所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

集中式NAT用户访问外网常见故障处理

本文针对在集中式组网中进行NAT转换时常见的故障,说明故障处理流程和详细的故障处理步骤。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
集中式NAT用户访问外网常见故障处理

集中式NAT用户访问外网常见故障处理

简介

本文针对在集中式组网中进行NAT转换时常见的故障,说明故障处理流程和详细的故障处理步骤。

前提条件

本文适适用于V800R010C00及以后版本的NE40E/ME60系列产品。

了解集中式NAT

根据部署方式的不同,NAT业务可以分为集中式NAT和分布式NAT。

  • 集中式NAT:NAT集中式部署模式是一种早期的NAT部署模式,是指由一个独立的设备专门承担NAT功能,该设备旁挂CR或BRAS设备上。
    图1-1 集中式NAT部署组网
  • 分布式NAT:分布式NAT是指将具有NAT能力的业务板直接插在其他设备(譬如BRAS)上实现NAT转换。
    图1-2 分布式NAT部署组网

集中式NAT的基本流程

NAT转换的基本流程根据业务流量的方向分为NAT转换和NAT反向转换。

  • NAT转换(私网发往公网的流量):
    1. 设备接收报文后,首先判断是否需要做NAT处理。通过引流策略绑定的ACL规则筛选需要做NAT处理的用户报文。若用户报文命中该ACL,则会被引流至NAT业务板进行处理。若用户报文未命中该ACL,则按照普通报文转发流程处理。
    2. 报文被引导至对应NAT实例下绑定的业务板上做NAT转换。报文首包到达业务板后,从NAT实例绑定的地址池和端口范围中选择IP地址和端口号替换用户报文中已有的源IP地址和端口号,并建立会话表,然后与后续报文一样,匹配会话表,做NAT转换。
    3. 转换后,用户报文将按照正常转发流程发往下一跳设备。
  • NAT反向转换(公网发往私网的流量):
    1. 设备接收报文后,首先需要判断是否需要做NAT反向转换。通过引流的方式筛选需要做NAT反向转换的用户报文。若用户报文中目的地址命中FIB表中的NAT地址池路由,则需要做NAT反向转换。若用户报文中目的地址命中的是其他类型路由,则按照普通报文转发流程处理。
    2. 将需要做NAT反向转换的报文引流至NAT业务板。NAT业务板依据NAT映射关系表项对用户报文做反向转换,用户报文中的目的IP和端口号被替换成私网IP及对应端口号。
    3. NAT反向转换后,用户报文将按照正常转发流程发往下一跳节点。

集中式NAT的基本配置

以NAT出接口引流策略为例,配置文件如下:

license

active nat session-table size 6 slot 1 card 0

#

service-location 1

location slot 1 card 0

#

service-instance-group group1

service-location 1

#

nat instance nat1 id 1

service-instance-group group1

nat address-group address-group1 group-id 1 11.1.1.1 11.1.1.5

nat outbound 3001 address-group address-group1

#

acl number 3001

rule 1 permit ip source 192.168.10.0 0.0.0.255

#

interface GigabitEthernet 2/0/1

undo shutdown

ip address 1.2.3.4 255.255.255.0

nat bind acl 3001 instance nat1

#

处理常见故障的诊断流程

图1-3 NAT故障诊断流程图
  • 故障常见原因
    • NAT业务板资源未分配成功。
    • NAT配置信息错误,导致会话建立失败。
    • NAT网关因无路由而到外网主机不可达。
    • ACL配置错误。
    • 内网主机到NAT网关不可达。
    • ALG未使能。
  • 故障处理步骤
    1. 查看是否给业务板分配资源。
      • 执行命令display nat session-table size查看当前各个业务板分配的会话表资源。例如:

        <HUAWEI> display nat session-table size

        ---------------------------------------------------------------------------

        TotalSize :48 M

        UsedSize :4 M

        FreeSize :44 M

        SlotID CpuID CurSessTblSize CfgSessTblSize ValidFlag

        1 0(engine) 2 M 2 M Valid

        2 1(engine) 2 M 2 M Valid

        ---------------------------------------------------------------------------

        表1-1 display nat session-table size命令输出信息描述

        项目

        描述

        TotalSize

        会话表资源总数。

        UsedSize

        已使用的会话表资源数。

        FreeSize

        未使用的会话表资源数。

        SlotID

        业务板槽位号。

        CurSessTblSize

        当前会话表资源数。

        CfgSessTblSize

        配置的会话表资源数。

        ValidFlag

        会话表资源的标志位:

        • Valid:表示会话表资源可用。
        • Invalid:表示会话表资源不可用。
      • 如果单板没有分配资源或者使能特性功能,则需要重新配置。配置具体请参考《HUAWEI NetEngine40E 路由器 配置指南-NAT与IPv6过渡技术》分册的配置NAT会话表和带宽资源章节。
    2. 检查NAT业务是否有正确的会话信息或用户信息。
      • 执行命令display nat session table检查NAT业务是否建立了正确的会话信息。例如:

        <HUAWEI> display nat session table slot 1 engine 0

        This operation will take a few minutes. Press 'Ctrl+C' to break ...

        Slot: 1 Engine: 0

        Current total sessions: 1.

        udp: 192.168.3.198:1234[1.1.1.2:2234]--> 11.11.11.11:1024

        • 如果检查会话信息中协议、地址和端口的信息不正确,请继续检查NAT业务配置,如果NAT业务的配置有误,请重新配置。NAT业务的配置具体请参考《HUAWEI NetEngine40E 路由器 配置指南-NAT与IPv6过渡技术》分册的NAT基本配置章节。
        • 如果检查会话信息中协议、地址和端口的信息正确,请执行步骤3。
      • 执行命令display nat user-information查看NAT业务的上线用户信息。
        • 如果检查用户信息中地址、端口和会话限制信息不正确,请继续检查NAT业务配置,如果NAT业务的配置有误,请重新配置。NAT业务的配置具体请参考《HUAWEI NetEngine40E 路由器 配置指南-NAT与IPv6过渡技术》分册的NAT基本配置章节。
        • 如果检查用户信息中地址、端口和会话限制信息正确,请执行步骤3。
    3. 检查NAT设备到外网目的主机的可达性。

      执行命令ping确认NAT设备和外网目的主机是否可达。

      • 如果ping不通外网目的主机,执行命令display ip routing-table查看当前的路由表信息,检查NAT设备上是否配置了到达外网的正确路由。如果路由配置不正确,请根据以下情况选择重新配置路由:
        • 如果内网用户需要访问的外网地址和NAT设备的外网接口不在一个网段,且NAT设备上没有相应的路由,需要在该网关上配置静态路由,使内网的报文经过NAT后,可以通过正确的接口转发出去。
        • 如果内网用户需要访问的外网地址和NAT设备的外网接口在同一个网段,无需配置静态路由。
      • 如果NAT设备可以ping通外网目的主机,请执行步骤4。
    4. 检查内网主机的路由配置。

      执行命令display ip routing-table检查内网主机上是否配置了正确的路由,使得发向外网的报文可以发送到NAT设备。

      • 如果内网主机的路由配置不正确,请重新配置路由。
      • 如果内网主机的路由配置正确,请执行步骤5。
    5. 请收集如下信息,并联系技术支持工程师。
      • 上述步骤的执行结果。
      • 设备的配置文件、日志信息、告警信息。

NAT转换后访问外网丢包的故障处理

故障描述

NE40E设备上有大量NAT用户流量转发有丢包现象,少量NAT用户流量转发正常。比如到外网的 dns 请求报文,在nat 转换前可以获取5个报文,在 nat 转换后只能获取到一个。

主要配置

license

active nat session-table size 6 slot 1 engine 0

active nat bandwidth-enhance slot 1 engine 0

#

service-location 1

location slot 1 engine 0

#

service-instance-group 1

service-location 1

#

nat instance nat1 id 1

service-instance-group 1

nat address-group 1 group-id 1.1.1.1 1.1.1.15

nat outbound any address-group 1

nat session-limit total 65535

nat reverse-session-limit total 4096

nat alg all

nat filter mode full-cone

#

故障处理步骤
  1. 故障复现过程中查看NAT用户信息,发现当前UDP会话数已经达到UDP会话限制上线。

    <HUAWEI> display nat user-information cpe ipv4 192.168.1.2

    This operation will take a few minutes. Press 'Ctrl+C' to break ...

    Slot: 1 Engine: 0

    Total number: 0.

    ---------------------------------------------------------------------------

    CPE IP : 192.168.1.2

    VPN Instance : -

    Public IP : 1.1.1.1

    NoPAT Public IP : -

    Start Port : 1024

    Port Range : 0

    Extend Port Alloc Times : 0

    Extend Port Alloc Number : 0

    First/Second/Third Extend Port Start : 0/0/0

    Total/TCP/UDP/ICMP Session Limit : 65535/10240/10240/512

    Total/TCP/UDP/ICMP Session Current : 10240/0/10240/0

    Total/TCP/UDP/ICMP Port Limit : 0/0/0/0

    Total/TCP/UDP/ICMP Port Current : 10240/0/10240/0

    Nat ALG Enable : ALL

    ---------------------------------------------------------------------------

  2. 查看nat丢包存在Limit on user-based UDP sessions的丢包,说明UDP会话数达到上限。

    <HUAWEI> display nat statistics discard slot 1 engine 0

    This operation will take a few minutes. Press 'Ctrl+C' to break ...

    Slot: 1 Engine: 0

    ---------------------------------------------------------------------------

    Bufferring a fragment timed out :1

    The session cannot be found :96333

    Traffic limit when a packet is sent from data plan to management plane :1

    The session failed to be created: :140895

    The packet failed to be sent to the VRP :1

    IPV4 Buffering a fragment failed :38

    The policy for the NAT conversion cannot found :55

    Limit on user-based UDP sessions :110209

    ---------------------------------------------------------------------------

  3. 在NAT实例下放开UDP会话上限后,上述问题解决。

    nat instance nat1 id 1

    service-instance-group 1

    nat address-group 1 group-id 1.1.1.1 1.1.1.15

    nat outbound any address-group 1

    nat session-limit udp 65535

    nat session-limit total 65535

    nat reverse-session-limit total 4096

    nat alg all

    nat filter mode full-cone

    #

故障总结

配置中放开了session total的限制,但是没有放开udp的限制,访问的链接全是udp的session,数量超过了默认的10240。

NAT转换后无法访问网页的故障处理

故障描述

某局NE40E设备,配置一块NAT板作为用户接入互联网使用。现由于业务发展,需要增加用户地址池中的IP地址。改造前,每个用户地址池都包含一个32位掩码的IP地址,不同的用户内部地址网段分别对应设备上不同的地址池,用户可以正常上网。进行改造时,首先将原来的用户地址池删除,然后新建一个用户地址池,加入一个27位掩码的网段,新建的用户地址池中包括了改造前的用户地址。更改配置完成后测试用户网段正常上网,nat session数和接口流量与更改配置前持平。过了一段时间后,个别用户反映不能上网,更改为其他IP地址后才能正常上网。查看设备上无告警信息。

故障处理步骤
  1. 用户配置调整之前可以正常上网,首先可以排除设备硬件故障。
  2. 将不能上网的用户地址更改为其他地址可以上网,可以说明NAT业务配置正常。
  3. 怀疑用户IP地址有冲突,将用户计算机网卡禁用启用和重启计算机后都未提示IP地址有冲突,排除用户端IP地址问题。
  4. NE40E上执行命令display nat session table查看nat session表项,发现故障用户session会话数很少,状态多为同步状态,并且session表项都对应着地址池中固定的几个地址。
  5. 检查发现这几个固定IP地址都是改造前地址池中的地址,执行命令display ip routing-table在路由表中查看这几个地址的32位掩码静态路由,下一跳都指向Null 0。删除这些黑洞路由后,用户上网恢复正常。
故障总结
  • 在改造前,设备上配置了一条目的网段为地址池中地址,下一跳为Null 0的黑洞路由,地址池中地址段与黑洞路由完全匹配。改造后,新建地址池的地址段包括了改造前地址池的地址段,改造前的32位掩码的黑洞路由优先匹配,造成了公网发往私网的流量中,匹配上这些黑洞路由的报文不能进行NAT反向转换,用户不能上网;删除这些黑洞路由后,公网发往私网的流量的NAT反向转换恢复正常。
  • 设备上冗余无效的配置可能会造成故障,要及时删除。
  • 数据配置需严格按照开局指导书来进行。

相关信息

如果您需要了解NAT业务的更多信息及配置方法,可参考产品文档《NE40E V800R011C00SPC200 产品文档 01》。

翻译
下载文档
更新时间:2019-11-26

文档编号:EDOC1100092128

浏览量:469

下载量:35

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页