区分的，比如学生是10.XX.XX.XX，而老师的是20.XX.XX.XX；现在有2块NAT板，一块给学生用，一块给老师用，学生和教师都需要做NAT ；而且规定，学生的流量走出接口 Vlan100，采用地址池1，而教师的流量走出接口Vlan101，采用地址池2，软件保证地址池1和地址池2不会相同，如下图所示。 Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书

29、V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 18 页, 共 31 页图2 报文流向示意图4.2 配置思路 报文从LPU板到NAT板不再采用 FIB重定向的办法，而是采用QACL重定向的办法，这样无论是EX板还是 MX板均可实现；配置不同的规则，使不同网段的路由（即用户为学生或教师）的报文分别被分流到不同的NAT板上； 在NAT 板上配置 EACL策略路由（采用跟QACL 同样的规则，保证前后一致）；强行指定符合规则的报文走到期望的出口上（如图3，学生从V100出，而教师从V101出），这时候要求Vlan100 和V

30、lan101对应的下一跳Nexthop1 Nextop2，而且接口要UP起来。Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 19 页, 共 31 页图3 LPU板和NAT板间的流程配置命令单实例 NAT使用的版本软件版本：Quidway S8500 Software Version V100R002B002D0 硬件版本：Quidway S8500 Product Version S8500-V

31、RP31 配置步骤I：配置ACL规则：Quidwayacl number 2000Quidway-acl-basic-2000rule permit source 10.0.0.0 0.255.255.255Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 20 页, 共 31 页Quidway-acl-basic-2000dis this#acl number 2000rule 0 permit

32、source 10.0.0.0 0.255.255.255#return Quidwayacl number 2001Quidway-acl-basic-2001rule permit source 20.0.0.0 0.255.255.255Quidway-acl-basic-2001dis this#acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255#returnII：在入口上配置QACL规则（我们假定报文从 Vlan31的Port 进入LPU板，port为e4/1/1,NAT板1 在6槽，NAT板2在7槽）Quidway-

33、Ethernet4/1/1traffic-redirect inbound ip-group 2000 slot 6 31Quidway-Ethernet4/1/1traffic-redirect inbound ip-group 2001 slot 7 31Quidway-Ethernet4/1/1dis this#interface Ethernet4/1/1port access vlan 31traffic-redirect inbound ip-group 2000 rule 0 system-index 1 slot 6 31traffic-redirect inbound ip-

34、group 2001 rule 0 system-index 1 slot 7 31#return注：命令格式为traffic-redirect inbound ip-group ACLnumber slot slotnumber（NAT板槽号）Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 21 页, 共 31 页destination VLAN ID我们对Ethernet4/1/1这个端口属于

35、那个Vlan并不关心，我们关心的是什么样的报文（ACL Rule）会被重定向到那个 NAT板上（NAT板 Slot number）的哪个Vlan（destination VLAN ID），尤其是destination VLAN ID，它直接决定了被 QACL重定向到NAT板的报文所带的VlanID destination VLAN ID， 因此，为了保证报文的正确性，我们牺牲一个Vlan（在此例中为 Vlan31），作为报文的源Vlan ，然后对此源 Vlan来的报文做EACL 动作。III：在Vlan视图下配置各自的EACL重定向动作Quidway-vlan31traffic-redirec

36、t inbound ip-group 2000 next-hop 100.100.100.100 slot 6 Quidway-vlan31traffic-redirect inbound ip-group 2001 next-hop 101.101.101.101 slot 7这2个命令配置成功后会分别在NAT板1和NAT 板2的NP的 ACL表里生成1个表项。该命令格式为：traffic-redirect inbound ip-group ACLnumber next-hop NexthopIP slot slotnumber（NAT 板槽号）其中，ACLnumber 跟接口视图下保持一致

37、；NexthopIP一定要是那个要做 NAT的出接口所对应的下一跳，而且对应的端口一定要UP，否则该命令无效。IV：分别在各自的出接口上绑定NAT （我们假定100.100.100.100 是Vlan100直连的对端IP，101.101.101.101是Vlan101直连的对端IP）Quidwayint vlan 100Quidway-Vlan-interface100 nat outbound 2000 address-group 0 slot 6Quidwayint vlan 101Quidway-Vlan-interface101 nat outbound 2001 address-gr

38、oup 1 slot 7需要注意的是NAToutbounding的规则跟EACL规则的关系要考虑清楚，什么样的报文做NAT ，什么样的报文不做 NAT，要分清楚，两处的规则可以不一样。Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 22 页, 共 31 页多实例 NAT（VPNNAT）多实例和单实例有所不同，可以有另外的配置思路，比如，设定学生和教师的网段分别为10.X.X.X和20.X.X.X，

39、并分别属于不同的VPN，这样可以通过设置QACL把不同的VPN报文重定向到不同的NAT板即可，而不需要再设置EACL。但本配置书里，为了能保持版本间的平滑升级，还是沿用上面的思路。使用的版本软件版本：Quidway S8500 Software Version V100R002B002D0 硬件版本：Quidway S8500 Product Version S8500-VRP31配置步骤I：配置VPN：Quidwayip vpn-instance vpn1Quidway-vpn-vpn1route-distinguisher 100:1Quidway-vpn-vpn1 vpn-target

40、100:1 both Quidway nat vpn limit vpn-instance vpn11 100 100000Quidway interface Vlan-interface31Quidway-Vlan-interface31 ip binding vpn-instance vpn1Quidway-Vlan-interface31 ip address 31.31.31.1 255.255.255.0II：配置MPLS（可选）：Quidway mpls lsr-id 1.1.1.1(推荐用Loopback口地址)Quidway mplsQuidway-mpls mpls ldpQ

41、uidway interface Vlan-interface100Quidway-Vlan-interface100 ip address 100.100.100.1 24Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 23 页, 共 31 页Quidway-Vlan-interface100 mplsQuidway-Vlan-interface100 mpls ldp enableQuidwa

42、y interface Vlan-interface101Quidway-Vlan-interface100 ip address 101.101.101.1 24Quidway-Vlan-interface100 mplsQuidway-Vlan-interface100 mpls ldp enableIII：配置 BGP(可选) ：Quidway-bgpgroup 100Quidway-bgpbgp 100 Quidway-bgp peer 100 connect-interface LoopBack0Quidway-bgp peer 2.2.2.2 group 100 （）Quidway

43、-bgp peer 3.3.3.3 group 100Quidway-bgp ipv4-family vpn-instance vpn1Quidway -bgp-af-vpn-instance import-route directQuidway -bgp-af-vpn-instance import-route staticQuidway-bgp ipv4-family vpnv4 Quidway -bgp-af-vpn peer 100 enableQuidway -bgp-af-vpn peer 2.2.2.2 group 100Quidway -bgp-af-vpn peer 3.3.

44、3.3 group 100IV：配置 ACL规则：Quidwayacl number 2000Quidway-acl-basic-2000rule permit source 10.0.0.0 0.255.255.255Quidway-acl-basic-2000dis this#acl number 2000rule 0 permit source 10.0.0.0 0.255.255.255#Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公开2006-05-2220056-85-1222华为

45、三康机密，未经许可不得扩散版权所有，侵权必究第 24 页, 共 31 页return Quidwayacl number 2001Quidway-acl-basic-2001rule permit source 20.0.0.0 0.255.255.255Quidway-acl-basic-2001dis this#acl number 2001rule 0 permit source 10.0.0.0 0.255.255.255#returnQuidwayacl number 3000Quidway-acl-adv-3000rule permit ip vpn-instance vpn1Qu

46、idway-acl-adv-3000dis this#acl number 3000rule 0 permit ip vpn-instance vpn1#return说明：这个ACL规则是为了NAT绑定用II：在入口上配置QACL规则（我们假定报文从 Vlan31的Port 进入LPU板，port为e4/1/1,NAT板1 在6槽，NAT板2在7槽）Quidway-Ethernet4/1/1traffic-redirect inbound ip-group 2000 slot 6 31Quidway-Ethernet4/1/1traffic-redirect inbound ip-group

47、2001 slot 7 31Quidway-Ethernet4/1/1dis this#interface Ethernet4/1/1port access vlan 31traffic-redirect inbound ip-group 2000 rule 0 system-index 1 slot 6 31traffic-redirect inbound ip-group 2001 rule 0 system-index 1 slot 7 31Quidway S8500 系列核心交换机大 256K 路由表路由转发表灵活 QinQ 同时应用多块 NAT 板配置指导书 V1.00内部公开内部公

48、开2006-05-2220056-85-1222华为三康机密，未经许可不得扩散版权所有，侵权必究第 25 页, 共 31 页#return注：命令格式为traffic-redirect inbound ip-group ACLnumber slot slotnumber（NAT板槽号）destination VLAN ID我们对Ethernet4/1/1这个端口属于那个Vlan并不关心，我们关心的是什么样的报文（ACL Rule）会被重定向到那个 NAT板上（NAT板 Slot number）的哪个Vlan（destination VLAN ID），尤其是destination VLAN ID

49、，它直接决定了被 QACL重定向到NAT板的报文所带的VlanID destination VLAN ID， 因此，为了保证报文的正确性，我们牺牲一个Vlan（在此例中为 Vlan31），作为报文的源Vlan ，然后对此源 Vlan来的报文做EACL 动作。V：分别在Vlan视图下配置各自的EACL重定向动作Quidway-vlan31traffic-redirect inbound ip-group 2000 next-hop 100.100.100.100 slot 6 Quidway-vlan31traffic-redirect inbound ip-group 2001 next-hop 101.101.101.101 slot 7这2个命令配置成功后会分别在NAT板1和NAT 板2的NP的 ACL表里生成1个表项。该命令格式为：traffic-redirect inbound ip-