网络环境:一台H3C路由器 防火墙 交换机
问题反馈:下午三点左右,突然所有电脑无论有线无线均无法上网,用户急的跳脚,希望尽快解决故障,恢复网络。
解决过程:因路途遥远,远程协助用户排查解决。
1、先怀疑防火墙,让用户跳过防火墙,路由器直连交换机,结果故障依旧。
2、让用户授权远程登陆路由器,查看路由器日志及相关配置,仅发现日志中有些不同时间登陆失败的信息,并未发现与网络故障相关的有用信息,进一步检查配置,发现路由器是能ping通运营商dns的,排除了运营商线路问题,但是发现nat功能异常,相关功能配置缺失,询问用户,这段时间并未修改路由器配置,那是什么原因造成的呢?可能是黑客通过漏洞远程修改网络配置搞破坏?或者上次配置路由器的人未保存配置?或者路由器固件出问题导致部分配置丢失?就目前掌握的信息无法判断配置丢失的确切原因。
3、什么原因不太重要了,现在重要的是快速修复配置,恢复网络正常运行。既然上面故障定位到了NAT配置缺失,那么就添加相关功能配置,主要是配置外网地址组、ACL访问控制规则、在接口上应用ACL规则等。配置完后,网络很快恢复正常,所有电脑均可以正常上网,打开网页等应用,最后记得敲下"save"命令保存一下配置。
注:下面为官方的nat功能配置示例,适用于H3C MSR36-60系列路由器(固件版本:Comware V7):
<Router> system-view
配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[Router] nat address-group 0
[Router-address-group-0] address 202.38.1.2 202.38.1.3
[Router-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 在接口gigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] nat outbound 2000 address-group 0
4. 验证配置
通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
[Router]display nat session verbose
最后,如果你能看到这里,麻烦动动你那充满爱心的小手或大手点下关注吧,专业文章受众面小,技术博主攒粉不易啊。