Users at MA5200 cannot Access Some Servers because Address PLanning is False

Publication Date:  2012-07-27 Views:  125 Downloads:  0
Issue Description
Topology: SERVER--ROUTER--MA5200--SWITCH--PC
Symptom: Users can pass quthentication and much service is normal, but they cannot access some local servers.
Alarm Information
Null 
Handling Process
1. The server is normal and users of other network can access. And router and MA5200 have no access control on users at MA5200.
2. Check route table of ROUTER and there is route to server and can ping through server. MA5200 sets direct port from default route to ROUTER, but MA5200F cannot ping through servers. Capture packets at ROUTER and not find packets from MA5200F to ROUTER. Route at MA5200F is problematic.
3. Use display ip routing-table at MA5200 and check routing table and find default route: [MA5200F]display ip routing-table 219.x.x.68
Routing tables:
  Summary count: 1
Destination/Mask   Proto   Pre Cost        Nexthop         Interface
0.0.0.0/0          STATIC  60  0           102.164.45.1     Ethernet6.0
Use display ip routing-table verbose and check details, and find route to network segment of server, but the next hop is loopback interface:
[MA5200F] display ip routing-table 219.148.41.68 verbose
Routing tables:
  Generate Default: no
  + = Active Route, - = Last Active, # = Both   * = Next hop in use
  Summary count: 1
**Destination: 219.x.x.64    Mask: 255.255.255.224
        Protocol: #DIRECT       Preference: 0
        *NextHop: 127.0.0.1        Interface: 127.0.0.1(InLoopBack0)
        Vlinkindex: 0
        State: <Int ActiveU Retain Reject Unicast UNRoute AMPool>
        Age: 14:19      Cost: 0/0
Note: the information above is set MA5200F MA2.10-71xx as example.
4. Check MA5200 configuration and find that one address pool at MA5200 and server address locate at the same network segment. For this address, MA5200 recognizes it address of users at downstream. If the IP address does not allocate, packets to the IP address will be discarded (match loop interface and similar to black-hole route) and will not sent to device at upstream with default route. 
5. Change server address and it is not at the same network segment with address pool at MA5200. And solve the problem.
Root Cause
The following reasons will cause the problem above:
1. Server is problematic.
2. ACL configuration is problematica and forbids users to access servers.
3. Route is problematic.
4. Address planning is problematic.
This case is caused by address planning. Local server uses the same address as address pool at MA5200, which causes users cannot access.
      
Suggestions
 If there is similar problem at MA5200G, check route and information is as follows:
<MA5200G>display ip routing-table 2.2.2.3
Destination/Mask   Protocol Pre  Cost        Nexthop         Interface
2.2.2.0/24         DIRECT   1    0           0.0.0.0         NULL0
0.0.0.0/0          STATIC   60   0           10.164.45.1     Ethernet0/0/0
In other words, for match IP at MA5200G with route table, if IP address is the one at MA5200G and not allocate, and then directly find route at NULL0 interface. Add verbose and find route details, as follows:<MA5200G>display ip routing-table 2.2.2.3 ver
Routing tables:
  + = Active Route, - = Last Active, # = Both   * = Next hop in use
  Summary count: 2
**Destination: 2.2.2.0          Mask: 255.255.255.0
        Protocol: #DIRECT       Preference: 1
        *NextHop: 0.0.0.0          Interface: 0.0.0.0(NULL0)
        Vlinkindex: 0
        State: <Int ActiveU Retain Unicast >
        Age: 14:30      Cost: 0/0       Tag: 0
**Destination: 0.0.0.0          Mask: 0.0.0.0
        Protocol: #STATIC       Preference: 60
        *NextHop: 10.164.45.1      Interface: 10.164.45.41(Ethernet0/0/0)
        Vlinkindex: 0
        State: <Int ActiveU Gateway Static Unicast >
        Age: 14:29      Cost: 0/0       Tag: 0
<MA5200G>
 

END