網(wǎng)絡(luò)管理工程師其他接入業(yè)務(wù)故障診斷與排除學(xué)習(xí)目標(biāo)掌握NAT相關(guān)技術(shù)的故障排除方法；掌握PPPOE故障排除方法掌握VRRP故障排除的方法。學(xué)習(xí)完本課程，您應(yīng)該能夠：3/20/20252課程內(nèi)容

NAT轉(zhuǎn)發(fā)流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除3/20/20253NAT綜述NAT知識(shí)簡介NAT轉(zhuǎn)發(fā)流程N(yùn)AT故障排除的一般步驟NAT故障案例分析3/20/20254NAT知識(shí)簡介網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslation）又稱地址代理，它實(shí)現(xiàn)了私有網(wǎng)絡(luò)訪問公有網(wǎng)絡(luò)的功能。

NAT、PAT、ALG3/20/20255NAT轉(zhuǎn)發(fā)流程(內(nèi)網(wǎng)-外網(wǎng))Internet內(nèi)部網(wǎng)絡(luò)NAT路由器公用地址池公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口10011044DP:21,SP:1001DP:21,SP:1001DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址轉(zhuǎn)換表項(xiàng)123453/20/20256NAT轉(zhuǎn)發(fā)流程(外網(wǎng)-網(wǎng)網(wǎng))公網(wǎng)地址私網(wǎng)地址私網(wǎng)端口公網(wǎng)端口10011044Internet內(nèi)部網(wǎng)絡(luò)NAT路由器公用地址池DP:21,SP:1044DP:1044,SP:21DP:1001,SP:21路由器查找地址轉(zhuǎn)換表并實(shí)施地址轉(zhuǎn)換路由器查找地址轉(zhuǎn)換表并實(shí)施地址轉(zhuǎn)換12345FTP客戶FTP服務(wù)器6靜態(tài)配置地址轉(zhuǎn)換表項(xiàng)DP:21,SP:10443/20/20257NAT故障排查的一般步驟檢查NAT網(wǎng)關(guān)上是否有正確的會(huì)話信息檢查NAT網(wǎng)關(guān)到外網(wǎng)目的主機(jī)的可達(dá)性檢查NAT網(wǎng)關(guān)上綁定的ACL的規(guī)則

檢查內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)或路由配置

檢查相應(yīng)協(xié)議的ALG標(biāo)志是否使能

3/20/20258NAT內(nèi)部服務(wù)器故障排除的一般步驟NATServer上是否有正確的會(huì)話信息

確保內(nèi)網(wǎng)服務(wù)器上服務(wù)正常運(yùn)行

檢查外網(wǎng)主機(jī)和NATServer外網(wǎng)接口之間的連接及配置

檢查內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)或者路由配置是否指向NAT網(wǎng)關(guān)

檢查NATServer的配置是否正確

3/20/20259NAT常用診斷命令命令說明displaynatalg

顯示NATALG各協(xié)議的使能情況

displaynatoutbound

顯示NATOutbound的配置情況

displayfirewallsessiontable

顯示某個(gè)接口板上的會(huì)話信息

displayiprouting-table

顯示路由表信息

disnataddress-group

顯示NAT的地址池信息

displayaclall

顯示所有ACL的配置信息

displaynatserver

顯示NATServer的配置信息

3/20/202510NAT故障案例分析故障現(xiàn)象：路由器上配置了NATOutbound，使內(nèi)網(wǎng)網(wǎng)段的用戶可以訪問外網(wǎng)。NATOutbound使用的EasyIP模式，使用ACL3000確保只有來自網(wǎng)段內(nèi)網(wǎng)用戶可以訪問外網(wǎng)。配置后發(fā)現(xiàn)IP地址為的PC機(jī)不能訪問外網(wǎng)IP地址為的FTPServer。

3/20/202511NAT故障案例分析故障分析：內(nèi)網(wǎng)PC機(jī)不能ping通NAT網(wǎng)關(guān)的內(nèi)網(wǎng)接口，但從NAT網(wǎng)關(guān)可以ping通外網(wǎng)的服務(wù)器，推測(cè)PC上的路由設(shè)置不正確。將PC上的路由設(shè)置好后，PC可以ping通，但仍然無法正常訪問FTPServer，在NAT網(wǎng)關(guān)查看會(huì)話信息，發(fā)現(xiàn)沒有任何創(chuàng)建的會(huì)話。檢查ACL的配置，發(fā)現(xiàn)ACL3000的配置為：很明顯該配置有誤，修改為繼續(xù)使用PC訪問FTPServer，可以正常建立控制連接，但無法進(jìn)行數(shù)據(jù)傳送。查看NAT上的會(huì)話信息，只有一條從內(nèi)網(wǎng)PC到FTPServer21端口的會(huì)話，沒有建立數(shù)據(jù)連接會(huì)話。檢查ALGFTP的設(shè)置，發(fā)現(xiàn)FTP標(biāo)志位置為disable。使能ALGFTP功能，再嘗試從內(nèi)網(wǎng)PC訪問外網(wǎng)FTPServer，一切正常，可以傳送文件了。3/20/202512NAT故障案例分析案例總結(jié)：ACL配置對(duì)報(bào)文能否通過NAT網(wǎng)關(guān)起決定作用，比較容易出現(xiàn)問題內(nèi)網(wǎng)PC上的路由是容易忘記的一項(xiàng)配置

FTP協(xié)議在NATOutbound模式下需要使能FTP的ALG功能，否則可能無法進(jìn)行正確的數(shù)據(jù)傳送3/20/202513課程內(nèi)容

NAT轉(zhuǎn)發(fā)流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除3/20/202514PPPOE概述主要功能是在以太網(wǎng)上提供點(diǎn)到點(diǎn)的連接使以太網(wǎng)主機(jī)通過一個(gè)橋接設(shè)備連到一個(gè)遠(yuǎn)端的接入集中器上(AC)每個(gè)主機(jī)都具有PPP協(xié)議棧可以實(shí)現(xiàn)對(duì)用戶進(jìn)行接入控制、計(jì)費(fèi)及其它服務(wù)全方位的接入控制用戶認(rèn)證、上網(wǎng)時(shí)段、CAR、本地用戶互訪、實(shí)現(xiàn)賬號(hào)漫游靈活的計(jì)費(fèi)策略PPPOE使用二層廣播包可以通過VLAN限制PPPOE二層廣播包每個(gè)PPPOE主機(jī)必需安裝PPPOE客戶端軟件3/20/202515PPPOE概述發(fā)現(xiàn)階段一個(gè)主機(jī)發(fā)現(xiàn)一個(gè)接入集中器，發(fā)現(xiàn)AC的MAC確定會(huì)話標(biāo)識(shí)SessionIDPPP會(huì)話階段主機(jī)和接入集中器之間依據(jù)PPP協(xié)議傳送PPP數(shù)據(jù)，進(jìn)行PPP的各項(xiàng)協(xié)商和數(shù)據(jù)傳輸。傳輸?shù)臄?shù)據(jù)包中必須包含在發(fā)現(xiàn)階段確定的會(huì)話標(biāo)識(shí)并保持不變3/20/202516PPPOE的報(bào)文PPPOE的發(fā)現(xiàn)階段的報(bào)文格式依據(jù)代碼域可分為以下5種：PADI(PPPOE發(fā)現(xiàn)初始報(bào)文)PADO(PPPOE發(fā)現(xiàn)提供報(bào)文)PADR(PPPOE發(fā)現(xiàn)請(qǐng)求報(bào)文)PADS(PPPOE發(fā)現(xiàn)會(huì)話確認(rèn)報(bào)文)PADT(PPPOE發(fā)現(xiàn)終止報(bào)文)3/20/202517一個(gè)完整的PPPOE過程3/20/202518PPPOE案例分析故障現(xiàn)象:用戶通過PPPOE拔號(hào)成功后能ping通百度的網(wǎng)站服務(wù)器，無法打開百度網(wǎng)頁，可以打開163的網(wǎng)頁。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACIPInternetPPPOE用戶BASSwitch網(wǎng)站服務(wù)器3/20/202519PPPOE案例分析處理過程：在用戶PC上抓包分析，從抓包來看，PC機(jī)已與百度網(wǎng)站建立TCP聯(lián)接，在PC上已正常發(fā)送HTTP的請(qǐng)求報(bào)文，但沒有收到網(wǎng)站返回的HTTP報(bào)文在BAS的internet側(cè)抓包，從抓包看網(wǎng)站已返回HTTP數(shù)據(jù)流，且報(bào)文的大小為1500字節(jié)其DF=1檢查BAS的PPPOE接口的MTU值，MTU=1472字節(jié)將BAS的PPPOE接口的MTU值修改為1500字節(jié)后恢復(fù)正常案例總結(jié)：能ping通但不能打開部分網(wǎng)頁的問題可以重點(diǎn)檢查網(wǎng)絡(luò)接口MTU和網(wǎng)站發(fā)送報(bào)文的DF位的值3/20/202520課程內(nèi)容

NAT轉(zhuǎn)發(fā)流程及故障排除PPPOE概述和故障排查VRRP概述和故障排除3/20/202521VRRP概述VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）提供了局域網(wǎng)上的設(shè)備備份機(jī)制用VRRP實(shí)現(xiàn)虛擬路由器Internet實(shí)際IP地址：/24實(shí)際IP地址：/24虛擬IP地址：/243/20/202522VRRP概述VRRP定義了一種報(bào)文：VRRP報(bào)文，是組播報(bào)文(8)VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動(dòng)狀態(tài)（Master）備份狀態(tài)（Backup）VRRP報(bào)文封裝在IP報(bào)文上從備份組的交換機(jī)中選舉主交換機(jī)：默認(rèn)情況下選擇優(yōu)先級(jí)最大的為主交換機(jī)，其它交換機(jī)作為備份交換機(jī)主交換機(jī)定期發(fā)送VRRP報(bào)文如果備份交換機(jī)長時(shí)間沒有收到主交換機(jī)報(bào)文，則將自己狀態(tài)改為Master若有多臺(tái)備份交換機(jī)，則根據(jù)接收的VRRP報(bào)文，選舉優(yōu)先級(jí)最大的交換機(jī)成為新的主交換機(jī)3/20/202523VRRP案例分析故障現(xiàn)象：二臺(tái)交換機(jī)啟用VRRP后，二臺(tái)交換機(jī)的VRRP狀態(tài)均為masterInternet實(shí)際IP地址：/24實(shí)際IP地址：/24虛擬IP地址：/243/20/202524VRRP案例分析處理過程檢查二臺(tái)交換機(jī)啟用