由于服务器掩码配置过大导致NAT用户无法访问服务器网站问题

发布时间:  2014-07-29 浏览次数:  82 下载次数:  0
问题描述

   设备版本 ME60 V600R005COOSPCb00

 
   现网组网



故障现象
组网如图,某局点ME60PPPOE拨号用户为私网NAT用户,用户PC1通过家用小型路由器(路由器自动拨号)上互联网,ME60下挂静态PC3  X.13.230.187)为本地市住房公积金网站服务器。
故障现象:
ME60nat用户PC1访问PC3服务器时打不开网页,本设备下其他静态(比如PC2 X.13.230.188)访问该服务器网站,正常打开网页;从外网其他运营商访问该服务器网站均正常。故障用户仅仅为本ME60设备下nat 用户。


 

处理过程

处理过程:

1.        检查ME60设备数据配置,包括nat 配置未见异常。现场测试PC1通过家庭小路由器自动拨号nat之后公网IP地址为 X.13.230.63ME60设备静态用户配置如下:

              ip pool zhuanxian bas local

              gateway X.13.230.129 255.255.255.128

              section 0 X.13.230.130 X.13.230.254

              excluded-ip-address X.13.230.130 X.13.230.254

              dns-server X.X.1.20  X.X.1.21

              Static-user X.13.230.187 X.13.230.187 gateway X.13.230.129 interface Eth-Trunk1.239 vlan 3038 domain-name default0 detect

 

2.   PC1去访问服务器网站刷新网页或者长ping 服务器地址时,在ME60上查看session会话,可以正常看到nat session 会话。如下:

      < ME60-BAS-1>disp nat session table verbose  source inside 10.0.27.194 destination global X.13.230.187

This operation will take a few minutes. Press 'Ctrl+C' to break ...

        icmp: vpn(in): , vpn(out): ,10.0.27.194:17660[X.13.230.63:33246]-->X.13.230.187:17660

        tag: 0x80055bba,    State: 0x0,    ttl:  00:00:20

         tcp: vpn(in): , vpn(out): ,10.0.27.194:1511[X.13.230.63:33273]-->X.13.230.187:80

  tag: 0x800b686f,    State: 0x0,    ttl:  00:00:05

 

3.   由于在ME60上进行报文头获取操作,实施起来不太方便而且报文头获取结果有时不太准确。建议在S9300上进行报文头获取操作。

   3.1  PC1去访问服务器网站时,在S9300下行口GE2/0/0进行报文头获取操作,镜像报文头获取结果截图如下:

      可以看到ME60X.13.230.63)一直在向服务器发送syn报文,对端没有任何回应,导致TCP三次握手无法建立起来。


 
   
     
3.2
正常用户PC2X.13.230.188)去访服务器网站时,在S9300下行口GE2/0/0进行报文头获取,报文头获取结果截图如下:

         看以看出:PC2和服务器进行了正常的双向报文交互(PC2先发送syn报文,服务器回应了syn+ACK报文,PC2又回了ACK报文),TCP三次握手正常建立起来连接。
         之后PC2发送get报文,服务器正常回应http,用户正常打开网页。

 

 

3.3.正常用户PC2X.13.230.188)去访问服务器网站时,在S9300上行口eth-trunk0 又进行了报文头获取操作,报文头获取结果截图如下:

     
 

4.   根据上述报文头获取结果,怀疑对端服务器问题。
4.1 由于服务器网站为本地市住房公积金网站,除了本ME60NAT私网用户访问网站打不开网页外,其他所有用户均可以正常访问,所以据此推测应该不是服务器侧针对用户地址段进行了特殊限制,排除了地址段限制可能性。

4.2 由于ME60设备下静态用户网段为 X.13.230.128/25 gateway X.13.230.129pppoe NAT用户nat转换后公网地址段为 X.13.230.0/25
怀疑服务器侧PC3掩码配置有问题。原理如下:

        如果服务器侧PC3配置地址为:X.13.230.187/24 gateway X.13.230.129 的话,此时服务器用户PC3NAT用户PC1是同网段用户,服务器会将NAT转换后公网地址段学成直连路由,直连路由场景下,如果PC1发送syn报文,服务器在回应SYN+ACK报文时会先发arp来学习直连路由,在接口不开启arp-proxy的场景下,ME60设备是不会回复服务器侧该arp请求的。(简言之:服务器PC3对于X.13.230.63 这个NAT之后的公网地址,如果直接按照同网段用户发送目的地址是X.13.230.63 ARP学习请求,ME60侧是不会回应的(ME60 ARP机制问题)。正常情况下服务器应该按照网关来学习ARP。)

5.   根据上述推测,前往服务器侧现场排查问题,经现场确认服务器侧PC3主机掩码段确实配置为255.255.255.0了,配置错误。
现场修改服务器PC3掩码为255.255.255.128 (即地址配置为 X.13.230.187 掩码 255.255.255.128 网关X.13.230.129)后,测试业务正常,NAT用户PC1可以正常访问该静态IP网站网页了。


根因
服务器侧PC3 掩码网段配置为255.255.255.0,掩码配置错误
解决方案

修改服务器PC3掩码为255.255.255.128 (即 X.13.230.187 掩码 255.255.255.128 网关 X.13.230.129)后,测试业务正常,

END