網絡概述:
典型網絡。內網主機通過邊界路由器的PAT訪問外網,邊界路由器的默認路由指向ISP網關,內網使用專用的×××設備通過IPSEC ×××與另一分支建立L2L ×××,內網服務器通過DNAT,使用獨立的公網IP向外網發佈網絡服務。
問題:
最近這段時間網絡出現訪問外網速度變慢的情況,外網頁面打不開,或者很慢,刷新後偶爾正常。內網Ping公網IP不通,tracert公網IP收不到ISP網關的回包,但通過×××訪問對端內段IP正常。此故障爲間歇性故障,且無規律。
排除思路:
從外網ping邊界路由器公網端口正常,在邊界路由器上直接ping公網IP正常,說明鏈路和路由正常;
內網下通過公網IP訪問外網站點,故障依舊,排除DNS問題;
外網下通過DNAT訪問內網服務器的公網IP,不通。
綜上所述,只要出現地址轉換就容易出現問題,問題應該出在NAT上。一年前內網向外網發佈服務,用到了長鏈接,當時修改的NAT表項的老化時間爲3個小時,運行一年內正常。
解決方法:
登陸邊界路由器,清空NAT表項後正常。
調整路由器的NAT表項老化時間爲1個小時。
結果等待驗證。。。
小計:
查看當前NAT表項數目:
[YD-Router]display nat session number The total number of NAT session tables is: 1717
清空當前所有NAT表項(清除NAT的會話表項後,會導致業務中斷,操作前請務必仔細確認!):
[YD-Router]reset nat session all Warning:The current all NAT sessions will be deleted. Are you sure to continue?[Y/N]Y
如果發現NAT表項過多,可能是現網存在其他***流量導致(如僞造IP源地址的DoS***,執行命令display nat session all顯示有大量不存在的IP相關會話),可以執行命令urpf loose使能URPF功能。
interface GigabitEthernet 0/0/0 urpf loose
參考:
查看當前NAT的流表信息:
[YD-Router]display nat session all NAT Session Table Information: Protocol : UDP(17) SrcAddr Port *** : 10.0.3.147 5041 DestAddr Port *** : 153.3.XXX.XXX 7004 NAT-Info New SrcAddr : 219.238.XXX.XXX New SrcPort : 15290 New DestAddr : ---- New DestPort : ----
查看當前設備上配置的所有NAT會話表項的超時時間:
[YD-Router]display firewall-nat session aging-time --------------------------------------------- tcp protocol timeout : 10800 (s) tcp-proxy timeout : 10 (s) http protocol timeout : 120 (s) udp protocol timeout : 120 (s) icmp protocol timeout : 20 (s) dns protocol timeout : 120 (s) ftp protocol timeout : 120 (s) ftp-data protocol timeout : 120 (s) rtsp protocol timeout : 60 (s) rtsp-media protocol timeout : 120 (s) sip protocol timeout : 1800 (s) sip-media protocol timeout : 120 (s) pptp protocol timeout : 600 (s) pptp-data protocol timeout : 600 (s) ---------------------------------------------
修改TCP NAT表項的超時時間:
[YD-Router]firewall-nat session tcp aging-time 3600
參考: