華爲路由器NAT表項維護

時間 2019-12-20

原文原文鏈接

網絡概述：html

典型網絡。內網主機經過邊界路由器的PAT訪問外網，邊界路由器的默認路由指向ISP網關，內網使用專用的V P N設備經過IPSEC-V P N與另外一分支創建L2L-V P N，內網服務器經過DNAT，使用獨立的公網IP向外網發佈網絡服務。服務器

問題：網絡

最近這段時間網絡出現訪問外網速度變慢的狀況，外網頁面打不開，或者很慢，刷新後偶爾正常。內網Ping公網IP不通，tracert公網IP收不到ISP網關的回包，但經過V P N訪問對端內段IP正常。此故障爲間歇性故障，且無規律。session

排除思路：tcp

從外網ping邊界路由器公網端口正常，在邊界路由器上直接ping公網IP正常，說明鏈路和路由正常；ide
內網下經過公網IP訪問外網站點，故障依舊，排除DNS問題；網站
外網下經過DNAT訪問內網服務器的公網IP，不通。spa
綜上所述，只要出現地址轉換就容易出現問題，問題應該出在NAT上。一年前內網向外網發佈服務，用到了長連接，當時修改的NAT表項的老化時間爲3個小時，運行一年內正常。orm

解決方法：htm

登錄邊界路由器，清空NAT表項後正常。
調整路由器的NAT表項老化時間爲1個小時。

操做方法小計：

查看當前NAT表項數目：

[YD-Router]display nat session number
  The total number of NAT session tables is: 1717

清空當前全部NAT表項（清除NAT的會話表項後，會致使業務中斷，操做前請務必仔細確認！）：

[YD-Router]reset nat session all
Warning:The current all NAT sessions will be deleted.
Are you sure to continue?[Y/N]Y

若是發現NAT表項過多，多是現網存在其餘***流量致使（如僞造IP源地址的DoS***，執行命令display nat session all顯示有大量不存在的IP相關會話），能夠執行命令urpf loose使能URPF功能。

interface GigabitEthernet 0/0/0 
urpf loose

參考：

http://support.huawei.com/enterprise/docinforeader!loadDocument1.action?contentId=DOC1000027356&partNo=10112

查看當前NAT的流表信息：

[YD-Router]display nat session all
  NAT Session Table Information:
     Protocol          : UDP(17)
     SrcAddr  Port *** : 10.0.3.147      5041
     DestAddr Port *** : 153.3.XXX.XXX    7004
     NAT-Info
       New SrcAddr     : 219.238.XXX.XXX
       New SrcPort     : 15290
       New DestAddr    : ----
       New DestPort    : ----

查看當前設備上配置的全部NAT會話表項的超時時間：

[YD-Router]display firewall-nat session aging-time
---------------------------------------------
  tcp protocol timeout         : 10800 (s)
  tcp-proxy timeout            : 10    (s)
  http protocol timeout        : 120   (s)
  udp protocol timeout         : 120   (s)
  icmp protocol timeout        : 20    (s)
  dns protocol timeout         : 120   (s)
  ftp protocol timeout         : 120   (s)
  ftp-data protocol timeout    : 120   (s)
  rtsp protocol timeout        : 60    (s)
  rtsp-media protocol timeout  : 120   (s)
  sip protocol timeout         : 1800  (s)
  sip-media protocol timeout   : 120   (s)
  pptp protocol timeout        : 600   (s)
  pptp-data protocol timeout   : 600   (s)
---------------------------------------------

修改TCP NAT表項的超時時間：

[YD-Router]firewall-nat session tcp aging-time 3600

參考：

http://support.huawei.com/hedex/pages/EDOC100000972430001310/07/EDOC100000972430001310/07/resources/ar/display_firewall-nat_session_aging-time.html

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。