故障現(xiàn)象

單位路由器使用專線連接外網(wǎng)，WAN接口參數(shù)設(shè)置G1/0用于連接內(nèi)部網(wǎng)絡(luò)，一直處于正常運(yùn)行狀態(tài)。為滿足更多用戶上網(wǎng)需要，擴(kuò)大單位網(wǎng)絡(luò)地址空間分布，優(yōu)化網(wǎng)絡(luò)管理性能，對(duì)單位接入路由器內(nèi)部網(wǎng)絡(luò)接口重新定義網(wǎng)絡(luò)掩碼（如圖1），由255.255.255.0調(diào)整為255.255.254.0，原網(wǎng)絡(luò)接口地址不變，連接外部網(wǎng)絡(luò)的接口不變，靜態(tài)路由（使用默認(rèn)路由）也不變。對(duì)路由器擴(kuò)大內(nèi)部網(wǎng)絡(luò)掩碼的操作更新后，發(fā)現(xiàn)內(nèi)部網(wǎng)絡(luò)無法訪問外部網(wǎng)絡(luò)，僅能Ping通內(nèi)部網(wǎng)絡(luò)接口，無法Ping通外部網(wǎng)絡(luò)接口（內(nèi)部外部接口均為路由模式）。重啟路由器時(shí)網(wǎng)絡(luò)故障依舊，內(nèi)部用戶僅能訪問內(nèi)部網(wǎng)絡(luò)服務(wù)器，無法連通外網(wǎng)應(yīng)用。

圖1 修改內(nèi)部網(wǎng)絡(luò)接口子網(wǎng)掩碼

問題分析與排查

引起路由故障的原因比較復(fù)雜，可能是由于鏈路方面的問題，也可能是由于路由協(xié)議設(shè)置不當(dāng)造成的，還有可能是受防火墻、訪問控制列表等影響限制了訪問，甚至可以懷疑是網(wǎng)絡(luò)攻擊、病毒感染、路由器內(nèi)存不足或者占用過多，以及路由器CPU持續(xù)過載等，都有可能導(dǎo)致無法訪問現(xiàn)象發(fā)生。但經(jīng)過檢查驗(yàn)證，并非這些因素導(dǎo)致。

換一種思路，企業(yè)級(jí)路由器大部分支持Web界面訪問管理方式，當(dāng)然也支持Telebt超級(jí)終端的命令行管理方式。換一種檢查手段進(jìn)行問題排查，終于發(fā)現(xiàn)問題端倪，即路由器接口G1/0的配置中多了一條參數(shù)“nat outboung”（如圖 2）。

查詢?cè)撀酚善魇褂檬謨?cè)及隨機(jī)資料，發(fā)現(xiàn)該設(shè)備支持NAT模式，即內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)（地址轉(zhuǎn)換），其基本過程是配置內(nèi)網(wǎng)IP地址段到某一外網(wǎng)地址的靜態(tài)（或動(dòng)態(tài)）地址轉(zhuǎn)換映射。設(shè)置的基本特征如下所示：

system-view

[Router]nat static outband xx.xx.xx.xx 202.112.1.100

[Router]interface gigabitethernet 1/0

[Router gigabitethernet 1/0] nat static enable

路由器NAT模式是指內(nèi)網(wǎng)與外網(wǎng)經(jīng)過網(wǎng)絡(luò)地址轉(zhuǎn)換，它們之間是不進(jìn)行路由交換的。這種模式非常適合私網(wǎng)地址訪問互聯(lián)網(wǎng)的情況使用，內(nèi)部網(wǎng)絡(luò)地址使用內(nèi)部私有地址，通過網(wǎng)關(guān)處的地址轉(zhuǎn)換實(shí)現(xiàn)訪問外網(wǎng)的目的，能較好地解決公共IP地址緊缺的問題。

圖2 命令行模式參數(shù)變化

圖3 Web界面NAT自動(dòng)出現(xiàn)配置

路由器的路由模式是路由器的各個(gè)接口與其他路由器之間可以進(jìn)行路由信息的交換，從而形成完整的路由信息，是路由器的基本功能模式，也是單位路由器原來的工作模式。

因此，接著這個(gè)思路檢查Web界面的路由器配置，發(fā)現(xiàn)在NAT配置菜單項(xiàng)中多出了一項(xiàng)關(guān)于G1/0接口的NAT配置參數(shù)（如圖3），肯定是在更新G1/0的接口子網(wǎng)掩碼過程中，Web界面程序自行為系統(tǒng)增加了一項(xiàng)NAT轉(zhuǎn)換的參數(shù)，造成了路由器路由工作模式的更改，而自動(dòng)添加的參數(shù)中又不符合NAT模式下內(nèi)網(wǎng)開始地址和結(jié)束地址的配置。由于NAT模式無法在內(nèi)外網(wǎng)之間建立有效的路由，造成對(duì)原路由模式功能的干擾導(dǎo)致了網(wǎng)絡(luò)路由的訪問故障。

故障解決

隨著路由器功能擴(kuò)展和性能提升，許多設(shè)備支持路由模式、NAT模式、橋接模式等，管理方式上可實(shí)現(xiàn)超級(jí)終端管理、Web界面管理等手段，在對(duì)簡化設(shè)備操作支持更強(qiáng)大功能的同時(shí)，也帶來了系統(tǒng)設(shè)置的復(fù)雜性，有時(shí)需要結(jié)合多種方式進(jìn)行綜合分析。為此，采取刪除NAT自動(dòng)配置參數(shù)的方法解決以上故障問題。

方法一：利用超級(jí)終端方式取消多余配置

system-view

[Router]interface gigabitethernet 1/0

[Router gigabitethernet 1/0] undo nat outbound

方法二：利用Web界面直接刪除NAT配置項(xiàng)

在圖3所示界面中，選擇Gigabitethernet 1/0接口的地址轉(zhuǎn)換一行參數(shù)項(xiàng)，點(diǎn)擊“刪除”按鈕，然后保存路由器配置。此后，路由器工作狀態(tài)恢復(fù)正常，網(wǎng)絡(luò)用戶訪問外網(wǎng)故障得到解決。