网络概述:

典型网络。内网主机通过边界路由器的PAT访问外网,边界路由器的默认路由指向ISP网关,内网使用专用的V P N设备通过IPSEC-V P N与另一分支建立L2L-V P N,内网服务器通过DNAT,使用独立的公网IP向外网发布网络服务。


问题:

最近这段时间网络出现访问外网速度变慢的情况,外网页面打不开,或者很慢,刷新后偶尔正常。内网Ping公网IP不通,tracert公网IP收不到ISP网关的回包,但通过V P N访问对端内段IP正常。此故障为间歇性故障,且无规律。


排除思路:

  • 从外网ping边界路由器公网端口正常,在边界路由器上直接ping公网IP正常,说明链路和路由正常;

  • 内网下通过公网IP访问外网站点,故障依旧,排除DNS问题;

  • 外网下通过DNAT访问内网服务器的公网IP,不通。

  • 综上所述,只要出现地址转换就容易出现问题,问题应该出在NAT上。一年前内网向外网发布服务,用到了长链接,当时修改的NAT表项的老化时间为3个小时,运行一年内正常。


解决方法:

  • 登陆边界路由器,清空NAT表项后正常。

  • 调整路由器的NAT表项老化时间为1个小时。


操作方法小计:

  • 查看当前NAT表项数目:

[YD-Router]display nat session number
  The total number of NAT session tables is: 1717


  • 清空当前所有NAT表项(清除NAT的会话表项后,会导致业务中断,操作前请务必仔细确认!):

[YD-Router]reset nat session all
Warning:The current all NAT sessions will be deleted.
Are you sure to continue?[Y/N]Y

    如果发现NAT表项过多,可能是现网存在其他***流量导致(如伪造IP源地址的DoS***,执行命令display nat session all显示有大量不存在的IP相关会话),可以执行命令urpf loose使能URPF功能。

interface GigabitEthernet 0/0/0 
urpf loose

参考:

http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000027356&partNo=10112 


  • 查看当前NAT的流表信息:

[YD-Router]display nat session all
  NAT Session Table Information:
     Protocol          : UDP(17)
     SrcAddr  Port *** : 10.0.3.147      5041
     DestAddr Port *** : 153.3.XXX.XXX    7004
     NAT-Info
       New SrcAddr     : 219.238.XXX.XXX
       New SrcPort     : 15290
       New DestAddr    : ----
       New DestPort    : ----


  • 查看当前设备上配置的所有NAT会话表项的超时时间:

[YD-Router]display firewall-nat session aging-time
---------------------------------------------
  tcp protocol timeout         : 10800 (s)
  tcp-proxy timeout            : 10    (s)
  http protocol timeout        : 120   (s)
  udp protocol timeout         : 120   (s)
  icmp protocol timeout        : 20    (s)
  dns protocol timeout         : 120   (s)
  ftp protocol timeout         : 120   (s)
  ftp-data protocol timeout    : 120   (s)
  rtsp protocol timeout        : 60    (s)
  rtsp-media protocol timeout  : 120   (s)
  sip protocol timeout         : 1800  (s)
  sip-media protocol timeout   : 120   (s)
  pptp protocol timeout        : 600   (s)
  pptp-data protocol timeout   : 600   (s)
---------------------------------------------

        修改TCP NAT表项的超时时间:

[YD-Router]firewall-nat session tcp aging-time 3600

参考:

http://support.huawei.com/hedex/pages/EDOC100000972430001310/07/EDOC100000972430001310/07/resources/ar/display_firewall-nat_session_aging-time.html