网络管理工程师其他接入业务故障诊断与排除.pptx

其它接入业务故障诊疗与排除其它接入业务故障诊疗与排除10/25/20241网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第1页学习目标o掌握掌握NAT相关技术故障排除相关技术故障排除方法；方法；o掌握掌握PPPOE故障排除方法故障排除方法o掌握掌握VRRP故障排除方法。故障排除方法。学习完本课程，您应该能够：学习完本课程，您应该能够：10/25/20242网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第2页课程内容NAT转发流程及故障排除转发流程及故障排除PPPOE概述和故障排查概述和故障排查VRRP概述和故障排除概述和故障排除10/25/20243网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第3页NAT综述综述oNAT知识介绍知识介绍oNAT转发流程转发流程oNAT故障排除普通步骤故障排除普通步骤oNAT故障案例分析故障案例分析10/25/20244网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第4页NAT知识介绍o网络地址转换NAT（Network Address Translation）又称地址代理，它实现了私有网络访问公有网络功效。oNAT、PAT、ALG10/25/20245网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第5页NAT转发流程(内网-外网)Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1 202.0.0.2202.0.0.1公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044DI:6.1.128.1,SI:10.0.1.1DP:21,SP:1001DI:6.1.128.1,SI:202.0.0.1DP:21,SP:1001DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址转换表项1234510/25/20246网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第6页NAT转发流程(外网-网网)公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1 202.0.0.2202.0.0.1DI:202.0.0.1,SI:6.1.128.1DP:21,SP:1044DI:6.1.128.1,SI:10.0.0.1DP:1044,SP:21DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DI:10.0.1.1,SI:6.1.128.1DP:21,SP:104410/25/20247网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第7页NAT故障排查普通步骤o检验NAT网关上是否有正确会话信息o检验NAT网关到外网目标主机可达性o检验NAT网关上绑定ACL规则 o检验内网主机网关或路由配置 o检验对应协议ALG标志是否使能 10/25/20248网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第8页NAT内部服务器故障排除普通步骤oNAT Server上是否有正确会话信息 o确保内网服务器上服务正常运行 o检验外网主机和NAT Server外网接口之间连接及配置 o检验内网主机网关或者路由配置是否指向NAT网关 o检验NAT Server配置是否正确 10/25/20249网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第9页NAT惯用诊疗命令命令命令说明说明display nat alg 显示NAT ALG各协议使能情况 display nat outbound 显示NAT Outbound配置情况 display firewall session table 显示某个接口板上会话信息 display ip routing-table 显示路由表信息 dis nat address-group 显示NAT地址池信息 display acl all 显示全部ACL配置信息 display nat server 显示NAT Server配置信息 10/25/202410网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第10页NAT故障案例分析故障现象：故障现象：路由器上配置了NAT Outbound，使内网10.2.1.0/24网段用户能够访问外网。NAT Outbound使用EasyIP模式，使用ACL 3000确保只有来自10.2.1.0/24网段内网用户能够访问外网。配置后发觉IP地址为10.2.1.6PC机不能访问外网IP地址为202.99.8.75FTP Server。10/25/202411网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第11页NAT故障案例分析o故障分析：故障分析：n内网PC机不能ping通NAT网关内网接口10.2.1.1，但从NAT网关能够ping通外网服务器202.99.8.75，推测PC上路由设置不正确。n将PC上路由设置好后，PC能够ping通10.2.1.1，但依然无法正常访问FTP Server，在NAT网关查看会话信息，发觉没有任何创建会话。n检验ACL配置，发觉ACL 3000配置为：nrule 5 permit ip source 10.1.1.0 0.0.0.255n很显著该配置有误，修改为nrule 5 permit ip source 10.2.1.0 0.0.0.255n继续使用PC访问FTP Server，能够正常建立控制连接，但无法进行数据传送。n查看NAT上会话信息，只有一条从内网PC到FTP Server 21端口会话，没有建立数据连接会话。n检验ALG FTP设置，发觉FTP标志位置为disable。n使能ALG FTP功效，再尝试从内网PC访问外网FTP Server，一切正常，能够传送文件了。10/25/202412网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第12页NAT故障案例分析o案例总结：案例总结：nACL配置对报文能否经过NAT网关起决定作用，比较轻易出现问题n内网PC上路由是轻易忘记一项配置 nFTP协议在NAT Outbound模式下需要使能FTP ALG功效，不然可能无法进行正确数据传送10/25/202413网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第13页课程内容NAT转发流程及故障排除转发流程及故障排除PPPOE概述和故障排查概述和故障排查VRRP概述和故障排除概述和故障排除10/25/202414网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第14页PPPOE概述o主要功效是在以太网上提供点到点连接o使以太网主机经过一个桥接设备连到一个远端接入集中器上(AC)o每个主机都含有PPP协议栈o能够实现对用户进行接入控制、计费及其它服务n全方位接入控制o用户认证、上网时段、CAR、当地用户互访、实现账号漫游n灵活计费策略oPPPOE使用二层广播包o能够经过VLAN限制PPPOE二层广播包o每个PPPOE主机必需安装PPPOE客户端软件10/25/202415网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第15页PPPOE概述o发觉阶段n一个主机发觉一个接入集中器，发觉ACMACn确定会话标识Session IDoPPP会话阶段n主机和接入集中器之间依据PPP协议传送PPP数据，进行PPP各项协商和数据传输。n传输数据包中必须包含在发觉阶段确定会话标识并保持不变10/25/202416网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第16页PPPOE报文oPPPOE发觉阶段报文格式依据代码域可分为以下5种：n PADI(PPPOE发觉初始报文)n PADO(PPPOE发觉提供报文)n PADR(PPPOE发觉请求报文)n PADS(PPPOE发觉会话确认报文)n PADT(PPPOE发觉终止报文)10/25/202417网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第17页一个完整PPPOE过程10/25/202418网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第18页PPPOE案例分析o故障现象:n用户经过PPPOE拔号成功后能ping通baidu网站服务器，无法打开baidu网页，能够打开163网页。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACIPInternetPPPOE用户用户BASSwitch网站服务器网站服务器10/25/202419网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第19页PPPOE案例分析o处理过程：n在用户PC上抓包分析，从抓包来看，PC机已与baidu网站建立TCP联接，在PC上已正常发送HTTP请求报文，但没有收到网站返回HTTP报文n在BASinternet侧抓包，从抓包看网站已返回HTTP数据流，且报文大小为1500字节其DF=1n检验BASPPPOE接口MTU值，MTU=1472字节n将BASPPPOE接口MTU值修改为1500字节后恢复正常o案例总结：n能ping通但不能打开部分网页问题能够重点检验网络接口MTU和网站发送报文DF位值10/25/202420网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第20页课程内容NAT转发流程及故障排除转发流程及故障排除PPPOE概述和故障排查概述和故障排查VRRP概述和故障排除概述和故障排除10/25/202421网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第21页VRRP概述oVRRP（Virtual router redundancy protocol,虚拟路由器冗余协议）提供了局域网上设备备份机制 用VRRP实现虚拟路由器Internet实际实际IP地址：地址：10.100.10.3/24实际实际IP地址：地址：10.100.10.2/24虚拟虚拟IP地址：地址：10.100.10.1/2410/25/202422网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第22页VRRP概述oVRRP定义了一个报文：VRRP报文，是组播报文(224.0.0.18)oVRRP定义了三种状态：n初始状态（Initialize）n活动状态（Master）n备份状态（Backup）oVRRP报文封装在IP报文上o从备份组交换机中选举主交换机：n默认情况下选择优先级最大为主交换机，其它交换机作为备份交换机n主交换机定时发送VRRP报文n假如备份交换机长时间没有收到主交换机报文，则将自己状态改为Mastern若有多台备份交换机，则依据接收VRRP报文，选举优先级最大交换机成为新主交换机10/25/202423网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第23页VRRP案例分析o故障现象：n二台交换机启用VRRP后，二台交换机VRRP状态均为masterInternet实际实际IP地址：地址：10.100.10.3/24实际实际IP地址：地址：10.100.10.2/24虚拟虚拟IP地址：地址：10.100.10.1/2410/25/202424网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第24页VRRP案例分析o处理过程n检验二台交换机启用VRRP接口是否能够ping通n检验二台交换机VRRP组号是否一致n检验二台交换机VRRP组认证方式和密码是否一致n经检验确认是因为二台设备VRRP组号不一致，修改后恢复正常。o案例总结n假如发觉二台启用VRRP接口均为MASTER状态可重点针对以下几点来排查o启用相同组VRRP接口是否能够ping通o组号是否一致o认证方式和密码一致性。10/25/202425网络管理工程师认证高级培训网络管理工程师其他接入业务故障诊断与排除第25页