【新版NBR/EG】网络中断导致全网中断，网页、QQ等各种应用无法访问

发布时间：2013-11-26

点击量：6321

1.故障现象：

全网中断，网页、QQ等各种应用无法访问

2.故障可能原因：

内网无法连通
外网无法连通
路由配置错误
NAT映射规则配置错误
流控策略配置错误

4.故障处理流程

4.故障处理步骤

步骤1：检查内网的连通性

ping EG内网口ip地址，测试能否ping通，如果能ping通，转步骤2处理，如果ping不通，按照内网无法连通的处理办法进行处理。

内网无法连通的处理办法

如果ping不通，则按照如下步骤进行处理

1、检查ARP地址学习

区分二层网络和三层网络。在二层网络中，pc的网关在EG设备上；在三层网络中，pc的网关在三层设备上，如（三层核心交换机）。

1)、二层环境检查ARP地址学习

在二层网络中，需检查EG的arp信息和pc的是否一致。操作方法如下：

使用配置线登录到EG的命令行（若设备管理不了请参见“设备无法管理”章节），在命令行执行命令：show arp查看pc对应的arp信息，并且也在pc上通过ipconfig/all命令查看pc的网卡物理地址是多少，比较EG和PC的ARP信息是否对应一致，若一致请进入第2步。

如下图2和图3：

图2

图3

从图2和图3对比，可以看出图2中EG学习到的pc（192.168.1.2）的物理地址（0024.7e6b.2024）和图3中pc的物理地址（00-24-7e-6b-20-24）是一致的，说明EG学习到PC的arp信息是正确的。如果学习不到，检查eg是否开启了arp停止学习功能。

eg可以指定接口是否进行arp自动学习，如果关闭自动学习功能，arp将无法自动学习到，而只能使用静态绑定或者已经学到的arp表项进行通信。因此需检查是否开启了arp停止学习功能，建议先对所有上网用户进行arp绑定之后再开启该功能，否则未在绑定表中的用户将无法上网。如图1，除了192.168.1.2和192.168.1.3可以上网外，其他地址均不能上网。

图1

注意：arp停止学习功能一般在二层环境中开启，即内网用户的网关都在eg上。

另外还需检查pc关于EG的arp信息是否正确。

在pc上执行命令arp -a查看关于EG的arp信息。

图4

对比图2和图4，可以看到pc上关于EG网关的ip地址(192.168.1.1)的物理地址是（00d0.f822.3344）和EG上show arp看到的一致。

如果不一致的话可通过arp双向绑定等防arp欺骗的方法解决。arp双向绑定即在pc上绑定网关的arp，在网关上绑定pc的arp。双向绑定之后如果还是无法ping通，建议将pc到直连到设备的内网口上，ping测试是否连通，以定位是中间设备问题还是出口问题。

pc的绑定方法：

图5

网关上的绑定方法：

Ruijie#con

Ruijie(config)#arp 192.168.1.2 0024.7e6b.2024 arpa

Ruijie(config)#sh arp

Protocol Address Age(min) Hardware Type Interface

Internet 192.168.1.2 <static> 0024.7e6b.2024 arpa

Internet 192.168.1.3 0 782b.cb9d.7ab5 arpa GigabitEthernet 0/0

Internet 192.168.1.1 -- 001a.a917.cb43 arpa GigabitEthernet 0/0

Internet 192.168.33.213 35 02bf.c0a8.21dc arpa GigabitEthernet 0/1

Internet 192.168.33.105 28 000c.292f.f908 arpa GigabitEthernet 0/1

2)、三层环境检查ARP地址学习

在三层网络中，pc的网关不在EG上，测试pc ping 本地的三层网关是否能ping通，如果ping不通，仍需检查三层网关设备上的arp信息是否和pc的一致，检查方法同上。

如果ping得通本地的三层网关，而ping不通EG的内网口，则需检查

a、三层设备和EG的线路连接是正常，接口灯是否亮

b、三层设备是否配置了默认路由

c、EG是否配置了正确的回指路由

d、是否存在中间设备，检查中间设备的配置

2、检查是否开启禁止Ping功能

检查EG是否开启禁ping和禁止web功能

使用console口登录设备的命令行，show run | in lan-ping查看配置。

检查是否存在如下配置（如下图），如果存在deny lan-ping，则内网无法ping通EG的内网口

如果存在deny lan-web，则内网无法web登录设备的管理界面。

如果设备没有禁止ping但是pc还是ping不通EG的内网口ip地址，则按照第3步进行检查，检查ACL配置。

3、检查是否存在ACL阻断

ACL即访问控制列表，访问控制列表是由一条一条ACE组成的，每条ACE定义了匹配条件以及匹配之后的处理办法，即允许或者禁止。ACE的匹配顺序自上而下匹配，匹配中了某条ACE则不在继续往下匹配。

检查接口是否应用ACL，使用show ip access-group命令查看。如图1，ACL120 应用在接口Gi0/0上。

接下来检查ACL120配置是否正确。命令是show access-list 120，如图2。因为ACL默认结尾为deny ip any any的，因此该ACL不仅是将 192.168.1.10阻断掉，其他的所有地址也会被阻断掉。因此如果是只想阻断192.168.1.10，而放通其他所有的，应修改配置如图3.

图1

图2

图3

若检查没有相关ACL禁止，建议将PC直连到EG内网口上测试是否可Ping通EG内网口，若能ping通，请检查内网是否存在中间设备。若还是ping不通，请联系在线客服或4008111000.

步骤2：检查外网的连通性

1、检查外网口是否up状态

在pc上ping EG的外网口ip地址，如果可以ping通，说明接口是up，按下一步检查EG是否正确学习到外网网关arp信息，如果ping不通，需检查：

通过设备外观查看外网线路所接的端口灯是否亮或者闪烁，如果灯不亮，可能是线路接触不良或者接口问题。可更换端口或者网线测试。
检查接口的ip地址是否已经配置，并且配置正确。

2、检查EG是否正确学习到外网网关arp信息

在pc上ping EG的外网网关，测试到外网是否能够ping通，如果ping得通，但是仍然无法上网，请按步骤3处理，（因为外网网关是直连网段，因此通常是可以ping通的），如果ping不通，请按照如下步骤进行处理：

登录设备的命令行，在命令行下使用show arp命令查看是否学习到网关arp，不存在网关（192.168.33.1）的arp条目（如图1）或者网关的arp条目显示为incomplete状态（如图2），说明未正确学习到网关的arp。

图1

图2

如果一直无法形成正确的arp条目，请将该线路直接连接的电脑上测试，如果连接电脑也无法上网，则说明是线路问题，请联系运营商。

如果连接电脑可以上网，则将电脑获得的网关arp信息，静态绑定到EG上，绑定命令如下：

Ruijie(config)#arp 192.168.33.1 0000.5e00.0185 arpa

图3

如果绑定之后还是无法ping通外网网关，请联系在线客服或4008.

步骤3：检查路由配置

1、检查路由表中是否有默认路由

在命令行下执行show ip route 查看路由表，如果有配置了默认路由，路由表中即可看到默认路由的条目，如图1。

如果路由表中无默认路由，需使用show run查看是否有默认路由的配置，如图2。

图1

图2

注意：如果接口没有up，则对应该接口的默认路由show ip route也是看不到的。对于多线路，可能存在多条默认路由。

2、检查路由是否配置正确

如果已经配置了默认路由，但是配置错误也将导致网络不通。

使用show ip ref ad查看邻接表，如果条目中存在discard条目，（discard条目为无效的条目，如图3），则很可能是路由配置错误，需检查路由设置。如192.168.33.1原本的出口是Gi0/5，但是被错误地配置了默认路由下一跳地址192.168.33.1的出口为Gi0/6（如图4），将导致地址转换失败，报文有发送无接收（如图5）。该配置产生的路由条目即为discard类型（如图3）。

图3

图4

图5

注意：图4中的方框表示地址转换失败，椭圆框的发送列不为零，接收列为0，说明有发送无接收。

步骤4：检查NAT映射规则

1、NAT映射的处理流程

发送报文到达设备时，先根据路由表选择转发的出口，然后根据报文的源地址所匹配的ACL规则查找对应的NAT地址池，再根据路由选择后命中的转发出口选择地址池中的某条地址规则进行转换。

因此，正确的nat映射需要如下配置：

1、指定nat接口（如图1）

2、访问控制列表（如图2）

3、nat地址池（如图3）

4、nat映射规则（如图3）

图1

图2

图3

2、检查是否配置了正确完整的访问控制列表

访问控制列表应包含所有需要做地址转换的地址，检查是否正确完整。

在pc （192.168.1.2）上打开网站，或者ping外网地址，无法打开或者ping不通，登录设备查看流表：sh ip fpm flows | in 192.168.1.2，发现流表无源地址转换，并且有发送没有接收。查看nat转换:sh ip nat tran也是空的（如图4）。则说明可能源地址没有匹配到访问控制列表，在访问控制列表中添加需要上网的内网网段即可（如图5）。