NE40做过滤路由导致NAT转换失败

发布时间:  2012-07-26 浏览次数:  110 下载次数:  0
问题描述
5801-->3552-->MA5200-->NE40-->Cisco 12000-->公网
5801下的用户获得私网地址后,在NE40上做NAT到公网,做强制WEB认证。
NE40与C12000起OSPF协议。
用户反映不能上网,在现场实测,发现可以在5200上获得私网地址,也能ping通网关,但无法访问Portal服务器作认证。
告警信息
NE40下5200的WEB认证用户可以获得地址,但无法到达认证页面进行认证上网。
处理过程
1、联系局方,在C12000上配置一条回程路由后,故障消失,5200下用户可以正常上网。
2、但局方表示,C12000上从未配置过回程路由,故障前都是可以正常NAT的,这样看来,故障原因并非如此简单。
3、继续检查NE40上的配置,检查日志,发现NE40上有做过配置改动。仔细检查配置,发现这些配置是在NE40上建了一个策略路由,用于在NE40上滤掉私网路由。
相关配置如下:
route-policy deny_private deny node 10
 if-match acl 113
route-policy deny_private permit node 20
ospf                                      
 import-route direct route-policy deny_private
 import-route static route-policy deny_private
但NE40上却没有ACL 113。NE40在应用这个路由策略时就做成了过滤掉所有的直联路由和静态路由。
做此配置之前能成功NAT的原因是因为做NAT必须配置的黑洞路由能成功地发布到对端的C12000上,解决了这个网段没有回程路由的问题。做了这个错误的路由策略导致上行的C12000学不到这个网段的路由,NAT出去之后找不到回程路由,用户上网失败。
至此,故障源找到,正确配置NE40,故障消除。
根因
1、检查MA5200的数据配置,无异常情况,且下接用户可以获得正确的私网地址,打开任一网页时,因此时只能PING通网关,PING不通DNS和Portal服务器,但5200上却是将这几个地址加入了未认证通过用户的可访问列表中。
2、检查NE40上相关的NAT配置,并无异常配置,dis nat session能找到转换记录。说明NE40上NAT转换成功。但私网用户最远只可以ping到NE40上行对端设备的接口地址,
3、检查NE40上有配置用于NAT转换的地址指向NULL的黑洞路由。
4、询问局方,上行的C12000故障前没有作过任何操作。
5、在NE40上找到一个空闲的三层以太口,配置上NAT转换使用的其中一个地址,指定源地址ping公网,发现PING不通。在公网上tracert这个IP时,发现最后一跳到了一台C6509上,C6509挂在C12000的另一个端口上。
此时,可以明确是这段地址在NE40的上行设备上没有做回程路由。

END