网络管理工程师其他接入业务故障诊断与排除

网络管理工程师其他接入业务故障诊断与排除学习目标掌握NAT相关技术的故障排除方法；掌握PPPOE故障排除方法掌握VRRP故障排除的方法。学习完本课程，您应该能够：3/20/20252课程内容

NAT转发流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除3/20/20253NAT综述NAT知识简介NAT转发流程NAT故障排除的一般步骤NAT故障案例分析3/20/20254NAT知识简介网络地址转换NAT（NetworkAddressTranslation）又称地址代理，它实现了私有网络访问公有网络的功能。

NAT、PAT、ALG3/20/20255NAT转发流程(内网-外网)Internet内部网络NAT路由器公用地址池公网地址私网地址私网端口公网端口10011044DP:21,SP:1001DP:21,SP:1001DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址转换表项123453/20/20256NAT转发流程(外网-网网)公网地址私网地址私网端口公网端口10011044Internet内部网络NAT路由器公用地址池DP:21,SP:1044DP:1044,SP:21DP:1001,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DP:21,SP:10443/20/20257NAT故障排查的一般步骤检查NAT网关上是否有正确的会话信息检查NAT网关到外网目的主机的可达性检查NAT网关上绑定的ACL的规则

检查内网主机的网关或路由配置

检查相应协议的ALG标志是否使能

3/20/20258NAT内部服务器故障排除的一般步骤NATServer上是否有正确的会话信息

确保内网服务器上服务正常运行

检查外网主机和NATServer外网接口之间的连接及配置

检查内网主机的网关或者路由配置是否指向NAT网关

检查NATServer的配置是否正确

3/20/20259NAT常用诊断命令命令说明displaynatalg

显示NATALG各协议的使能情况

displaynatoutbound

显示NATOutbound的配置情况

displayfirewallsessiontable

显示某个接口板上的会话信息

displayiprouting-table

显示路由表信息

disnataddress-group

显示NAT的地址池信息

displayaclall

显示所有ACL的配置信息

displaynatserver

显示NATServer的配置信息

3/20/202510NAT故障案例分析故障现象：路由器上配置了NATOutbound，使内网网段的用户可以访问外网。NATOutbound使用的EasyIP模式，使用ACL3000确保只有来自网段内网用户可以访问外网。配置后发现IP地址为的PC机不能访问外网IP地址为的FTPServer。

3/20/202511NAT故障案例分析故障分析：内网PC机不能ping通NAT网关的内网接口，但从NAT网关可以ping通外网的服务器，推测PC上的路由设置不正确。将PC上的路由设置好后，PC可以ping通，但仍然无法正常访问FTPServer，在NAT网关查看会话信息，发现没有任何创建的会话。检查ACL的配置，发现ACL3000的配置为：很明显该配置有误，修改为继续使用PC访问FTPServer，可以正常建立控制连接，但无法进行数据传送。查看NAT上的会话信息，只有一条从内网PC到FTPServer21端口的会话，没有建立数据连接会话。检查ALGFTP的设置，发现FTP标志位置为disable。使能ALGFTP功能，再尝试从内网PC访问外网FTPServer，一切正常，可以传送文件了。3/20/202512NAT故障案例分析案例总结：ACL配置对报文能否通过NAT网关起决定作用，比较容易出现问题内网PC上的路由是容易忘记的一项配置

FTP协议在NATOutbound模式下需要使能FTP的ALG功能，否则可能无法进行正确的数据传送3/20/202513课程内容

NAT转发流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除3/20/202514PPPOE概述主要功能是在以太网上提供点到点的连接使以太网主机通过一个桥接设备连到一个远端的接入集中器上(AC)每个主机都具有PPP协议栈可以实现对用户进行接入控制、计费及其它服务全方位的接入控制用户认证、上网时段、CAR、本地用户互访、实现账号漫游灵活的计费策略PPPOE使用二层广播包可以通过VLAN限制PPPOE二层广播包每个PPPOE主机必需安装PPPOE客户端软件3/20/202515PPPOE概述发现阶段一个主机发现一个接入集中器，发现AC的MAC确定会话标识SessionIDPPP会话阶段主机和接入集中器之间依据PPP协议传送PPP数据，进行PPP的各项协商和数据传输。传输的数据包中必须包含在发现阶段确定的会话标识并保持不变3/20/202516PPPOE的报文PPPOE的发现阶段的报文格式依据代码域可分为以下5种：PADI(PPPOE发现初始报文)PADO(PPPOE发现提供报文)PADR(PPPOE发现请求报文)PADS(PPPOE发现会话确认报文)PADT(PPPOE发现终止报文)3/20/202517一个完整的PPPOE过程3/20/202518PPPOE案例分析故障现象:用户通过PPPOE拔号成功后能ping通百度的网站服务器，无法打开百度网页，可以打开163的网页。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACIPInternetPPPOE用户BASSwitch网站服务器3/20/202519PPPOE案例分析处理过程：在用户PC上抓包分析，从抓包来看，PC机已与百度网站建立TCP联接，在PC上已正常发送HTTP的请求报文，但没有收到网站返回的HTTP报文在BAS的internet侧抓包，从抓包看网站已返回HTTP数据流，且报文的大小为1500字节其DF=1检查BAS的PPPOE接口的MTU值，MTU=1472字节将BAS的PPPOE接口的MTU值修改为1500字节后恢复正常案例总结：能ping通但不能打开部分网页的问题可以重点检查网络接口MTU和网站发送报文的DF位的值3/20/202520课程内容

NAT转发流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除3/20/202521VRRP概述VRRP（Virtualrouterredundancyprotocol,虚拟路由器冗余协议）提供了局域网上的设备备份机制用VRRP实现虚拟路由器Internet实际IP地址：/24实际IP地址：/24虚拟IP地址：/243/20/202522VRRP概述VRRP定义了一种报文：VRRP报文，是组播报文(8)VRRP定义了三种状态：初始状态（Initialize）活动状态（Master）备份状态（Backup）VRRP报文封装在IP报文上从备份组的交换机中选举主交换机：默认情况下选择优先级最大的为主交换机，其它交换机作为备份交换机主交换机定期发送VRRP报文如果备份交换机长时间没有收到主交换机报文，则将自己状态改为Master若有多台备份交换机，则根据接收的VRRP报文，选举优先级最大的交换机成为新的主交换机3/20/202523VRRP案例分析故障现象：二台交换机启用VRRP后，二台交换机的VRRP状态均为masterInternet实际IP地址：/24实际IP地址：/24虚拟IP地址：/243/20/202524VRRP案例分析处理过程检查二台交换机启用