NAT资源耗尽 一次令人头疼的网络故障^
一次令人头疼的网络故障
清明节刚过,上班后好多人报网络很慢,而且时不时就上不了,然后开始检查,发现故障如下,内网正常,外网断断续续,搞人的人非常不爽。网络图如下:
先查内网设备 show logging 都没有什么错误信息
一路检查,都没找至什么异常信息
网上发贴请教,有人出主意环路问题 ,然后开始查找环路
发现 65 与 37 之间还有刀片之间的确有地方配置有点问题 65 ,认为 37 与 65 之间应该起三层,这样更好一些(原先我的配置是 37 与 65 之间走二层, 65 与刀箱交换是因为配置多选一个 VLAN1 ,故不是什么原因),
然起三层 ,37 起 ospf ,连 65 各一个网段,连 SCE 一个网段
测试,故障依旧,晕啊,已经 2 天
后怀疑是 ISP 问题 拔出口线路直接到笔记本测试没问题
晕了
第 3 天下午,奇迹出现,网络正常如前,无一丝异常,兴奋中,以为故障解决,高兴啊
第 4 天问题 又来了
后想到是 ARP 或 DHCP IP 冲突 , 然后使用 cisco DAI 技术
DAI ( MAC 表与 DHCP IP MAC 表对比),详细请参阅相关资料
测试……,问题依旧
确实无从下手了
第 5 天,偶然查找打开防火墙,发现日志提示 NAT 资源耗尽 ,这是什么原因,致电防火墙售后,得知网络断断续续的真正原因
我的外网出口只有一个公网 IP ,做 NAT 转换,而 NAT 转换最多有 65536 个端口(或连接)
而我在防火墙上 show session 发现已有 70000 多个连接分配(防火墙最多支持 200 万个),所以导致大家都在争夺资源,所以网络断断续续,
查看防火墙上 IP 应用连接,发现有个机器有 30000 多个连接(肯定中毒,正常用户即使用下载软件也就一二百个),怪不得网络断啊,总算找到问题
在防火墙上做限制到每 IP500 个连接,网络马上恢复正常
后在分公司防火墙上也做限制。
网络正常了,
先查内网设备 show logging 都没有什么错误信息
一路检查,都没找至什么异常信息
网上发贴请教,有人出主意环路问题 ,然后开始查找环路
发现 65 与 37 之间还有刀片之间的确有地方配置有点问题 65 ,认为 37 与 65 之间应该起三层,这样更好一些(原先我的配置是 37 与 65 之间走二层, 65 与刀箱交换是因为配置多选一个 VLAN1 ,故不是什么原因),
然起三层 ,37 起 ospf ,连 65 各一个网段,连 SCE 一个网段
测试,故障依旧,晕啊,已经 2 天
后怀疑是 ISP 问题 拔出口线路直接到笔记本测试没问题
晕了
第 3 天下午,奇迹出现,网络正常如前,无一丝异常,兴奋中,以为故障解决,高兴啊
第 4 天问题 又来了
后想到是 ARP 或 DHCP IP 冲突 , 然后使用 cisco DAI 技术
DAI ( MAC 表与 DHCP IP MAC 表对比),详细请参阅相关资料
测试……,问题依旧
确实无从下手了
第 5 天,偶然查找打开防火墙,发现日志提示 NAT 资源耗尽 ,这是什么原因,致电防火墙售后,得知网络断断续续的真正原因
我的外网出口只有一个公网 IP ,做 NAT 转换,而 NAT 转换最多有 65536 个端口(或连接)
而我在防火墙上 show session 发现已有 70000 多个连接分配(防火墙最多支持 200 万个),所以导致大家都在争夺资源,所以网络断断续续,
查看防火墙上 IP 应用连接,发现有个机器有 30000 多个连接(肯定中毒,正常用户即使用下载软件也就一二百个),怪不得网络断啊,总算找到问题
在防火墙上做限制到每 IP500 个连接,网络马上恢复正常
后在分公司防火墙上也做限制。
网络正常了,
转载于:https://blog.51cto.com/sfwang/311611
扫一扫
4177
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
