电子政务 网络管理 常见故障处理

NAT地址池引发的网络故障

来源:网络部撰稿人:网络部发布时间:2015-07-01 字体:[] [][关闭][打印]

  在互联网发展的今天,通常只能通过租赁的方式来获取互联网出口,然后再使用该互联网出口发展互联网用户。例如当新租赁了一个移动的互联网出口,为了检验该互联网出口的稳定性和带宽承载力,通常会将办公网用户切换至该出口上。

  完成互联网切换工作后,当有出现用户宽带拨号连接正常,但打不开网页。首先要对部分出现网络故障的电脑进行查看,使用Ping命令进行一步一步的排查,得出的结论是能正常Ping通BRAS、防火墙的内网口和外网口IP地址,就是Ping不通该出口的网关。同时也有固定IP地址也不能正常上网,出现的故障现象和进行PPPoE拨号的用户是一样的。有时人们为了方便内部办公软件服务器、网络管理服务器的登录以及网络维护的需要,在配置DHCP地址池时会将部分IP地址进行了排除作为静态使用。

  首先对浏览器进行了尝试恢复,然后使用命令ipconfig/flushdns进行了DNS缓存清理,最后重新PPPoE拨号连接,出现网络故障的部分电脑能够正常上网了,一般就会把问题归结为互联网出口更换后,由于部分电脑的DNS缓存没有及时清理,才造成上不去网。但是后期还是有电脑上不去网,就需要重新梳理思路了。在调整互联网出口时只是将办公网段的地址进行了NAT地址的映射,然后将防火墙上的办公网地址段用户使用策略路由指向了移动的网关,最后修改了BRAS上的DNS。最后经逐级排查会发现可能NAT地址池存在错误,假如移动公司分配的公网地址段是112.52.69.192/28,通过计算得知该网段的IP地址范围是112.52.69.192—112.52.69.207,其中112.52.69.194作为防火墙的互联接口地址,112.52.69.193是移动互联网的网关,112.52.69.192是网络地址不能使用,112.52.69.207是广播地址不能使用,那么除去这四个地址还剩下12.52.69.195—12.52.69.206这7个地址可以正常使用,但是在防火墙上配置的NAT池是112.52.69.195—112.52.69.207,包括了广播地址112.52.69.207在内,这个地址它是一个广播地址不能被使用,只要将NAT地址池进行了重新配置,删除112.52.69.207,然后对有网络故障的电脑进行了重新拨号连接,网络恢复了正常,使用固定IP地址上网也恢复了正常。

  之所以出现部分电脑上不去网是因为用户正常拨号成功后,会从BRAS上获取到一个合法的网络地址,然后通过防火墙进行私网到公网的地址转换,正是这一环节由于NAT地址池中出现IP地址配置错误,才导致部分电脑将私网地址转换成了112.52.69.207,主机只能Ping通防火墙的外网口的地址,但是不能正常访问外网。为什么有的私网地址会转换成公网112.52.69.207呢,这是因为私网地址转换成的公网IP地址是从NAT地址池中随机抽取的,和IP地址的大小没有任何关系。

  为了进一步提升网络性能,可以增加一台交换机放置在防火墙的上游,租赁的互联网出口首先连接到交换机上,然后再连接到防火墙的外网口上,这样做的好处一来方便及时对互联网出口的网速进行测试,二来方便对互联网出口的网络进行故障排除。作为网络管理员在进行设备配置时,特别是核心设备的配置改动,需要提交一个可行的方案,或者最起码将关键步骤进行书面展示,这样可以有效防止因为其他客观因素造成的网络设备参数配置错误,还有一点就是细心,特别是核心网络设备的配置更改直接影响到成千上万个互联网用户的上网体验,只有认识到操作失误的严重性,才能真正做到设备的细心和慎重配置,这样才能保证设备的稳定良好运行,最终也提高了互联网用户的良好网络体验。