MA5200F做NAT后个别网页无法打开问题的处理

发布时间:  2012-07-26 浏览次数:  63 下载次数:  0
问题描述
版本:MA2.10-7145 (与版本无关)
现象:MA5200F做NAT后个别网页无法打开,配置如下
 nat acl 0 permit 10.10.100.0 0.0.3.255
 nat address-group 1 ×.×.×.255 ×.×.×.255
 nat outbound 0 address-group 1


告警信息
无告警

处理过程
1、查看路由是有的,并且可以ping通对方服务器地址
2、怀疑服务器问题,在MA5200上做一个三层接口接PC可以正常访问对方服务器,服务器没有问题
3、通过调节PC的MTU该成1400,但是还是无法访问对端服务器,和MTU无关
4、在用户端抓包,发现用户发TCP的协商报文对端没有回复,怀疑PC问题,更换PC还是一样的现象,和PC无关。
5、仔细查看配置发现作为nat的地址是×.×.×.255,怀疑不能访问部分网站是否和×.×.×.255地址有关系,更换非广播地址后访问所有网站正常,问题解决

根因
产生这个现象的原因可能有:
1、无路由
2、对方服务器问题
3、用户PC的MTU问题
4、NAT转换地址问题,如地址冲突、地址非法等
对于此案例,主要是用于NAT转换的IP地址×.×.×.255虽然加上掩码可以做为一个普通的IP使用(CIDR),但可能会被一些服务器拒绝从而导致访问失败。

建议与总结
用广播地址做NAT后有些服务器可以正常响应广播地址并且可以回复用户的报文,但是有些服务器以为是非正常报文直接丢弃导致不能打开网页。

END