版块 综合类 畅所欲言 【每日一记10】+第6天:华为路由器NAT表项维护 ...
【每日一记10】+第6天:华为路由器NAT表项维护
  

易逝的信仰 2020-8-10 16:471673

{{ttag.title}}
本帖最后由 易逝的信仰 于 2020-8-10 16:49 编辑

网络概述:

典型网络。内网主机通过边界路由器的PAT访问外网,边界路由器的默认路由指向ISP网关,内网使用专用的V P N设备通过IPSEC-V P N与另一分支建立L2L-V P N,内网服务器通过DNAT,使用独立的公网IP向外网发布网络服务。



问题:

最近这段时间网络出现访问外网速度变慢的情况,外网页面打不开,或者很慢,刷新后偶尔正常。内网Ping公网IP不通,tracert公网IP收不到ISP网关的回包,但通过V P N访问对端内段IP正常。此故障为间歇性故障,且无规律。



排除思路:

从外网ping边界路由器公网端口正常,在边界路由器上直接ping公网IP正常,说明链路和路由正常;

内网下通过公网IP访问外网站点,故障依旧,排除DNS问题;

外网下通过DNAT访问内网服务器的公网IP,不通。

综上所述,只要出现地址转换就容易出现问题,问题应该出在NAT上。一年前内网向外网发布服务,用到了长链接,当时修改的NAT表项的老化时间为3个小时,运行一年内正常。



解决方法:

登陆边界路由器,清空NAT表项后正常。

调整路由器的NAT表项老化时间为1个小时。



操作方法小计:

查看当前NAT表项数目:

[YD-Router]display nat session number
  The total number of NAT session tables is: 1717


清空当前所有NAT表项(清除NAT的会话表项后,会导致业务中断,操作前请务必仔细确认!):

[YD-Router]reset nat session all
Warning:The current all NAT sessions will be deleted.
Are you sure to continue?[Y/N]Y
    如果发现NAT表项过多,可能是现网存在其他***流量导致(如伪造IP源地址的DoS***,执行命令display nat session all显示有大量不存在的IP相关会话),可以执行命令urpf loose使能URPF功能。

interface GigabitEthernet 0/0/0
urpf loose
参考:

http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000027356&partNo=10112



查看当前NAT的流表信息:

[YD-Router]display nat session all
  NAT Session Table Information:
     Protocol          : UDP(17)
     SrcAddr  Port *** : 10.0.3.147      5041
     DestAddr Port *** : 153.3.XXX.XXX    7004
     NAT-Info
       New SrcAddr     : 219.238.XXX.XXX
       New SrcPort     : 15290
       New DestAddr    : ----
       New DestPort    : ----


查看当前设备上配置的所有NAT会话表项的超时时间:

[YD-Router]display firewall-nat session aging-time
---------------------------------------------
  tcp protocol timeout         : 10800 (s)
  tcp-proxy timeout            : 10    (s)
  http protocol timeout        : 120   (s)
  udp protocol timeout         : 120   (s)
  icmp protocol timeout        : 20    (s)
  dns protocol timeout         : 120   (s)
  ftp protocol timeout         : 120   (s)
  ftp-data protocol timeout    : 120   (s)
  rtsp protocol timeout        : 60    (s)
  rtsp-media protocol timeout  : 120   (s)
  sip protocol timeout         : 1800  (s)
  sip-media protocol timeout   : 120   (s)
  pptp protocol timeout        : 600   (s)
  pptp-data protocol timeout   : 600   (s)
---------------------------------------------
        修改TCP NAT表项的超时时间:

[YD-Router]firewall-nat session tcp aging-time 3600
参考:

http://support.huawei.com/hedex/pages/EDOC100000972430001310/07/EDOC100000972430001310/07/resources/ar/display_firewall-nat_session_aging-time.html      

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

头像被屏蔽
新手517842 发表于 2020-8-11 10:44
  
提示: 作者被禁止或删除 内容自动屏蔽
新手978513 发表于 2020-8-11 10:52
  

感谢分享
头像被屏蔽
新手612152 发表于 2020-8-11 12:09
  
提示: 作者被禁止或删除 内容自动屏蔽
头像被屏蔽
新手741261 发表于 2020-8-11 12:23
  
提示: 作者被禁止或删除 内容自动屏蔽
sangfor_闪电回_小六 发表于 2020-8-11 17:16
  
您好,感谢楼主分享,如文章为转载的内容需附上原文链接+个人点评或见解哦!

关于笔记内容社区建议如下↓
创作笔记指南:
内容图文结合,文章不用太长,条理清晰,有实质性的参考价值,能解决实际问题;
建议笔记采用的结构:
QA(问题-答案)式结构,先说问题,再给建议或者解决方案(可以多条并列)以故障排错为例:问题现象--原因分析---排查思路和解决方法--排查结果--注意事项” 可以参考这样的组织结构写作;
杜绝复制粘贴式、抄袭、滥竽充数、灌水、过于简单的内容(否则将取消激励,造成个人时间浪费!小编会审核每一条笔记的哦)
参考案例:https://bbs.sangfor.com.cn/forum ... read&tid=100181
伊利丹·怒风 发表于 2021-7-27 11:44
  
谢谢分享,有助于工作!
yim 发表于 2021-8-16 20:42
  
发表新帖
作者其他文章
【排障笔记本】win10系统如何关闭registry进程 【排障笔记本】WEB扫描报错:起始URL已防护,不再进行扫描 【排障笔记本】IPSECVPN之命令控制台测试不通
热门标签
全部标签>
每日一问
【 社区to talk】
新版本体验
高手请过招
标准化排查
功能体验
产品连连看
纪元平台
GIF动图学习
社区新周刊
平台使用
信服课堂视频
技术笔记
安全效果
安装部署配置
网络基础知识
运维工具
排障笔记本
S豆商城资讯
答题自测
解决方案
VPN 对接
2023技术争霸赛专题
云化安全能力
关键解决方案
专家问答
设备维护
存储
迁移
文档捉虫
华北区交付直播
每周精选
西北区每日一问
产品解析
畅聊IT
技术圆桌
在线直播
MVP
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
用户认证
原创分享
sangfor周刊
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
产品预警公告
玩转零信任
技术争霸赛
「智能机器人」
追光者计划
卧龙计划
华北区拉练
天逸直播
以战代练
秒懂零信任
技术晨报
技术盲盒
山东区技术晨报
齐鲁TV
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
升级&主动服务
高频问题集锦
POC测试案例
全能先锋系列
专家说
热门活动
产品动态
行业实践
转盘
任务
商城
勋章
成长计划

本版版主

Gethin
461
248
13

发帖

粉丝

关注

音乐小组组员 2018元旦

本版热帖

本版达人

feeling

本周分享达人

新手29676...

本周提问达人