网络概述:
典型网络。内网主机通过边界路由器的PAT访问外网,边界路由器的默认路由指向ISP网关,内网使用专用的×××设备通过IPSEC ×××与另一分支建立L2L ×××,内网服务器通过DNAT,使用独立的公网IP向外网发布网络服务。
问题:
最近这段时间网络出现访问外网速度变慢的情况,外网页面打不开,或者很慢,刷新后偶尔正常。内网Ping公网IP不通,tracert公网IP收不到ISP网关的回包,但通过×××访问对端内段IP正常。此故障为间歇性故障,且无规律。
排除思路:
从外网ping边界路由器公网端口正常,在边界路由器上直接ping公网IP正常,说明链路和路由正常;
内网下通过公网IP访问外网站点,故障依旧,排除DNS问题;
外网下通过DNAT访问内网服务器的公网IP,不通。
综上所述,只要出现地址转换就容易出现问题,问题应该出在NAT上。一年前内网向外网发布服务,用到了长链接,当时修改的NAT表项的老化时间为3个小时,运行一年内正常。
解决方法:
登陆边界路由器,清空NAT表项后正常。
调整路由器的NAT表项老化时间为1个小时。
结果等待验证。。。
小计:
查看当前NAT表项数目:
[YD-Router]display nat session number The total number of NAT session tables is: 1717
清空当前所有NAT表项(清除NAT的会话表项后,会导致业务中断,操作前请务必仔细确认!):
[YD-Router]reset nat session all Warning:The current all NAT sessions will be deleted. Are you sure to continue?[Y/N]Y
如果发现NAT表项过多,可能是现网存在其他***流量导致(如伪造IP源地址的DoS***,执行命令display nat session all显示有大量不存在的IP相关会话),可以执行命令urpf loose使能URPF功能。
interface GigabitEthernet 0/0/0 urpf loose
参考:
查看当前NAT的流表信息:
[YD-Router]display nat session all NAT Session Table Information: Protocol : UDP(17) SrcAddr Port *** : 10.0.3.147 5041 DestAddr Port *** : 153.3.XXX.XXX 7004 NAT-Info New SrcAddr : 219.238.XXX.XXX New SrcPort : 15290 New DestAddr : ---- New DestPort : ----
查看当前设备上配置的所有NAT会话表项的超时时间:
[YD-Router]display firewall-nat session aging-time --------------------------------------------- tcp protocol timeout : 10800 (s) tcp-proxy timeout : 10 (s) http protocol timeout : 120 (s) udp protocol timeout : 120 (s) icmp protocol timeout : 20 (s) dns protocol timeout : 120 (s) ftp protocol timeout : 120 (s) ftp-data protocol timeout : 120 (s) rtsp protocol timeout : 60 (s) rtsp-media protocol timeout : 120 (s) sip protocol timeout : 1800 (s) sip-media protocol timeout : 120 (s) pptp protocol timeout : 600 (s) pptp-data protocol timeout : 600 (s) ---------------------------------------------
修改TCP NAT表项的超时时间:
[YD-Router]firewall-nat session tcp aging-time 3600
参考: