某大学NE40E因NAT端口号耗尽下挂的部分PC无法打开网页

发布时间:  2016-05-31 浏览次数:  377 下载次数:  0
问题描述

NE40E NAT后下挂的部分PC无法打开网页,用一台电脑测试电脑上使用不同DNS服务器,排除了DNS服务器问题;检查NAT表项发现形成了很多NAT转换项目;故障终端抓包没有DNS应答,但是有时候又可有DNS应答;能打开网页,一直长ping 外网DNS服务器不掉包,长ping 百度等网站也不掉包,延时也小。

 

告警信息

Apr 11 2016 12:06:40 XiNanLinDa-NE40E-X8 %%01NAT_8090/2/CGN_PRE_PORT_EXHAUST(l)[114]:Slot=8,Vcpu=0;The pre-allocated NAT port resources ran out. (AddrGroupName=group1,InstanceType=NAT444,InstanceName=nat1,Pre-PortNum=451584,Slot=8,Engine=0)

处理过程

1.查看设备日志,发现基于公网地址池的端口耗尽的告警。

Apr 10 2016 18:29:12 XiNanLinDa-NE40E-X8 %%01NAT_8090/2/CGN_PRE_PORT_EXHAUST(l)[76]:Slot=8,Vcpu=0;The pre-allocated NAT port resources ran out. (AddrGroupName=group1,InstanceType=NAT444,InstanceName=nat1,Pre-PortNum=516096,Slot=8,Engine=0)

2.查看NAT统计情况,发NAT模块出现大量的丢包。

cid:FB7B96D8@44D05723.6D3A0A57.jpg

3.查看nat拥有会话数最多的10个用户,发现每个都用了8000左右端口,可通过限制每个用户可用的端口号,配置Port-rangenat session-limit解决资源不够的问题。

[XiNanLinDa-NE40E-X8]dis nat user-information top-ten slot  8
This operation will take a few minutes. Press 'Ctrl+C' to break ...
Slot: 8 Engine: 0
List 10 (or less) users of maximum sessions
  ---------------------------------------------------------------------------
  CPE IP                                :  10.10.56.207
  VPN Instance                          :  -
  Public IP                             :  14.204.20.151
  Start Port                            :  2112
  Port Range                            :  0
  Extend Port Alloc Times               :  0
  Extend Port Alloc Number              :  0
  First/Second/Third Extend Port Start  :  0/0/0
  Total/TCP/UDP/ICMP Session Limit      :
  8192/10240/10240/512
  Total/TCP/UDP/ICMP Session Current    :  7934/250/7684/0
  Total/TCP/UDP/ICMP Port Limit         :  0/0/0/0
  Total/TCP/UDP/ICMP Port Current       :  7934/250/7684/0
  Nat ALG Enable                        :  NULL
  ---------------------------------------------------------------------------
  ---------------------------------------------------------------------------
  CPE IP                                :  10.10.56.154
  VPN Instance                          :  -
  Public IP                             :  14.204.20.148
  Start Port                            :  2624
  Port Range                            :  0
  Extend Port Alloc Times               :  0
  Extend Port Alloc Number              :  0
  First/Second/Third Extend Port Start  :  0/0/0
  Total/TCP/UDP/ICMP Session Limit      : 
8192/10240/10240/512
  Total/TCP/UDP/ICMP Session Current    :  8190/116/8074/0
  Total/TCP/UDP/ICMP Port Limit         :  0/0/0/0
  Total/TCP/UDP/ICMP Port Current       :  8190/116/8074/0
  Nat ALG Enable                        :  NULL
  ---------------------------------------------------------------------------

4.查看到外网DNS的会话情况,发现到外网DNS的会话有10W条左右,可通过部署内网DNS服务器解决资源不够的问题。

 

根因

未限制每个用户可用的端口号数量(默认64512),导致端口号耗尽,nat失败。

解决方案

1.限制每个用户可用的端口号,配置Port-rangenat session-limit。

2. 部署内网DNS服务器解决资源不够的问题。

END