ME60下挂静态用户PC侧掩码配置错误导致部分地址无法与其互通问题

发布时间:  2014-06-30 浏览次数:  69 下载次数:  0
问题描述
【Problem Summary】ME60 nat用户访问不了静态用户网站问题
【Problem Details】Nat444场景(组网: PC电脑—拨号路由器(自动拨号)—SW——ME60),此时NAT 用户PC访问A.A.A.A(是ME60的一个静态用户)网站,打不开网页,经测试从外网,其他地市NAT用户均可以正常访问该ip网站。
处理过程
步骤一:查看业务测试时的设备状态,确认有互访业务时,虽然不通,但是设备上是有NAT session的。

<BAS-1>disp nat session table verbose  source inside U.U.U.U destination global A.A.A.A

This operation will take a few minutes. Press 'Ctrl+C' to break ...

  icmp: vpn(in): , vpn(out): ,U.U.U.U:17660[P.P.P.P:33246]-->A.A.A.A:17660

  tag: 0x80055bba,    State: 0x0,    ttl:  00:00:20

  tcp: vpn(in): , vpn(out): ,U.U.U.U:1511[P.P.P.P:33273]-->A.A.A.A:80

  tag: 0x800b686f,    State: 0x0,    ttl:  00:00:05

<BAS-1>disp nat session table verbose  source inside U.U.U.U destination global A.A.A.A

This operation will take a few minutes. Press 'Ctrl+C' to break ...

  icmp: vpn(in): , vpn(out): ,U.U.U.U:17660[P.P.P.P:33246]-->A.A.A.A:17660

  tag: 0x80055bba,    State: 0x0,    ttl:  00:00:20

  tcp: vpn(in): , vpn(out): ,U.U.U.U:1511[P.P.P.P:33273]-->A.A.A.A:80

  tag: 0x800b686f,    State: 0x0,    ttl:  00:00:05

  tcp: vpn(in): , vpn(out): ,U.U.U.U:1514[P.P.P.P:33275]-->A.A.A.A:80

  tag: 0x800d810e,    State: 0x0,    ttl:  00:00:05

<BAS-1>disp nat session table verbose  source inside U.U.U.U destination global A.A.A.A

This operation will take a few minutes. Press 'Ctrl+C' to break ...

  tcp: vpn(in): , vpn(out): ,U.U.U.U:1518[P.P.P.P:33289]-->A.A.A.A:80

  tag: 0x80019a8c,    State: 0x0,    ttl:  00:00:05

<BAS-1>disp nat session table verbose  source inside U.U.U.U destination global A.A.A.A

This operation will take a few minutes. Press 'Ctrl+C' to break ...

  tcp: vpn(in): , vpn(out): ,U.U.U.U:1518[P.P.P.P:33289]-->A.A.A.A:80

  tag: 0x80019a8c,    State: 0x0,    ttl:  00:00:05

  tcp: vpn(in): , vpn(out): ,U.U.U.U:1520[P.P.P.P:33300]-->A.A.A.A:80

  tag: 0x800bc671,    State: 0x0,    ttl:  00:00:05

 

此时PC电脑打开网页失败:

 

办公楼tplink路由器拨号后获取私网ip如下:


 

电脑获取ip如下:



步骤二:ME60部署近端镜像,核对与其互访正常和不正常的镜像数据,确认不正常的数据只有ME60发出的,收不到下挂终端的回应。

1.       互联有问题的交互镜像数 ,反复刷新访问网页,分析镜像数据结果如上附件。从镜像数据来看,只有TCP 建连请求发出,没有http交互



 

2.       BAS下公网静态IP用户(D.D.D.D)访问静态ip A.A.A.A网站时,可以正常打开网页,镜像数据分析如下,有HTTP双向交互。




步骤三:经过实际确认,排除掉客户设置了特殊地址过滤。
步骤四:分析此种场景的交互原理,怀疑NAT用户的公网NAT可能在静态用户侧不能建立ARP。

进一步分析,从现场近端镜像数据看,服务器对于NAT的用户地址很可能是IP转发不可达,不像是有特殊业务限制导致的不回包。因此故障有没有可能是服务器对于ME60 NAT 公网转换后地址的ARP学习不正常导致的,由于服务器也是作为静态用户在ME60上线,对于BAS的静态用户,ME60是一律软件处理ARP学习的,但是对于目的网关是NAT公网地址的ARP请求,BAS侧不一定有处理流程。

服务器对于x.x.x.63这个NAT公网地址,如果直接按照同网段用户发送目的地址是x.x.x..63ARP学习请求回包,ME60不会回应

建议再次测试时,在ME60上开下静态用户的TRACE,里面有每个ARP请求报文的响应情况打印。另外服务器如果能去掉禁PING是最好的,可以直接定界故障是转发问题还是HTTP服务问题。

步骤四:现场察看静态用户的配置,确认用户的网段配置有问题

经现场确认,确实是服务器侧掩码配置错误了。服务器配置为A.A.A.A/24了。

 

修改服务器掩码为 255.255.255.128 ,测试业务,确认正常

根因
静态用户PC上网段配置错误,导致该PC误以为部分地址与其同网段,于是试图直接与互联地址建立ARP,此部分地址在ME60是不会回应的,因此造成业务中断。

经现场确认,确实是服务器侧掩码配置错误了。服务器配置为A.A.A.A/24了。 

修改服务器掩码为 255.255.255.128 ,测试业务,确认正常

解决方案
【Resolution Summary】服务器侧掩码配置错误导致
建议与总结
从终端用户使用习惯来说,默认配置24位掩码的比较多,现网此类场景,业务部署时务必告知客户按正确配置部署。

END