ME60做NAT转换时由于ACL配置不正确导致部分用户拨号691

发布时间:  2013-01-25 浏览次数:  87 下载次数:  2
问题描述
ME60做nat的一部分PPP拨号用户反馈拨号691,在BAS上查看用户上线失败记录为:
Add nat user data fail(Syn User To CPU Fail)
查看BAS做NAT使用的域下有9000多个用户,申告用户拨号困难,但如果拨十几次又能够上线。
现网版本:V600R005C00SPC600,该问题和版本无关。


用户上线失败记录为:Add nat user data fail(Syn User To CPU Fail)

处理过程

1、通过dis aaa online-fail-record brief发现上线失败原因,发现有大量Add nat user data fail,查检radius服务器,针对申告用户未在radius服务器找到相关拒绝、失败记录,先初步排除radius问题
2、查看nat表项和各板的license规格,排除license不足问题。
3、由于整机nat用户数才9000过,还属于轻度负载,研发在检查nat板卡性能时未发现问题,排除nat板卡性能问题。
4、重点检查nat相关配置,发现acl在配置时将某些私网地址漏配了:
acl number 3000
 rule 5 permit ip source 10.64.0.0 0.0.15.255
 rule 10 permit ip source 10.64.16.0 0.0.7.255
#
acl number 3001
 rule 5 permit ip source 10.64.16.0 0.0.15.255
 rule 10 permit ip source 10.64.40.0 0.0.7.255
acl 3001的rule5中部分地址段和acl 3000冲突,这部分不影响用户上线;但rule5和rule10之间漏了10.64.32.0 0.0.7.255网段,当用户获取到这部分IP后将无法nat,导致用户上线失败。
修改成如下配置后业务恢复:
acl number 3000
 rule 5 permit ip source 10.64.0.0 0.0.7.255
 rule 10 permit ip source 10.64.8.0 0.0.7.255
 rule 15 permit ip source 10.64.16.0 0.0.7.255
#
acl number 3001
 rule 5 permit ip source 10.64.24.0 0.0.7.255
 rule 10 permit ip source 10.64.32.0 0.0.7.255
 rule 15 permit ip source 10.64.40.0 0.0.7.255
附件为故障时有关nat的相关配置

根因
1、radius服务器问题
2、nat的license不足
3、nat板卡性能问题
4、配置问题
本案例属于原因4。
解决方案

N/A

建议与总结
配置acl时需要注意网段之间的连续性

END