【路由器】路由器NAT类异常，即外网无法访问内网的服务器

1、故障现象

内网用户可以正常访问外网业务，但外网用户无法访问内网映射出去的服务器（如WEB服务器）。

2、故障可能原因

（1）服务器问题

（2）出口设备上服务器的NAT映射配置错误

（3）出口设备上配置的服务器的公网IP不可用

（4）多运营商出口环境下，数据来回路径不一致

（5）外网访问服务器对应端口的数据被运营商过滤

3、故障处理流程

4、故障处理步骤

步骤1、检查服务器是否工作正常

尝试在内网直接访问服务器的内网地址，看业务是否正常。

（1）如果内网能够正常访问服务器，则说明服务器工作正常

（2）如果内网无法正常访问服务器，请检查服务器的配置、工作状态

步骤2、检查出口设备上服务器的NAT映射配置

在出口设备上通过show run查看NAT映射配置，一个典型的WEB服务器NAT映射配置如下：

Ruijie#config terminal

Ruijie(config)#ip nat inside source static tcp 192.168.1.100 80 200.198.12.2 80  //服务器内网IP为192.168.1.100，公网IP为200.198.12.2，映射前后的端口都为80

步骤3、检查出口设备上配置的服务器公网IP是否可用

出口设备上配置的服务器公网IP必须是在公网可路由，可访问的。

（1）尝试在外网ping服务器公网IP，看是否能够ping通。如果能够ping通，则说明公网IP可用；反之需与用户、运营商确认该公网IP是否可用。

（2）如果服务器公网IP不是设备出口IP地址，可以尝试将服务器映射到设备出口IP地址上，看是否能够能够正常访问。

步骤4、检查在多运营商出口环境下，数据来回路径是否一致

确认故障现场出口设备是否存在多个运营商线路，如果只有一个运营商线路，则可以跳过此步骤的排查。

如下图场景所示：

出口设备上分别有电信、联通、ISP N，共3条线路，内网服务器映射到电信出口的一个公网IP上。出口路由器上配置各运营商的明细路由指向对应出口。

在这样的场景下，联通用户可能无法正常访问该服务器，整个访问过程如下：

（1）联通用户访问服务器的电信公网IP，数据到达联通网络后经查找数据目的IP为电信地址，因此数据会转发到互联互通线路，最终到达电信网络。

（2）数据到达电信网络后，顺利路由至该出口路由器上，经过路由器的NAT转换最终数据被送达服务器。

（3）服务器应答联通用户时，数据的目的地址为联通地址；数据到达路由器后，路由查找路由表，直接从联通线路发出。

（4）一般运营商出口部署有状态防火墙，此时在防火墙上只看到服务器应答联通用户的数据，并没有看到该联通用户向服务器发送请求的数据，因此防火墙认为该流量为非法的，将其丢弃。

（5）在联通用户端表现出来的现象，就是无法访问该服务器。

解决方案：

在出口设备内网口配置策略路由，将源地址为服务器内网IP的流量强制发往电信出口。这样就能够避免以上案例中来回路径不一致的问题。

ip access-list standar 1

 permit host 192.168.1.100           //通过ACL定义出源地址为网服务器IP的流量

route-map set-next-hop 10           //配置名称为“set-next-hop”的策略路由

 match ip address 1                        //定义匹配ACL为1的流量

 set ip next-hop 200.198.12.1         //强制下一跳为电信对端网关地址

interface GigabitEthernet 0/0          //进入电信线路出接口

 ip policy route-map set-next-hop  //应用名称为“set-next-hop”的策略路由

步骤5、检查外网访问服务器对应端口的数据是否被运营商过滤

如经以上步骤排查问题仍然无法解决，则需与运营商确认是否有过滤特定端口的数据。

目前发现大多数运营商会过滤发往专线地址段，目的端口为80、8080等常见端口的数据。需与运营商联系，放通相应端口的数据。

步骤6、搜集故障信息后，请联系4008-111000协助处理

如果经以上步骤排查，故障仍然无法解决，请搜集如下信息联系4008-111000协助处理

（1）出口设备基本信息搜集

show version

show run

show ip interface brief

show ip route

内网服务器IP地址、提供的服务类型、开放的端口

客户的详细网络拓扑和网络规划

（2）外网客户不断尝试访问该服务器，此时在出口设备上搜集如下信息

-----------------------------------------------------------------------------------------------------------

*/注意，使用show ip nat translation和show ip fpm flow命令时，必须在后面加上“| include”命令，否则会因为设备打印大量的nat转换条目或流表信息而导致设备死机，客户业务中断！！！/*

show ip nat translation | include x.x.x.x //x.x.x.x为外网客户的公网IP地址

show ip nat translation | include y.y.y.y //y.y.y.y为内网服务器的内网IP地址

show ip fpm flow | include x.x.x.x         //x.x.x.x为外网客户的公网IP地址

show ip fpm flow | include y.y.y.y         //y.y.y.y为内网服务器的内网IP地址