本帖最后由 只如初见 于 2020-9-18 22:39 编辑
【前言】
今天接到400转过来的一个远程单子,专线做端口映射不通,其它端口映射正常,需要协助排查,最终排查结果是双机问题导致端口映射不成功,我也是第一次遇到这种原因导致端口映射不成功,现分享给大家。
【问题现象】
AF出口网关,端口映射不成功 服务器:IP 192.168.54.4/24 端口 445 AF:wan IP 10.100.3.123/24 端口 445
【排查过程】
1.在AF上ping192.168.54.4,网络可达
2.在AF上telnet192.168.54.4 445端口,端口开放,服务正常。
3.将映射的目的445端口改为44555,测试访问依旧不通,排除网络当中安全设备拦截445端口(目前很多网络过滤445端口)
4. 源IP主机ping 10.100.3.123,网络可达
5. 将映射目标IP修改为10.100.3.31,源主机telnet 445端口可以通,初步判断AF上10.100.3.123该地址存在问题
6. 在源主机上ping AF10.100.3.123,AF抓包发现,数据包时断时续,源主机一直在ping,AF接收到的数据包却很少,有时候一个都接收不到,源主机ping 10.100.3.31抓包正常,进一步判断该IP存在问题,可能地址冲突。
ping AF WAN口10.100.3.31可以抓到包,ping10.100.3.123抓不到包截图。
7.根据6猜测,进一步进行IP地址冲突验证,将AF上10.100.3.123地址去除,发现源主机不能ping通10.100.3.123,AF配置上该IP后,又可以正常ping通(到这里貌似又排除了地址冲突问题了)
8. 问题排查陷入僵局,让客户提供网络拓扑。发现AF是双机部署,有没有可能是数据转发到备机上,导致数据包抓不到、端口映射不通?于是在备机AF上进行抓包,果然抓到了备机AF在回复源主机数据,正常情况下,备机不应该进行业务数据回复。
网络拓扑截图
备机回复源主机数据截图
【问题原因】
专线接在eth4,但是在高可用网口监视中未加入eth4,从而导致异常。
【根本原因分析】
AF WAN口上存在多个IP,这些IP都可以正常ping通,但是端口映射有的可以通有的不通,在AF抓包,有的可以正常抓到,有的抓不到(在不知道双机的情况下),有的一会儿抓到,一会儿抓不到,这些现象给人一种地址冲突的感觉,当在AF上去除IP去测试时,发现突然之间又ping不通了,种种奇怪现象实则是AF路由主备模式下,接口双活导致,接口之所以存在双活,是由于在高可用中没有将接口加入监控。
【解决办法】
将所有业务口加入网口监视
PS:eth4加入网口监控后,发现10.100.31.123ping不通了,将接口IP去除掉,重新配置后才可以通。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-9-30 22:18
技术员2级 
