USG9560 配置NAT444后大约半小时网络不通

发布时间:  2016-09-28 浏览次数:  118 下载次数:  0
问题描述

某企业采用了一台USG9560在网络出口部署NAT444后,开始时用户用有线和无线能正常上网,大约在半小时到1小时左右,发现无线路由器离线了。再过一会儿,发现有线网络也有部分用户无法上网 。

告警信息

处理过程

1、出现问题后,用户迅速切换为5元组NAT上网,业务很快恢复。采集日志分析,发现logbuffer日志中有大量如下日志:

2016/5/5 05:10:31 USG CGN_LOG/4/PORT_USEDUP:Slot=1/3,Vcpu=0;The allocable port block of user X.X.98.129 is used up. (Port Block Size=1024, Slot ID=1, CPU ID=3) 
推断是当时出口IP的端口耗尽。

2、与用户约定业务低峰期复现问题。发现之前配置中客户使用三元组nat和端口预分配与增量分配的功能,配置如下: 
nat address-group dl4444 1 
mode full-cone global 
port-block-size 1024 extended-times 3 
section 0 X.X.41.0 X.X.41.127 

按照上述配置,设备共可分配的端口块个数 = (65535-2018+1)/1024 * 128 =  7936 

3、假设不考虑增量分配的情况,一个端口块分配给一个用户,目前的128个ip地址能支持的最大用户数为7936,客户反馈一般业务高峰期在线用户数超过20000,因此,很容易出现端口块耗尽,部分用户因无法分配到公网地址而无法上网的情况。

根因

采用三元组nat和端口预分配与增量分配的功能导致端口不足,部分用户无法上网。

解决方案

需要增加公网地址或者改用五元组nat的方式解决。

建议与总结

END