1、故障现象
部署了NAT后,内网用户无法访问外网
2、故障可能原因
1)用户末认证或认证不成功
2)内网用户获取到的IP地址不正确
3)内网用户与网关或出口路由器不通
4)运营商专线末开通
5)NAT配置不正确
6)DNS无法正常解析
7)内网或出口部署了其它流控、防火墙设备
3、故障处理步骤
步骤1、确认内网是否有开启准入控制
如果开启了认证,则首先要保证认证成功
如果未开启认证,进入步骤2进行排查
步骤2、确认PC正常获取IP地址
查看PC的IP地址
如果地址正确,则进入步骤3的排查
如果地址不正确,请排查DCHP部分,或者手工修改IP地址
步骤3、确认PC到网关、出口的的连通性
确认PC和网关之间的连通性是否正常,如果ping网关不同,则排查PC和网关之间的二层网络
确认PC和出口路由器之间的联通行是否正常,如果能ping通网关,但是无法ping通出口路由器,则排查网关至出口的三层连通性
确认PC能够ping通出口路由器,但是无法ping通公网地址,则进入步骤4的排查
步骤4、确认运营商线路的开通情况
在出口路由器上测试运营商线路的连通性,如果不通,则确认运营商的线路
如果通,则进入步骤5的排查
步骤5、确认NAT的配置否正常
在内网用户尝试访问公网(如打开网页、登陆QQ、telnet某个公网地址等)时,通过在路由器上执行show ip nat translation | include x.x.x.x命令来查看IP地址为x.x.x.x用户的NAT转换条目:
注意,show ip nat translation命令后必须指定对应用户的IP地址(| include x.x.x.x),否则大量的nat表项输出可能影响客户业务甚至导致设备挂死
Ruijie#show ip nat translation | include 192.168.1.2
Pro Inside global Inside local Outside local Outside global
tcp 10.0.0.1:1030 192.168.1.2:1030 10.10.10.2:23 10.10.10.2:23 //如果NAT转换成功,就会输出类似的转换表项
说明:如果故障设备为RSR77系列路由器,那么show ip nat translation命令需进入到配置了ip nat outside接口的线卡去执行。
以上可以看到,路由器上已经有一条转换表项:将用户源IP地址192.168.1.2(inside local)转换为公网IP10.0.0.1(inside global);目的地址为10.10.10.2(outside global)保持不变。
需要确认如下信息:
(1)路由器是否已经为相应的用户生成了对应的NAT转换表项
(2)转换后的公网IP地址(inside global)是否正确
如果用户NAT转换表项已经成功生成,并且转换后的IP正确,则请直接跳到“步骤6:检查DNS是否能够正常解析”步骤排查
如果NAT转换表项末生成,或者表项信息有误,则请继续以下子步骤排查
步骤6、检查DNS是否能够正常解析
在确认了内网可以正常ping通外网,但依然无法打开网页的情况下,需排查DNS是否能够正常解析,可进行如下操作:
(1)核对用户PC所获取到的DNS服务器是否正确
通过在用户PC命令行下输入ipconfig/all命令查看本机所获取到的DNS服务器IP地址。
C:\Users\Administrator>ipconfig/all
以太网适配器 本地连接 :
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . . . . . . . . : Intel(R) 82566MM Gigabit Network Connection #2
物理地址. . . . . . . . . . . . . : 00-1D-72-92-D5-12
DHCP 已启用 . . . . . . . . . . . : 是
自动配置已启用. . . . . . . . . . : 是
本地链接 IPv6 地址. . . . . . . . : fe80::d9b8:bbde:e91a:19dd%19(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.33.107(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : fe80::58e2:d7cb:1486:73b6%19
192.168.33.1
DHCPv6 IAID . . . . . . . . . . . : 402659027
DHCPv6 客户端 DUID . . . . . . . : 00-01-00-01-12-3B-0B-C1-00-16-D3-B7-34-D7
DNS 服务器 . . . . . . . . . . . : 192.168.58.110 //主DNS服务器IP
218.85.157.99 //备DNS服务器IP
TCPIP 上的 NetBIOS . . . . . . . : 已启用
(2)测试用户PC是否能够正常解析DNS
C:\Users\Administrator>nslookup //在命令行输入nslookup命令进入PC的域名查询模式
默认服务器: fzdc01.ruijie.com.cn
Address: 192.168.58.110
> www.baidu.com //输入www.baidu.com并回车,以测试是否能够正确解析百度的域名
服务器: fzdc01.ruijie.com.cn
Address: 192.168.58.110
非权威应答:
名称: www.a.shifen.com
Addresses: 115.239.210.27
115.239.210.26 //如果能够解析成功,那么就会打印出该域名对应的公网IP地址
Aliases: www.baidu.com
(3)如果无法正确解析域名,则有可能域名服务器IP错误,或者域名服务器故障,可尝试如下操作:
确认域名IP地址是否错误。如果错误请重新手动配置,或者修改DHCP中的域名服务器IP。
确认与域名服务器是否能够正常通信。可通过ping测试来确认。
如果与域名服务器通信正常,但依然无法正确解析,则可以尝试更换其它域名服务器进行测试,在CMD命令行下进行如下操作:
C:\Users\HL ONLINE>nslookup //在命令行输入nslookup命令进入PC的域名查询模式
默认服务器: dc01.ruijie.com.cn
Address: 172.16.2.26
> server 8.8.8.8 //手动指定域名服务器为google通用域名服务器8.8.8.8
默认服务器: google-public-dns-a.google.com
Address: 8.8.8.8
> www.baidu.com //输入www.baidu.com并回车,测试google通用域名服务器8.8.8.8是否能够正确解析百度的域名
服务器: google-public-dns-a.google.com
Address: 8.8.8.8
非权威应答:
名称: www.a.shifen.com
Address: 220.181.111.147 //如果能够解析成功,那么就会打印出该域名对应的公网IP地址
Aliases: www.baidu.com
如经以上步骤排查,故障仍然无法解决,请直接跳到“步骤7:检查出口是否部署流控或防火墙设备”步骤处理。
步骤7、检查出口是否部署流控或防火墙设备
由于防火墙或流量控制设备,一般需要配置显式地放通内网流量,否则可能会将所有流量丢弃。因此当出口路由器与外网通信正常,但是内网用户无法与外网通信(包括ping不通外网、ping得通外网但某些业务异常等),都可能是防火墙或流控设备上做了相关限制,需排查防火墙/流控设备上的配置。
如果条件允许,可以将内网直接接到出口路由器上,跳过防火墙/流控设备进行测试。
步骤8:搜集故障信息,联系4008-111000协助处理
如果经过以上步骤排查故障仍然无法解决,请搜集以下故障信息,联系4008-111000协助处理。
(1)搜集现场拓扑信息
(2)提供以上步骤1~步骤6的测试结果文章来源:https://www.toymoban.com/news/detail-769758.html
(3)搜集出口路由器如下信息:文章来源地址https://www.toymoban.com/news/detail-769758.html
sh version
show clock
sh cpu
sh memory
show memory protocols
sh logging
show run
show slot
show arp
show interface(搜集三次,每次隔5秒左右)
show ip route
show ip fpm counters(搜集三次,每次隔5秒左右)
show ip fpm sta(搜集三次,每次隔5秒左右)
到了这里,关于锐捷设备 | 部署了NAT后,内网用户无法访问外网,怎么办?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
