NE20配置及维护宝典V1.0

1、ne20/ne20e配置及维护宝典v1.0本文档涵盖了ne20/ne20e产品的常见问题，问题大类包括：系统管理部分、链路层部分、路由部分、vpn部分以其他（qos nat等）。本文档主要是常见问题的faq，设备操作及基本命令类介绍较少，相关的资料可以参考对应产品的操作手册 可以到下载. 更新说明更新时间更新说明2007/03/28l 初稿l目 录系统管理部分41、ne20为何只有1、2、4三个槽位支持高速接口卡？42、ne20、ne20e路由器如何用命令控制显示屏显示信息量53、为什么ne20刷新fib表项会产生超时告警54、ne20-2和ne

2、20-8使用的主控板是否相同55、ne20-2，ne20-4，ne20-8各产品的整机处理能力、吞吐量各是多少66、ne20的哪些槽位是高速槽哪些是低端槽？67、ne20的整机最大功率是多少？68、通过display diagnostic-information命令一次收集多个模块运行信息69、ne20产品高速和低速插槽的分辨方法710、ne20 ping延时的说明711、ne20/20e产品删除文件的典型配置812、如何正确的配置ne20的防病毒访问控制列表？813、ne20/20e在v5版本上acl对分片报文的支持说明1014、ne20如何查询光模块的光功率参数？1015、ne20硬件告警

3、灯说明11链路层部分121、e1接口三种帧格式有什么区别？122、ne20一个4fe接口板中，三个接口正常配置，但是其中e4/0/2的接口视图下没有ip地址和双工模式等配置命令。设备使用vrp5.30软件版本。123、ne20的高速卡支持哪几种链路协议？124、ne20的以太网口是否支持vlan透传和vlan终结？135、ne20e是否支持e1接口的跨板绑定以及最多支持绑定多少个e1接口136、ne20pos接口j1开销字节默认值是什么137、ne20在使用x.21电缆时钟配置不一致导致链路无法up的解决方法138、ne20的cpos接口的开销字节说明13路由部分141、如何配置ospf的vi

4、rtual link上md5验证。142、ne20/20e的ospf邻居关系不能正常建立的原因143、bgp路由引入ospf时能否将bgp的med值直接转换为ospf路由的cost值154、ne20如何修改bgp协议优先级155、ne20支持多少条等值路由？该案例适合ne20所有软件版本。156、ne20 路由重定向如何配置157、ne20的等值路由是基于包还是基于流量的负载分担？该案例适合ne20的vrp3.30版本。16vpn部分161、ne20在做lns时是否支持不认证方式？162、ne20做lns时是否支持以以太口作为l2tp组指定接口173、ne20做lns，可以接入多少个用户？此案

5、例适用于ne20的vrp5.10和vrp5.30版本。174、ne20 l2tp vpn可选隧道配置参数说明175、ne20配置l2tp时两种地址池的区别176、ne20配置l2tp vpn时域名分隔符的说明187、gre隧道建立成功，报文还是不能正确转发188、ne20是否可以支持二层mplsvpn？189、ne20的vt接口在配置mpls相关参数后mpls业务不通的解决方法1810、ne20高速以太子接口绑定vpn实例不成功问题的解决方法18其他（nat、qos、镜像等）191、ne20对nat的支持情况192、ne20e vrp 5.30如何查看nat 转换的表项？203、如何配置bt限

6、制204、ne20上配置nat server 映射进出公网地址是否一致？版本：version 5.10，release 1253.02205、如何在ne20上配置nat一对一静态映射功能？216、如何在ne20上对使用nat限速功能？ne20版本：version 5.10217、ne20配置nat转换时的一点注意事项228、ne20系列路由器上配置内部服务器注意事项229、ne20支持的nat规格是多少？2210、对于vrrp的配置，一台ne20路由器上可以配置多少个监视接口2311、ne20如何实现低速端口的镜像？2312、ne20采用mp-group捆绑，其成员端口是否可以为逻辑接口。23

7、13、ne20的以太网口能否捆邦？该案例适合ne20的vrp3.30、vrp5.10版本23系统管理部分1、ne20为何只有1、2、4三个槽位支持高速接口卡？ne20高速卡直接挂结在np的dmu传输单元上，由于转发性能高，因此统称为高速卡。np一共有4个dmu，其中dmua用来进行np和rpu之间的通讯，另外3个dmub、dmuc、dmud分别对应设备的1、2、4三个槽位，因此ne20只有1、2、4三个槽位支持高速卡。2、ne20、ne20e路由器如何用命令控制显示屏显示信息量 1、系统视图进入ui-vty0-4模式，命令：user-interface vty 0 42、控制显示屏显示信息量，

8、命令：screen-length integer 3、删除显示屏显示信息量，命令：undo screen-length3、为什么ne20刷新fib表项会产生超时告警 从告警信息上看，经过如下过程：1、计时器超时2、刷新fib表超时。3、fib没有刷新。4、新建立刷新的任务及启动定时器。5、定时再次器超时。6、刷新进程开始运行。7、再次显示计时器超时。8、各板刷新完成，结束刷新过程。分析其原因：1、ne20刷新是由cpu与np共同处理，cpu给np下发刷新任务，np负责刷新，然后由cpu同步整机的刷新结果。2、而根据vrp软件的通用特性，vrp软件在刷新时启动刷新的计时器进程，但是fib表刷新不

9、是由cpu刷新，所以没有系统对这个进程产生响应，导致刷新中计时器超时。3、在各板np刷新fib完成后，cpu对各板的np刷新后的数据同步，fib刷新结束。4、ne20-2和ne20-8使用的主控板是否相同 ne20-2和ne20-8使用的主控板都是相同的rpu单板。 5、ne20-2，ne20-4，ne20-8各产品的整机处理能力、吞吐量各是多少整机包处理能力（mpps） ne20-8：4.5 ne20-4：4.5 ne20-2：3 整机吞吐量 ne20-8：4g ne20-4：4g ne20-2：2g6、ne20的哪些槽位是高速槽哪些是低端槽？ne20-2只有二个槽位，均为高速槽位； ne2

10、0-4有四个槽位，其中1、2、4槽为高速槽位，3槽为低速槽位； ne20-8有八个槽位，其中1、2、4槽为高速槽位，3、5、6、7、8为低速槽位；高速槽位可以使用高速板卡及低速板卡，低端槽位只能使用低速板卡。 7、ne20的整机最大功率是多少？ne20系列路由器有三个产品：ne20-2、ne20-4、ne20-8。ne20-2的整机最大功率是100瓦。ne20-4的整机最大功率是105瓦。ne20-8的整机最大功率是116瓦。 8、通过display diagnostic-information命令一次收集多个模块运行信息在系统出现故障或日常维护时，为了便于问题定位，需要收集很多的信息，但相应

11、的display命令很多，很难一次把信息收集全，这时可以使用display diagnostic-information命令进行系统当前各个模块的运行信息收集。display diagnostic-information命令一次性收集了配置如下命令后终端显示的信息，包括：display clockdisplay versiondisplay cpudisplay interfacedisplay current-configurationdisplay saved-configurationdisplay history-command等等。9、ne20产品高速和低速插槽的分辨方法ne20产品

12、的板卡插槽分为高速和低速槽位，高速槽位可以插高速和低速板卡，而低速槽位只能插低速板卡。普遍来说，ne20产品上1、2、4号槽位为高速槽位，其它为低速槽位。对ne20-2产品来说，只有1号、2号两个板卡插槽，这两个均为高速槽位。对ne20-4产品来说，有1、2、3、4号共4个板卡插槽，其中1、2、4号槽位为高速槽位，3号槽位为低速槽位。对ne20-8产品来说，有18共8个板卡插槽，其中1、2、4号三个槽位为高速槽位，3、5、6、7、8号共5个槽位为低速槽位。另外，还有一种比较直接的目视分辨方法，即观察每个槽位背板上的接插件：如果该槽位只有一个位于左边的接插件，则此槽位为低速槽位；如果该槽位有2个

13、接插件（挨得很紧，需要仔细分辨），并且分布平衡，则此槽位为高速槽位。10、ne20 ping延时的说明ne20在计算ping延时（即round trip time）的机制上有些特别：对于延时小于等于16ms的，均显示为1ms。注：ping作为常用的网络诊断工具主要用来检查网络的可达性，因各种设备对延时处理机制的不同，ping工具检测出的延时不能作为网络延时的准确依据。11、ne20/20e产品删除文件的典型配置在ne20e中，有时候由于flash:空间不够，需要删除多余的配置文件，由于ne20e是双主控的，所以要在主备板上面同时删除，首先用dir命令来查看设备的存储文件状态，然后输入如下命令：

14、delete ? /unreserved delete a file permanently string drivepathfile name flash: device name slave#flash: device name用cd命令用来修改路由器当前配置用户的当前路径，修改路由器当前工作路径为指定存在的目录。参数flash:/和slave#flash:/仅适用于ne20e，分别表示主、备用板的flash。在ne20上是单主控的，所以只需要执行一次就可以了！配置关键点：注意要使用/unreserved，否则所删除的文件还是在flash里面，依然占空间。如果想恢复回收站里面的文件时候使用

15、命令：undelete flash:选择yes就是恢复，如果想彻底清除。就使用reset recycle-bin命令来彻底删除回收站中的文件。12、如何正确的配置ne20的防病毒访问控制列表？具体的配置为：acl number 3001 description anti-virus rule 1 deny tcp destination-port eq 135 rule 2 deny tcp destination-port eq 137 rule 3 deny tcp destination-port eq 138 rule 4 deny tcp destination-port eq 13

16、9 rule 5 deny tcp destination-port eq 445 rule 6 deny tcp destination-port eq 5554 rule 7 deny tcp destination-port eq 901 rule 8 deny tcp destination-port eq 2745 rule 9 deny tcp destination-port eq 3127 rule 10 deny tcp destination-port eq 3128 rule 11 deny tcp destination-port eq 6129 rule 12 den

17、y tcp destination-port eq 6667 rule 13 deny tcp destination-port eq 4444 rule 14 deny tcp destination-port eq 1025 rule 15 deny tcp destination-port eq 593 rule 16 deny udp destination-port eq 135 rule 17 deny udp destination-port eq netbios-ns rule 18 deny udp destination-port eq netbios-dgm rule 1

18、9 deny udp destination-port eq netbios-ssn rule 20 deny udp destination-port eq 445 rule 21 deny udp destination-port eq 9995 rule 22 deny udp destination-port eq 9996 rule 23 deny udp destination-port eq 1434 rule 24 permit ip any any %此条permit其它的数据报文% traffic classifier anti if-match acl 3001 traf

19、fic behavior anti deny %需注意此动作为deny%traffic policy anti classifier anti behavior antiinterface pos2/0/0 traffic-policy anti outbound traffic-policy anti inbound 13、ne20/20e在v5版本上acl对分片报文的支持说明传统的包过滤并不处理所有ip报文分片，而是只对第一个（首片）分片报文进行匹配处理，后续分片一律放行。这样，网络攻击者可能构造后续的分片报文进行流量攻击，就带来了安全隐患。ne20/20e的包过滤提供了对分片报文过滤的功

20、能，包括：对所有的分片报文进行三层（ip层）的匹配过滤。14、ne20如何查询光模块的光功率参数？在ne20上通过dis int 命令查看。例如：disp int pos 2/0/0pos2/0/0 current state : down line protocol current state : downdescription : huawei, quidway series, pos2/0/0 interface the maximum transmit unit is 4470 bytes, hold timer is 10(sec) internet protocol process

21、ing : disabledlink layer protocol is ppp lcp initialphysical layer is packet over sdhscramble enabled, crc 32, clock master, loopback not setport 0 : hardware is pos155 vendorname : agilent （芯片生产商） compliance : oc3-sm-inter reach partnumber : hfct-5760t （型号） mode : singlemode （单模） laserwavelen : 131

22、0 （波长） length for 9/125um : 15000m （传输距离15km）output queue : (urgent queue : size/length/discards) 0/50/0output queue : (protocol queue : size/length/discards) 0/1000/0 output queue : (fifo queuing : size/length/discards) 0/75/0 sdh alarm: section layer: oof lof los line layer: ais path layer: ais rd

23、i pslm c2(rx): 0xff c2(tx): 0x16 sdh error: section layer: b1 65535 line layer: b2 274 m1 0 path layer: b3 9 g1 54 traffic statistics: last 5 minutes input rate 0 bytes/sec, 0 packets/sec last 5 minutes output rate 0 bytes/sec, 0 packets/sec input: 0 packets, 0 bytes 0 errors, 0 crc, 0 packets too l

24、ong output:0 packets, 0 bytes, 0 underruns 0 crc, 0 aborted sequences, 0 packets too long15、ne20硬件告警灯说明control point板（主控板）：通过前面板，可以监视到所有部件的运转；rpu(主控板指示灯)：run、alm； npu(np板指示灯) ：run、alm；fan(风扇指示灯) ：run、alm； pwr1(电源1指示灯) ：run、alm；pwr2(电源2指示灯) ：run、alm； np板（后）：run、alm；电源板（后）：run、alm、ac ok(交直流电源指示)。绿色为正常

25、，正常时除了rpu的run灯以1秒左右的频率闪烁外，电源板（后）run、ac ok灯常亮，其他模块run指示灯常亮；红色为异常，任意模块alm灯亮均表示有异常情况发生。21、ne20e及ne20主控板上面的两个千兆以太网接口是否可以用做业务口？由于ne20e及ne20主控板上面的两个千兆以太网口是低速口，转发性能比较差，另外考虑到对主控板运行可能会有一定的影响，所以这两个千兆以太网口不建议用做业务口。 链路层部分1、e1接口三种帧格式有什么区别？e1有成帧、成复帧和不成帧三种方式。在成帧的e1中第0时隙用于传输帧同步数据，其余31个时隙可以用于传输有效数据。在成复帧的e1中，除了第0时隙外，第

26、16时隙是用于传输信令的，只有第1到15，第17到第31共30个时隙可用于传输有效数据。而在不成帧的e1中，所有32个时隙都可用于传输有效数据。2、ne20一个4fe接口板中，三个接口正常配置，但是其中e4/0/2的接口视图下没有ip地址和双工模式等配置命令。设备使用vrp5.30软件版本。 ne20vrp5.30版本在做了端口镜像后，观测端口不能再做配置，且命令行被屏蔽，取消观测端口配置则可取消屏蔽。3、ne20的高速卡支持哪几种链路协议？由于np只能识别eth，vlan，ppp，chdlc，所以高速卡只支持以上四种链路层协议。4、ne20的以太网口是否支持vlan透传和vlan终结？ ne

27、20在vrp3.30、vrp5.10版本中，以太网端口不支持vlan透传。但在vrp5.30的版本，ne20的以太网口可以配置成交换模式，则可以进行vlan透传。所有的版本均支持vlan终结。注意，ne20在vrp5.30版本中是无法创建vlan接口进行vlan终结的，如需终结vlan也和其它版本一样只能创建子接口并进行vlan封装后才能终vlan。ne20的每个fe或ge接口均可以创建1024个子接口。5、ne20e是否支持e1接口的跨板绑定以及最多支持绑定多少个e1接口 1、ne20e支持跨板绑定e1接口。2、ne20e可以绑定多个e1接口，但是绑定数目越多，性能越差，建议不要超过8个。做

28、e1接口的绑定尽量不要跨板，绑定的数目最好不要超过8个，数目越少性能越好。6、ne20pos接口j1开销字节默认值是什么 ne20pos接口j1开销字节默认值是“0x18”，该值为16进制并且不能修改。7、ne20在使用x.21电缆时钟配置不一致导致链路无法up的解决方法ne20的sa串口在应用x.21电缆时，时钟使用clock dteclk1会导致链路层协议up不起来。把sa串口的默认时钟clock dteclk1，改为clock dteclk3并重启设备，即可解决。8、ne20的cpos接口的开销字节说明j0属于段开销字节，用于检测两个端口之间的连接在段层次上的连续性。j1和c2属于高阶通

29、道开销字节，j1用于检测两个端口之间的连接在通道层次上的连续性，c2用来指示vc帧的复接结构和信息净负荷的性质。再生段踪迹字节j0可取长度为115的字符串，缺省情况下，为了兼容早期设备，循环发送十六进制数值01。通道踪迹字节j1可取长度为115的字符串，缺省情况下，循环发送字符串netengine。c2主要用于国际互通，在国内使用0x02，缺省情况下，c2的值为02（十六进制）。路由部分1、如何配置ospf的virtual link上md5验证。1）、使能骨干区域的md5认证。2）、virtual-link配置的时候，启用md5认证。2、ne20/20e的ospf邻居关系不能正常建立的原因可以

30、通过命令查看、配置ne20/20e1、接口未使能ospf协议。2、物理层、链路层故障。3、接口被定义为silient-interface。4、两端设备禁止ospf协议报文，或者中间设备禁止ospf协议报文。5、互联端口ip地址的子网掩码不一致。6、两端设备ospf验证类型或验证密码不一致。7、两端设备area id不一致。8、互联接口区域类型（普通、stub、nssa）不一致。9、接口使用从地址建立邻居。10、在nbma、frame relay、x.25等网络未定义网络类型或指定邻居。11、在frame-relay（fr map ip）、atm（map ip）、dialer(dialer ro

31、ute ip)命令中缺少broadcast可选参数。3、bgp路由引入ospf时能否将bgp的med值直接转换为ospf路由的cost值 将bgp路由引入ospf时不能将bgp的med值直接转换为ospf路由的cost值，因为med值是bgp专有的属性，而ospf不支持该属性，但可以在引入bgp路由时通过路由策略设置所引入路由的cost值。详见如下配置实例： 将所引入的bgp路由符合acl 2000的路由的cost设为100 acl number 2000 rule permit soucre x.x.x.x x.x.x.x # route-policy aaa permit node 10

32、if-match acl 2000 apply cost 100 route-policy aaa permit node 11 # ospf import-route bgp route-policy aaa4、ne20如何修改bgp协议优先级 vrp3.10平台bgp协议默认优先级256并且不允许修改。vrp5.10平台bgp协议默认优先级255，可以通过命令进行修改。命令格式为在bgp视图下：preference external-preference internal-preference local-preference 后面三个参数值表示可以为三种路由分别设定不同的优先级，他们是：

33、从外部对等体学到的路由（ebgp）；从内部对等体学到的路由（ibgp）；本地产生的路由（local origined）。5、ne20支持多少条等值路由？该案例适合ne20所有软件版本。对于这个特性，ne20不区分高速卡和低速卡，只支持3条等值路由；该规格特性由ne20的硬件决定，与软件版本无关。6、ne20 路由重定向如何配置 ne20 路由重定向配置方法与其他产品略有不同 1、创建访问控制列表 acl number 3000 rule 0 permit ip source 55 2、定义类，匹配acl traffic classifier test if

34、-match acl 3000 3、定义流行为 traffic behavior test remark ip-nexthop ethernet1/0/0 4、定义qos策略，为类的报文指定流行为 qos policy test classifier test behavior test 5、在报文入接口应用策略qos apply policy test inbound7、ne20的等值路由是基于包还是基于流量的负载分担？该案例适合ne20的vrp3.30版本。 ne05从vrp3.30-0521.03开始及以后版本中增加了等值路由基于包的负载分担功能，缺省情况下，

35、等值路由是基于流的负载分担。配置命令为：视图：系统视图 quidwayload-balancing per-packet /更改为基于包的负载分担方式。 quidwayundo load-balancing per-packet /恢复为基于流的负载分担方式。vpn部分1、ne20在做lns时是否支持不认证方式？现在版本的ne20做lns时不支持不认证方式，必须配置为认证方式，否则可能导致l2tp用户能够拨号成功但是不能与网关正常通信。2、ne20做lns时是否支持以以太口作为l2tp组指定接口vrp5.10-1253.05版本只支持以loopback接口作为l2tp组指定接口，从vrp5.3

36、0-23开始支持以以太口作为l2tp组指定接口。3、ne20做lns，可以接入多少个用户？此案例适用于ne20的vrp5.10和vrp5.30版本。ne20配置l2tp需要申请license文件进行授权，如果没有license文件，接入的用户数限制在256个。使用license文件的情况下支持接入8k个用户。4、ne20 l2tp vpn可选隧道配置参数说明对于ne20路由器，在配置l2tp vpn时下面的参数是可选配置：1.mandatory-chap：强制lns与用户端（client）之间重新进行chap验证2.mandatory-lcp：在lns与用户端（client）之间重新进行链路控

37、制协议lcp（link control protocol）的协商3.tunnel avp-hidden：来配置对avp（attribute value pair，属性值对）数据采用隐藏的方式进行传输4.tunnel name命令用来指定隧道本端的名称，undo tunnel name命令用来恢复本端名称为缺省值5.tunnel password命令用来指定隧道验证时的密码，undo tunnel password命令用来取消隧道验证的密码6.tunnel timer hello命令用来设置隧道中hello报文发送时间间隔，undo tunnel timer hello命令用来恢复缺省hello

38、报文发送时间间隔5、ne20配置l2tp时两种地址池的区别对于ne20路由器而言，在配置l2tp时地址池的定义有两种方法，一种是在aaa视图下定义，另一种是在domain视图下定义，但两个地址池的使用范围是不同的。当用户以默认域登陆的时候使用的是aaa视图下定义的地址池；当使用非默认域登陆时，使用该域下定义的地址池为对端设备分配ip地址。6、ne20配置l2tp vpn时域名分隔符的说明对于ne20路由器虽然可以通过l2tp domain suffix-separator separator来设置作为后缀的分隔符，但目前支持的域名分隔符只有“”。7、gre隧道建立成功，报文还是不能正确转发 在

39、源端路由器和目的端路由器上都必须存在经过tunnel转发的路由，这样，需要进行gre封装的报文才能正确转发。配置的为动态路由。在tunnel的两端都要配置上。配置动态路由协议时，在tunnel接口和与私网相连的路由器接口上都要使能该动态路由协议。并且，为保证能够选到正确的路由，在配置动态路由协议时，应注意避免去往tunnel目的端物理地址的路由下一跳被选为tunnel接口。8、ne20是否可以支持二层mplsvpn？在vrp5.30版本的高速端口上都可以支持。9、ne20的vt接口在配置mpls相关参数后mpls业务不通的解决方法 vt接口在配置mpls相关参数后，若不对绑定到vt的所有串口做

40、shutdown/undo shutdown操作配置将不能生效，会造成mpls业务不通。只在vt接口进行mpls相关参数配置，不对绑定到该vt的接口操作，此时接口并没进入mplscp opened状态，所以mpls业务不通。对绑定到vt的所有串口进行shutdown/undo shutdown操作，使virtual-access重新生成，vt才能进行mplscp协商进入open状态，这样mpls业务才能正常工作。10、ne20高速以太子接口绑定vpn实例不成功问题的解决方法ne20高速以太子接口在没有划分vlan前无法绑定vpn实例ne20-ethernet1/0/0.1display thi

41、sinterface ethernet1/0/0.1 ne20-ethernet1/0/1.1ip ? address set the ip address of an interface relay specify dhcp relay parameters从命令上就可以看到无法 绑定vpn实例。对于ne20的高速以太卡，如果需要对其子接口绑定vpn实例，必须配置vlan，然后才可以绑定vpn实例。ne20-ethernet1/0/1.1display thisinterface ethernet1/0/1.1 vlan-type dot1q 1returnne20-ethernet1/0/

42、1.1ip binding vpn-instance ? string vpn instance name其他（nat、qos、镜像等）1、ne20对nat的支持情况地址池规格每块nat板可配置128个地址池，每个地址池最多256个公网地址，每个地址支持64k的端口复用内部服务器规格每块nat板最多可配置32个内部服务器并发会话数规格每块nat板最大支持256k并发会话新建会话速率规格最大新建会话速率：128k/秒。 转发速率规格ge接口nat流量可85%转发，低速卡与转发性能相关，高速卡全双工的nat流量2、ne20e vrp 5.30如何查看nat 转换的表项？vrp 5.30平台中，查看

43、nat 表项的命令为“display firewall session table”操作权限如果没有问题，此命令在任何模式可以查看。3、如何配置bt限制网内有部分用户在白天时间使用bt下载，原先并未对bt下载限制速率，由于网络资源有限 ，bt下载对网内其它用户上网影响较大，所以需要在ne20上做到在某个时间段（08:00 to 24:00 ）对bt下载进行限速，其余时间上网用户不多，不做控制。解决办法：这里假设nat转换的其它数据已配置完成定义一个时间段用来控制bt下载时使用：time-range controlbt 08:00 to 24:00 dailyacl定义如下：acl number

44、 2000 rule 5 permit source 55 rule 30 permit time-range controlbtnat 转换的bt流量控制。（car-bt 采用默认限制20480 kbps）只对源地址符合acl 2000的数据控制：nat flow-control 2000 car-bt4、ne20上配置nat server 映射进出公网地址是否一致？版本：version 5.10，release 1253.02ne20路由器的nat转换没有static 一对一映射的命令，只有nat outband 和nat server 两条命令，一个

45、用来出接口nat转换，一个用来入接口时的静态映射功能。公网访问内网服务器时，可以从映射的公网地址访问到指定的私网地址，但是从私网地址出公网时是从nat地址池（多个地址）里随机选取的地址做转换的，所以进出公网地址不是同一地址。ne20上配置nat server 映射进出公网地址不一致，可能会影响一些使用vpn的用户，可以通过建立单个地址的地址池组来解决问题。5、如何在ne20上配置nat一对一静态映射功能？具体配置如下：nat address-group 1 218.*.*.61 218.*.*.61 mask 55 /建立地址池组nat address-group 2 218.*.*.17 218.*.*.17 mask 55 acl 2000 /建立访问列表 rule 5 permit source acl 2001 rule 5 permit source 8 .interface ethernet 2/0/0 nat outband 2000 address-group 1 /出口转换使用地址池组 nat outband 2001 address-group 2 . nat serv