NAT地址池误配置导致个别地址无法正常使用网络

发布时间:  2012-07-26 浏览次数:  73 下载次数:  4
问题描述
L运营商J地市分公司的办公网络使用到了华为公司的R2611路由器,该路由器有一个广域网接口,连接省公司,两个以太网接口,一个接地市分公司内部网络,一个接本地城域网设备,作为本地的Internet出口。用户反馈内部网络里面个别地址无法访问公网。

告警信息


处理过程
远程登陆以后进行如下操作:
1、复现现象:删除原有以太网口上的IP地址配置,配置loopback10接口,配置成有问题的IP地址10.196.88.59/32,通过ping -a x.x.x.x 220.192.176.249发现,存在规律性的通断;规律为:四次通一次断;
2、调整配置:将配置更改为EasyIP方式,故障现象消失,由此判断为地址池配置错误。
3、检查配置,地址池里面包含了同一个网段的广播地址,导致故障。

根因
现场工程师反馈当有用户使用该地址访问Internet的时候,R2611上有大量的NAT表项,端口为445。考虑到病毒的影响,怀疑该地址被内部网络的主机攻击,让现场工程师将上行到省公司的端口断开,然后测试。测试结果显示,断开该接口之后仍然存在问题,甚至只有一台PC接在R2611上上行Internet也有问题。由此可见,并非是病毒攻击。

建议与总结
由于NAT地址池的配置与别的相关模块的耦合度较小,很难做到配置正确性自动检查,因此在进行NAT相关配置的时候一定要小心,不要将网络地址和广播地址配置到地址池里面。

END