摘要:特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!
大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:
1、交换机/路由器疑难故障处理方案
2、网络架构优化与安全防护实战技巧
3、中小企业低成本智能组网案例解析
点亮文末小红心,激励飞哥创作更多硬核内容。
特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!
上个月,客户小张遇到一件烦心事。他们公司新搬了办公室,网络布完,交换机、路由器、光猫都就位。所有内网设备能互相访问,文件共享、打印机全都没问题——唯独就是上不了外网。
更奇怪的是,从边界路由器ping公网地址可以通,从内网PC 上 ping 114.114.114.114 能通,说明基本网络没问题,就是浏览器打不开网页。 项目经理急了:“我们要连官网演示系统,客户等着看上线功能,咋整?”
小张是刚转岗过来的运维,对于基础配置是没问题的。对于这个问题他挠头查了一圈 NAT 配置,怀疑是地址转换出了问题。最终在加班到晚上9点后,才发现问题根源:Easy IP【nat】配置写了,但ACL中有一个网段没有写进去,导致NAT根本没匹配上内网地址。并且 通过抓包后发现没有NAT转换,公网回应的TCP包收不到,页面自然打不开了。
小张感叹:看着简单的Easy IP,真出了问题,定位起来还真不“Easy”。
故障诊断 & 排障过程
1. 问题定位:为何内网用户不能上网?
排查步骤如下:
步骤1:确认公网地址没问题执行命令:
display ip interface brief接口 GigabitEthernet0/0/0 绑定了公网地址:200.1.1.2/24
步骤2:确认NAT策略是否正确生效执行命令:
display nat session结果为空,说明NAT会话未建立
步骤3:排查ACL配置问题 查看NAT使用的ACL 2000:acl number 2000 rule 5 permit ip source 192.168.10.0 0.0.0.255问题来了!我们内网真实地址是 192.168.20.0/24,显然这个地址段没有被匹配。
2. 紧急恢复:放通NAT ACL规则,恢复上网
新增ACL规则,匹配当前内网段acl number 2000 rule 10 permit ip source 192.168.20.0 0.0.0.255说明:ACL(Access Control List)用于匹配需要进行NAT的内网IP段,source 是来源地址,0.0.0.255 是反掩码
确认NAT配置是否生效display nat session all看到大量内网IP地址正在建立公网会话,说明 NAT 转换生效!
• 内网用户成功访问外网,问题解决
3. 后续优化建议
• 为避免ACL遗漏,推荐使用 object-group 管理地址段
• 通过display firewall session table排查访问状态更清晰
• 添加日志记录,及时发现未命中的访问请求
技术复盘(基于 eNSP 实验复现)
我们用eNSP搭建如下拓扑:
配置思路
创建 ACL:用于定义哪些内部 IP 地址需要进行 NAT 转换。进入接口视图:选择连接外网的接口。配置 NAT 策略:在接口上应用 Easy IP 方式,将匹配 ACL 的内部 IP 地址转换为该接口的公网 IP 地址。核心配置步骤如下:
sysEnter system view, return user view with Ctrl+Z.[AR1]dis cur[V200R003C00]# 给设备命名 sysname AR1# 关闭信息 undo info-center enable# 建立访问控制列表acl number 2000 rule 6 deny source 192.168.2.2 0 rule 10 permit source 192.168.0.0 0.0.0.255 ##配置连接内网ip作为各自所在网段的网关interface GigabitEthernet0/0/0 ip address 192.168.0.1 255.255.255.0 #interface GigabitEthernet0/0/2 ip address 192.168.2.1 255.255.255.0 # 配置出接口ip地址,并将访问控制列表ACL 挂载到出接口,interface GigabitEthernet0/0/1 ip address 200.1.1.2 255.255.255.0 nat outbound 2000# 配置静态路由ip route-static 0.0.0.0 0.0.0.0 200.1.1.1[AR1]验证命令:display nat session alldisplay firewall session table工程师的深夜独白
有时候,网络问题并不复杂,但在配置时的一些疏忽,足以让人头大一晚上。 Easy IP,说起来简单,但一个ACL地址段写错,就能导致部分人员断网;而客户并不会关心你ACL写了什么,他只会说一句:“你们网络是不是又出问题了?” 做为网络运维人员,总在故障与稳定之间游走。每一次排障,都是和自己知识盲区的正面交锋。
总结
Easy IP方式适用于小型企业网络,家庭网络,移动办公网络ACL规则要准确匹配内网地址段,避免漏配display nat session 是快速判断NAT是否生效的重要命令eNSP是低成本复现和演练NAT问题的利器做网络排障,先别动手,先动脑,排顺逻辑,少走弯路来源:极客运维社