第8章 其他业务故障诊断与排除

其他接入业务故障诊断与排除2019年9月网络管理工程师认证高级培训2学习目标掌握NAT相关技术的故障排除方法；掌握PPPOE故障排除方法掌握VRRP故障排除的方法。学习完本课程，您应该能够：2019年9月网络管理工程师认证高级培训3课程内容NAT转发流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除2019年9月网络管理工程师认证高级培训4NAT综述NAT知识简介NAT转发流程NAT故障排除的一般步骤NAT故障案例分析2019年9月网络管理工程师认证高级培训5NAT知识简介网络地址转换NAT（NetworkAddressTranslation）又称地址代理，它实现了私有网络访问公有网络的功能。NAT、PAT、ALGPC10.1.1.10/24年9月网络管理工程师认证高级培训6NAT转发流程(内网-外网)Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1202.0.0.2202.0.0.1公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044DI:6.1.128.1,SI:10.0.1.1DP:21,SP:1001DI:6.1.128.1,SI:202.0.0.1DP:21,SP:1001DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址转换表项123452019年9月网络管理工程师认证高级培训7NAT转发流程(外网-网网)公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1202.0.0.2202.0.0.1DI:202.0.0.1,SI:6.1.128.1DP:21,SP:1044DI:6.1.128.1,SI:10.0.0.1DP:1044,SP:21DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DI:10.0.1.1,SI:6.1.128.1DP:21,SP:10442019年9月网络管理工程师认证高级培训8NAT故障排查的一般步骤检查NAT网关上是否有正确的会话信息检查NAT网关到外网目的主机的可达性检查NAT网关上绑定的ACL的规则检查内网主机的网关或路由配置检查相应协议的ALG标志是否使能2019年9月网络管理工程师认证高级培训9NAT内部服务器故障排除的一般步骤NATServer上是否有正确的会话信息确保内网服务器上服务正常运行检查外网主机和NATServer外网接口之间的连接及配置检查内网主机的网关或者路由配置是否指向NAT网关检查NATServer的配置是否正确2019年9月网络管理工程师认证高级培训10NAT常用诊断命令命令说明displaynatalg显示NATALG各协议的使能情况displaynatoutbound显示NATOutbound的配置情况displayfirewallsessiontable显示某个接口板上的会话信息displayiprouting-table显示路由表信息disnataddress-group显示NAT的地址池信息displayaclall显示所有ACL的配置信息displaynatserver显示NATServer的配置信息natdisplaycommand.txt2019年9月网络管理工程师认证高级培训11NAT故障案例分析NATFTPServer202.99.8.75GE2/0/1202.99.8.6GE1/0/110.2.1.1/24PC10.2.1.6/24Internet故障现象：路由器上配置了NATOutbound，使内网10.2.1.0/24网段的用户可以访问外网。NATOutbound使用的EasyIP模式，使用ACL3000确保只有来自10.2.1.0/24网段内网用户可以访问外网。配置后发现IP地址为10.2.1.6的PC机不能访问外网IP地址为202.99.8.75的FTPServer。2019年9月网络管理工程师认证高级培训12NAT故障案例分析故障分析：内网PC机不能ping通NAT网关的内网接口10.2.1.1，但从NAT网关可以ping通外网的服务器202.99.8.75，推测PC上的路由设置不正确。将PC上的路由设置好后，PC可以ping通10.2.1.1，但仍然无法正常访问FTPServer，在NAT网关查看会话信息，发现没有任何创建的会话。检查ACL的配置，发现ACL3000的配置为：rule5permitipsource10.1.1.00.0.0.255很明显该配置有误，修改为rule5permitipsource10.2.1.00.0.0.255继续使用PC访问FTPServer，可以正常建立控制连接，但无法进行数据传送。查看NAT上的会话信息，只有一条从内网PC到FTPServer21端口的会话，没有建立数据连接会话。检查ALGFTP的设置，发现FTP标志位置为disable。使能ALGFTP功能，再尝试从内网PC访问外网FTPServer，一切正常，可以传送文件了。2019年9月网络管理工程师认证高级培训13NAT故障案例分析案例总结：ACL配置对报文能否通过NAT网关起决定作用，比较容易出现问题内网PC上的路由是容易忘记的一项配置FTP协议在NATOutbound模式下需要使能FTP的ALG功能，否则可能无法进行正确的数据传送2019年9月网络管理工程师认证高级培训14课程内容NAT转发流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除2019年9月网络管理工程师认证高级培训15PPPOE概述主要功能是在以太网上提供点到点的连接使以太网主机通过一个桥接设备连到一个远端的接入集中器上(AC)每个主机都具有PPP协议栈可以实现对用户进行接入控制、计费及其它服务全方位的接入控制用户认证、上网时段、CAR、本地用户互访、实现账号漫游灵活的计费策略PPPOE使用二层广播包可以通过VLAN限制PPPOE二层广播包每个PPPOE主机必需安装PPPOE客户端软件2019年9月网络管理工程师认证高级培训16PPPOE概述发现阶段一个主机发现一个接入集中器，发现AC的MAC确定会话标识SessionIDPPP会话阶段主机和接入集中器之间依据PPP协议传送PPP数据，进行PPP的各项协商和数据传输。传输的数据包中必须包含在发现阶段确定的会话标识并保持不变2019年9月网络管理工程师认证高级培训17PPPOE的报文PPPOE的发现阶段的报文格式依据代码域可分为以下5种：PADI(PPPOE发现初始报文)PADO(PPPOE发现提供报文)PADR(PPPOE发现请求报文)PADS(PPPOE发现会话确认报文)PADT(PPPOE发现终止报文)2019年9月网络管理工程师认证高级培训18一个完整的PPPOE过程PADI，广播，发现ACPADO，应答PADR，接入请求PADS，分配SessionIDLCP认证请求认证认证通过认证通过IPCP访问Internet访问Internet（PPPOE封装）计费信息终结PPP会话通知radius用户下线HostAccessConcentratorRadiusServer发现阶段会话阶段2019年9月网络管理工程师认证高级培训19PPPOE案例分析故障现象:用户通过PPPOE拔号成功后能ping通百度的网站服务器，无法打开百度网页，可以打开163的网页。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACIPInternetPPPOE用户BASSwitch网站服务器2019年9月网络管理工程师认证高级培训20PPPOE案例分析处理过程：在用户PC上抓包分析，从抓包来看，PC机已与百度网站建立TCP联接，在PC上已正常发送HTTP的请求报文，但没有收到网站返回的HTTP报文在BAS的internet侧抓包，从抓包看网站已返回HTTP数据流，且报文的大小为1500字节其DF=1检查BAS的PPPOE接口的MTU值，MTU=1472字节将BAS的PPPOE接口的MTU值修改为1500字节后恢复正常案例总结：能ping通但不能打开部分网页的问题可以重点检查网络接口MTU和网站发送报文的DF位的值2019年9月网络管理工程师认证高级培训21课程内容NAT转发流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除2019年9月网络管理工程师认证高级培训22VRRP概述VRRP（Virtualrouterredundancyprotocol,虚拟路由器冗余协议）提供了局域网上的设备备份机制用VRRP实现虚拟路由器Internet实际IP地址：10.100.10.3/24实际IP地址：10.100.10.2/24虚拟IP地址：10.100.10.1/242019年9月网络管理工程师认证高级培训23VRRP概述VRRP定义了一种报文：VRRP报文，是组播报文(224.0.0.18)VRRP定义了三种状态：初始状态（Initialize）活动状态（Master）备份状态（Backup）VRRP报文封装在IP报文上从备份组的交换机中选举主交换机：默认情况下选择优先级最大的为主交换机，其它交换机作为备份交换机主交换机定期发送VRRP报文如果备份交换机长时间没有收到主交换机报文，则将自己状态改为Master若有多台备份交换机，则根据接收的VRRP报文，选举优先级最大的交换机成为新的主交换机2019年9月网络管理工程师认证高级培训24VRRP案例分析故障现象：二台交换机启用VRRP后，二台交换机的VRRP状态均为masterInternet实际IP地址：10.100.10.3/24实际IP地址：10.100.10.2/24虚拟IP地址：10.100.10.1/242019年9月网络管理工程师认证高级培训25VRRP案例分析处理过程检查二台交换机启用VRRP的接口是否可以ping通检查二台交换机的VRRP组号是否一致检查二台交换机的VRRP组认证方式和密码是否一致经检查确认是由于二台设备的VRRP的组号不一致，修改后恢复正常。案例总结如果发现二台启用VRRP的接口均为MASTER状态可重点针对以下几点来排查启用相同组的VRRP接口是否可以ping通组号是否一致认证方式和密码的一致性。