運(yùn)營(yíng)商IP受限惹故障

故障現(xiàn)象

筆者單位網(wǎng)絡(luò)內(nèi)部經(jīng)過(guò)上網(wǎng)網(wǎng)關(guān)EG1000M無(wú)法上網(wǎng)，從EG上Ping外網(wǎng)網(wǎng)關(guān)地址不通。

故障排查

故障反饋時(shí)登錄網(wǎng)關(guān)EG底層查看EG1000M的Gi0/1口（電信線路）的接口流量信息，上行達(dá)到4.9m，下行流量達(dá)到40m，說(shuō)明內(nèi)網(wǎng)應(yīng)該還是有部分用戶可以上網(wǎng)的（如圖1）。此時(shí)開(kāi)始懷疑是EG配置的NAT地址池有問(wèn)題。

在當(dāng)前配置的NAT地址池中Gi0/1口關(guān)聯(lián)了電信提供的多個(gè)公網(wǎng)IP，其中就有包含外網(wǎng)接口的物理 IP 58.51.82.174（如 圖2）。與此同時(shí)，在EG上Ping外網(wǎng)的網(wǎng)關(guān)58.51.82.1不通，show arp卻能學(xué)習(xí)到58.51.82.1的MAC地址，進(jìn)一步驗(yàn)證了運(yùn)營(yíng)商限制了當(dāng)前58.51.82.174基本通信的問(wèn)題。

而后在學(xué)生機(jī)房發(fā)現(xiàn)部分主機(jī)能夠上網(wǎng)，部分主機(jī)無(wú)法上網(wǎng)，在EG上跟蹤不能上網(wǎng)的主機(jī)的流表信息，發(fā)現(xiàn)不能上網(wǎng)的用戶轉(zhuǎn)換之后的IP地址是58.51.82.174，有內(nèi)網(wǎng)向外網(wǎng)發(fā)送的請(qǐng)求流量，但是沒(méi)有外網(wǎng)回應(yīng)的流量統(tǒng)計(jì)。而其他能上網(wǎng)的主機(jī)轉(zhuǎn)換的IP地址是58.51.82.223，流量又說(shuō)有發(fā)（此部分操作是遠(yuǎn)程操作，沒(méi)有截圖記錄）。

圖1 EG的接口流量信息

圖2 EG配置的NAT地址池公網(wǎng)IP

故障原因驗(yàn)證

為了驗(yàn)證故障是運(yùn)營(yíng)商提供的公網(wǎng)IP地址有問(wèn)題，筆者做了一個(gè)測(cè)試，把NAT地址池中g(shù)i0/1口關(guān)聯(lián)的地址段進(jìn)行刪改，只保留58.51.82.223這個(gè)IP關(guān)聯(lián)GI0/1口，再清空EG的流表，此時(shí)，原本不能上網(wǎng)的用戶也可以上網(wǎng)了，至此完全判斷是運(yùn)營(yíng)商線路問(wèn)題。配置如下：ip nat pool nat_pool prefix-length 24 address 58.51.82.22358.51.82.223 match interface GigabitEthernet 0/1。

故障解決

明確是運(yùn)營(yíng)商提供的公網(wǎng)IP地址有問(wèn)題，故障現(xiàn)象是運(yùn)營(yíng)商提供的外網(wǎng)IP地址無(wú)法使用導(dǎo)致的。

規(guī)避方法：通過(guò)實(shí)際驗(yàn)證結(jié)果，刪除NAT地址池中不可用的IP，保留可用的公網(wǎng)地址。

最終方法：跟運(yùn)營(yíng)商溝通，讓運(yùn)營(yíng)商取消對(duì)之前提供的公網(wǎng)IP地址的限制，故障解決。