摘要:大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:1、交换机/路由器疑难故障处理方案2、网络架构优化与安全防护实战技巧3、中小企业低成本智能组网案例解析长按【收藏】 搭建你的专属运维知识库,点亮文末小红心,激励飞哥创作更多硬核内容。
大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:
1、交换机/路由器疑难故障处理方案
2、网络架构优化与安全防护实战技巧
3、中小企业低成本智能组网案例解析
点亮文末小红心,激励飞哥创作更多硬核内容。
特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!
网络拓扑图
为什么内网用户配置好ip却上不了网?
我们在做实验或者在内网中最常碰到的情况之一就是:
1、客户端的IP地址已经配置好了
2、网卡也没红叉,但就是打不开网页
3、PING不通公网
在eNSP里模拟这种情况也很常见,尤其是用了dhcp自动获取地址、配置了NAT转发之后,网络“看起来没问题”,但其实缺了几个小细节,不通就是不通。
常见现象包括:
客户端获取到的IP地址没问题,但无法访问外网;PING网关没问题,PING公网比如 114.114.114.114 就不通;本地抓包发现没有ARP请求问题,也没看到NAT转换记录;这种场景大概率是 NAT 配置有漏,或者 DHCP 提供的信息不全
排障过程
1、定位问题根源
开始排查的时候,首先从以下几点入手:
DHCP服务是否工作正常?是否下发了正确的网关(缺网关=不能出网)是否分配了正确的IP段?有没有冲突?NAT地址转换是否生效?源地址是否成功被转换?是否匹配了正确的acl?默认路由配置是否完整?举个例子,你可以在AR路由器上敲以下命令查看地址转换状态:
[AR1] display nat session说明: display 表示“显示”,nat session 表示当前的NAT会话状态,用来确认是否有地址转换成功的记录。如果这条命令没有输出,说明你的内网流量根本没有匹配到 NAT 策略。
2、紧急恢复操作
为了快速恢复连接,先做三个操作:
手动配置一条 NAT策略,绑定接口;检查 ACL 规则是否匹配内网地址;在客户端手动设置 DNS,避免 DHCP 没下发的问题。[AR1] acl 2001[AR1-acl-basic-2001] rule permit source 192.168.10.0 0.0.0.255说明: acl 2001 是定义一个基本访问控制列表,匹配内网的地址范围 192.168.10.0/24,用于后续 NAT 策略中判断哪些地址可以做地址转换。
[AR1] interface GigabitEthernet 0/0/0[AR1-GigabitEthernet0/0/0] nat outbound 2001说明: 在外网出接口上绑定 NAT 策略 2001,让匹配该 ACL 的内网流量可以转换出公网。
3、根治策略冲突
长期来看,得做以下优化:
在 DHCP 中正确下发默认网关与 DNS 地址;确认 NAT 策略中是否配置 ACL,范围是否精确;防火墙策略是否误拦截 NAT 之后的流量。注意:DHCP、NAT、默认路由三者缺一不可,网络才通。
技术复盘(基于 eNSP 环境)
我们在 eNSP 中搭建了如下拓扑:
AR1:连接公网,作为 DHCP 和 NAT 设备;PC1:连接 AR1,通过 DHCP 自动获取地址;Cloud:代表外网 Internet;1、设备配置及说明:
设备接口IP地址/功能说明AR1GE0/0/0200.1.1.1连接外网,配置静态默认路由AR1GE0/0/1192.168.10.1内网网关,绑定DHCP、NATSW1-二层交换连接AR1与PC1PC1-DHCP动态分配自动获取IP、网关、DNS2、配置关键步骤:
实验关键配置如下:
# 开启DHCP服务[AR1] dhcp enable[AR1] ip pool pool1[AR1-ip-pool-pool1] network 192.168.10.0 mask 255.255.255.0[AR1-ip-pool-pool1] gateway-list 192.168.10.1[AR1-ip-pool-pool1] dns-list 114.114.114.114# 在内网接口开启DHCP分发[AR1] interface GigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1] ip address 192.168.10.1 255.255.255.0[AR1-GigabitEthernet0/0/1] dhcp select global# 配置ACL匹配内网地址[AR1] acl 2001[AR1-acl-basic-2001] rule permit source 192.168.10.0 0.0.0.255# 配置NAT策略(在公网接口绑定)[AR1] interface GigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0] ip address 200.1.1.1 255.255.255.0[AR1-GigabitEthernet0/0/0] nat outbound 2001# 配置默认路由[AR1] ip route-static 0.0.0.0 0.0.0.0 200.1.1.2# 说明: 这条是默认路由,所有出公网的流量都会从这个接口转发给下一个跳。工程师的深夜独白
说实话,刚开始接触网络时,配置 NAT + DHCP ,也常常搞懵。实验跑不通,明明配置了一堆命令,客户端还是“假通”。
有次客户电话打来,现场网络瘫痪,当时凌晨一点和一个小伙伴【在办公室死磕配置,才发现是 DHCP 下发网关写错了,结果内网设备压根不知道怎么出网。那一刻,真觉得自己技术还得补课,也明白了网络这个活儿,真不是靠死记硬背命令,而是理解整个数据流怎么走。
技术要点总结
DHCP 配置三要素:IP段、网关、DNS,缺一不可。NAT 需配合 ACL 使用,确保只转换需要出网的地址段。eNSP 是个好工具,但细节必须配置全,不然就是“假通”。默认路由别忘记,所有出网流量的“导航指路人”。作者简介
我是“极客运维社”飞哥,网络、系统运维工程师一枚,持续分享【网络技术+系统运维技术】干货。码字不易,如果您觉得文章还可以,就关注+收藏吧,也许在以后某个时间能够用得到。
来源:极客运维社
