故障現(xiàn)象

筆者單位網(wǎng)絡內部經(jīng)過上網(wǎng)網(wǎng)關EG1000M無法上網(wǎng)，從EG上Ping外網(wǎng)網(wǎng)關地址不通。

故障排查

故障反饋時登錄網(wǎng)關EG底層查看EG1000M的Gi0/1口（電信線路）的接口流量信息，上行達到4.9m，下行流量達到40m，說明內網(wǎng)應該還是有部分用戶可以上網(wǎng)的（如圖1）。此時開始懷疑是EG配置的NAT地址池有問題。

在當前配置的NAT地址池中Gi0/1口關聯(lián)了電信提供的多個公網(wǎng)IP，其中就有包含外網(wǎng)接口的物理 IP 58.51.82.174（如 圖2）。與此同時，在EG上Ping外網(wǎng)的網(wǎng)關58.51.82.1不通，show arp卻能學習到58.51.82.1的MAC地址，進一步驗證了運營商限制了當前58.51.82.174基本通信的問題。

而后在學生機房發(fā)現(xiàn)部分主機能夠上網(wǎng)，部分主機無法上網(wǎng)，在EG上跟蹤不能上網(wǎng)的主機的流表信息，發(fā)現(xiàn)不能上網(wǎng)的用戶轉換之后的IP地址是58.51.82.174，有內網(wǎng)向外網(wǎng)發(fā)送的請求流量，但是沒有外網(wǎng)回應的流量統(tǒng)計。而其他能上網(wǎng)的主機轉換的IP地址是58.51.82.223，流量又說有發(fā)（此部分操作是遠程操作，沒有截圖記錄）。

圖1 EG的接口流量信息

圖2 EG配置的NAT地址池公網(wǎng)IP

故障原因驗證

為了驗證故障是運營商提供的公網(wǎng)IP地址有問題，筆者做了一個測試，把NAT地址池中gi0/1口關聯(lián)的地址段進行刪改，只保留58.51.82.223這個IP關聯(lián)GI0/1口，再清空EG的流表，此時，原本不能上網(wǎng)的用戶也可以上網(wǎng)了，至此完全判斷是運營商線路問題。配置如下：ip nat pool nat_pool prefix-length 24 address 58.51.82.22358.51.82.223 match interface GigabitEthernet 0/1。

故障解決

明確是運營商提供的公網(wǎng)IP地址有問題，故障現(xiàn)象是運營商提供的外網(wǎng)IP地址無法使用導致的。

規(guī)避方法：通過實際驗證結果，刪除NAT地址池中不可用的IP，保留可用的公網(wǎng)地址。

最終方法：跟運營商溝通，讓運營商取消對之前提供的公網(wǎng)IP地址的限制，故障解決。