【路由器】路由器NAT类异常，即内网无法访问外网

1、故障现象

如以上拓扑所示，路由器与1家，或多家ISP互联作为内网出口设备，为内网访问外网的流量执行NAT，以便内网用户正常访问外网。

但网络部署完成后，发现内网中的用户无法正常访问外网。

2、故障可能原因

（1）用户末认证或认证不成功

（2）内网用户获取到的IP地址不正确

（3）内网用户与网关或出口路由器不通

（4）运营商专线末开通

（5）NAT配置不正确

（6）DNS无法正常解析

（7）内网或出口部署了其它流控、防火墙设备

3、故障处理流程

4、故障处理步骤

步骤1：检查用户是否已经认证成功

首先需要确认内网是否开启了用户接入认证（如有线1X、无线1X、有线portal、无线portal认证），如果内网开启了接入认证，那么用户必须先通过认证才有可以上网。

（1）如果内网末开启用户接入认证，那么请直接跳到“步骤2：检查用户是否已经正确获取到了IP地址”步骤排查

（2）如果内网开启了用户接入认证，请先确保认证成功（如认证涉及锐捷SU等其它相关软件产品，请参考其对应的故障排查指导）

步骤2：检查用户是否已经正确获取到了IP地址

在用户PC的“控制面板”--“网络连接”里找到内网网卡的本地连接，右击“本地连接”--“状态”--“详细信息”，查看用户PC所获取到的IP地址信息。或者直接在CMD命令行下通过ipconfig/all命令来查看网卡IP配置信息，确保用户PC所获取到的IP地址、子网掩码、默认网关、DNS服务器正确。

（1）如果用户PC获取到的IP信息正确，请直接跳到“步骤3：检查用户PC与网关、出口路由器是否通信正常”步骤排查

（2）如果用户PC获取到的IP信息错误，请检查DHCP相关的配置

步骤3：检查用户PC与网关、出口路由器是否通信正常

（1）确认用户PC是否能够ping通网关，如果无法ping通请排查用户二层网络问题

（2）确认用户PC是否能够ping通出口路由器的内网接口IP、外网接口IP，如果无法ping通请排查内网三层路由的配置

（3）如果用户PC与网关、出口路由器通信正常，请直接跳到“步骤4：检查运营商专线通信是否正常”步骤处理

步骤4：检查运营商专线通信是否正常

（1）确认在出口路由器上是否能够正常ping通专线对端地址，如果无法ping通，请确认：

1）检查专线接口是否已经up

·    如果无法up，可以尝试将本端接口的双工、速率配置为强制；如果专线为电口，还可以尝试直接使用PC与专线互联，看PC网卡是否能够正常起来。

·    如果涉及光电转换器，需确认光电转换器是否工作正常。

·    如果直接与运营商传输设备互联，且端口一直无法UP，需与运营商联系检查专线接口是否已经打开。

2）检查专线出口的IP地址、子网掩码是否配置正确

·    如确认IP地址、子网掩码正确无误但依然无法ping通对端，则可以尝试使用PC（或其它设备、或该设备的其它接口）连接专线线路，并配置该IP地址与子网掩码进行测试。

3）与运营商确认专线线路是否已经开通

（2）确认在出口路由器上是否能够正常ping通公网地址（如8.8.8.8），如果无法ping通，请确认运营商是否已经为该专线开通互联网服务。

步骤5：检查NAT转换是否已经成功

在内网用户尝试访问公网（如打开网页、登陆QQ、telnet某个公网地址等）时，通过在路由器上执行show ip nat translation | include x.x.x.x命令来查看IP地址为x.x.x.x用户的NAT转换条目：

-----------------------------------------------------------------------------------------------------------

*/注意，show ip nat translation命令后必须指定对应用户的IP地址（| include x.x.x.x），否则大量的nat表项输出可能影响客户业务甚至导致设备挂死/*

Ruijie#show ip nat translation | include 192.168.1.2

Pro Inside global      Inside local       Outside local      Outside global

tcp 10.0.0.1:1030      192.168.1.2:1030   10.10.10.2:23        10.10.10.2:23    //如果NAT转换成功，就会输出类似的转换表项

说明：如果故障设备为RSR77系列路由器，那么show ip nat translation命令需进入到配置了ip nat outside接口的线卡去执行。

以上可以看到，路由器上已经有一条转换表项：将用户源IP地址192.168.1.2（inside local）转换为公网IP10.0.0.1(inside global)；目的地址为10.10.10.2(outside global)保持不变。

需要确认如下信息：

（1）路由器是否已经为相应的用户生成了对应的NAT转换表项

（2）转换后的公网IP地址(inside global)是否正确

·    如果用户NAT转换表项已经成功生成，并且转换后的IP正确，则请直接跳到“步骤6：检查DNS是否能够正常解析”步骤排查

·    如果NAT转换表项末生成，或者表项信息有误，则请继续以下子步骤排查

（1）    单出口NAT场景配置检查

在以上这样一个单出口NAT场景中，路由器的典型NAT配置如下：

ip access-list standard 1                    //通过ACL定义需要NAT的内网网段

 10 permit 192.168.1.0 0.0.0.255

 20 permit 192.168.2.0 0.0.0.255

!

interface GigabitEthernet 0/0             //配置外网接口

 ip nat outside

 ip ref

 ip address 10.0.0.1 255.255.255.0

!

interface GigabitEthernet 0/1           //配置内网接口

 ip nat inside

 ip ref

 ip address 192.168.1.1 255.255.255.0

!

ip nat inside source list 1 interface GigabitEthernet 0/0 overload  //配置NAT转换规则

ip route 0.0.0.0 0.0.0.0 10.0.0.2           //配置指向出口下一跳的默认路由

需要确认的关键点：

（1）ACL所定义的需要NAT流量是否已经包括所有内网用户网段

（2）ip nat outside接口和ip nat inside接口是否配置正确

ip nat outside接口，即外网口，是与运营商互联的接口。ip nat inside接口，即内网口，是与内网互联的接口。

（3）NAT转换规则是否配置正确

·    ACL是否调用正确

·    指定转换后的IP地址（指定接口、或地址池）是否正确

（4）路由是否配置正确

如果只有一个公网出口，那么只需配置一条默认路由指向外网口对端IP即可。

注意：默认路由的下一跳必须是一个IP，或者接口+IP的形式，如“ip route 0.0.0.0 0.0.0.0 10.0.0.2 ”或者“ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 10.0.0.2”。下一跳不能仅指定接口，如“ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0”；只配置下一跳指定接口的默认路由，将会导致在出接口上产生大量的ARP代理信息，导致设备ARP表被占满，从而可能导致部分用户、部分业务中断。

（5）所有接口是否都配置了ip ref命令。如果末配置ip ref命令，可能出现内网用户访问外网速率慢、路由器CPU使用率高等异常现象。

（2）多出口NAT场景配置检查

在以上这样一个多出口NAT场景中，路由器的典型NAT配置如下：

ip access-list standard 1                    //通过ACL定义需要NAT的内网网段

 10 permit 192.168.1.0 0.0.0.255

 20 permit 192.168.2.0 0.0.0.255

!

interface GigabitEthernet 0/0             //配置外网接口1

 ip nat outside

 ip ref

 ip address 10.0.0.1 255.255.255.0

!

interface GigabitEthernet 0/1           //配置外网接口2

 ip nat outside

 ip ref

 ip address 20.0.0.1 255.255.255.0

!

interface GigabitEthernet 0/1           //配置外网接口3

 ip nat outside

 ip ref

 ip address 30.0.0.1 255.255.255.0

！

interface GigabitEthernet 1/0           //配置外网接口

 ip nat inside

 ip ref

 ip address 30.0.0.1 255.255.255.0

！

ip nat pool pool netmask 255.255.255.0    //新增一个名称为pool的地址池

 address 10.0.0.2 10.0.0.10 match interface GigabitEthernet 0/0    //添加电信可用公网地址段，并匹配电信出接口G0/0

 address 20.0.0.2 20.0.0.10 match interface GigabitEthernet 0/1    //添加联通可用公网地址段，并匹配联通出接口G0/1

 address 20.0.0.2 20.0.0.10 match interface GigabitEthernet 0/2    //添加教育网可用公网地址段，并匹配教育网出接口G0/2

ip nat inside source list 1 pool pool overload   //配置NAT转换规则

ip route 0.0.0.0 0.0.0.0 10.0.0.2             //配置指向电信出口下一跳的默认路由

ip route 0.0.0.0 0.0.0.0 20.0.0.2 100      //配置指向联通出接口下一跳的浮动默认路由

ip route 0.0.0.0 0.0.0.0 30.0.0.2 100     //配置指向教育网出接口下一跳的浮动默认路由

ip route x.x.x.x x.x.x.x 20.0.0.2

ip route x.x.x.x x.x.x.x 20.0.0.2

......                                                       //配置指向联通的明细路由

ip route x.x.x.x x.x.x.x 30.0.0.2

ip route x.x.x.x x.x.x.x 30.0.0.2

......                                                       //配置指向电信的明细路由

需要确认的关键点：

（1）ACL所定义的需要NAT流量是否已经包括所有内网用户网段

（2）ip nat outside接口和ip nat inside接口是否配置正确

ip nat outside接口，即外网口，是与运营商互联的接口。ip nat inside接口，即内网口，是与内网互联的接口。

（3）NAT转换规则是否配置正确

·    ACL是否调用正确

·    指定转换后的IP地址（指定接口、或地址池）是否正确

·    建议只配置1个地址池，在1个地址池下配置多个公网网段的IP段

·    如果配置了多个地址池，并配置多个NAT转换规则，那么需要保证各个转换规则所调用的ACL中定义的网段没有重叠部分。如以下“错误配置案例”中，ACL 1所定义的“permit any”网段，已经包含了ACL 2中定义的“192.168.0.0 0.0.0.255”网段。由于NAT转换规则是自上而下匹配的（根据show run中看到的），所有流量都匹配上了ACL 1“permit any”，因此实际上“ip nat inside source list 2 pool pool2 overload”这个NAT转换规则不会被匹配到，也就永远不会生效。

错误配置案例：

ip access-list standard 1

10 permit any

ip access-list standard 2

10 permit 192.168.0.0 0.0.0.255

ip nat pool pool1 prefix-length 30

address 10.0.0.1 10.0.0.1 match interface gigabitEthernet 0/1

ip nat pool pool2 prefix-length 30

address 20.0.0.1 20.0.0.1 match interface gigabitEthernet 0/2

ip nat inside source list 1 pool pool1 overload       //NAT转换规则1

ip nat inside source list 2 pool pool2 overload       //NAT转换规则2

正确配置案例：

ip access-list standard 1

10 permit 172.18.0.0 0.0.0.255

20 permit 172.18.1.0 0.0.0.255

ip access-list standard 2

10 permit 192.168.0.0 0.0.0.255

ip nat pool pool1 prefix-length 30

address 10.0.0.1 10.0.0.1 match interface gigabitEthernet 0/1

ip nat pool pool2 prefix-length 30

address 20.0.0.1 20.0.0.1 match interface gigabitEthernet 0/2

ip nat inside source list 1 pool pool1 overload       //NAT转换规则1

ip nat inside source list 2 pool pool2 overload       //NAT转换规则2

（4）路由是否配置正确

在多出口场景下，一般建议配置一条默认路由指向主要出口，并配置浮动默认路由指向其它出口，以便主出口中断后业务能够切到其它接口上。同时为了提高访问速率，需保证访问某运营商的资源时，能够从该运营商的接口出去，这样就需要配置去往对应运营商网段的明细路由。各运营商最新、最全的路由表信息，可以访问http://www.tcp5.com/routingtable/下载。

注意：默认路由的下一跳必须是一个IP，或者接口+IP的形式，如“ip route 0.0.0.0 0.0.0.0 10.0.0.2 ”或者“ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0 10.0.0.2”。下一跳不能仅指定接口，如“ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0”；只配置下一跳指定接口的默认路由，将会导致在出接口上产生大量的ARP代理信息，导致设备ARP表被占满，从而可能导致部分用户、部分业务中断。

（5）所有接口是否都配置了ip ref命令。如果末配置ip ref命令，可能出现内网用户访问外网速率慢、路由器CPU使用率高等异常现象。

步骤6：检查DNS是否能够正常解析

在确认了内网可以正常ping通外网，但依然无法打开网页的情况下，需排查DNS是否能够正常解析，可进行如下操作：

（1）核对用户PC所获取到的DNS服务器是否正确

通过在用户PC命令行下输入ipconfig/all命令查看本机所获取到的DNS服务器IP地址。

C:\Users\Administrator>ipconfig/all

以太网适配器 本地连接 :

   连接特定的 DNS 后缀 . . . . . . . :

   描述. . . . . . . . . . . . . . . : Intel(R) 82566MM Gigabit Network Connection #2

   物理地址. . . . . . . . . . . . . : 00-1D-72-92-D5-12

   DHCP 已启用 . . . . . . . . . . . : 是

   自动配置已启用. . . . . . . . . . : 是

   本地链接 IPv6 地址. . . . . . . . : fe80::d9b8:bbde:e91a:19dd%19(首选)

   IPv4 地址 . . . . . . . . . . . . : 192.168.33.107(首选)

   子网掩码  . . . . . . . . . . . . : 255.255.255.0

   默认网关. . . . . . . . . . . . . : fe80::58e2:d7cb:1486:73b6%19

                                       192.168.33.1

   DHCPv6 IAID . . . . . . . . . . . : 402659027

   DHCPv6 客户端 DUID  . . . . . . . : 00-01-00-01-12-3B-0B-C1-00-16-D3-B7-34-D7

   DNS 服务器  . . . . . . . . . . . : 192.168.58.110       //主DNS服务器IP

                                            218.85.157.99        //备DNS服务器IP

   TCPIP 上的 NetBIOS  . . . . . . . : 已启用

（2）测试用户PC是否能够正常解析DNS

C:\Users\Administrator>nslookup             //在命令行输入nslookup命令进入PC的域名查询模式

默认服务器:  fzdc01.ruijie.com.cn

Address:  192.168.58.110

> www.baidu.com                                   //输入www.baidu.com并回车，以测试是否能够正确解析百度的域名

服务器:  fzdc01.ruijie.com.cn

Address:  192.168.58.110

非权威应答:

名称:    www.a.shifen.com

Addresses:  115.239.210.27

                  115.239.210.26                //如果能够解析成功，那么就会打印出该域名对应的公网IP地址

Aliases:  www.baidu.com

（3）如果无法正确解析域名，则有可能域名服务器IP错误，或者域名服务器故障，可尝试如下操作：

·    确认域名IP地址是否错误。如果错误请重新手动配置，或者修改DHCP中的域名服务器IP。

·    确认与域名服务器是否能够正常通信。可通过ping测试来确认。

·    如果与域名服务器通信正常，但依然无法正确解析，则可以尝试更换其它域名服务器进行测试，在CMD命令行下进行如下操作：

C:\Users\HL ONLINE>nslookup              //在命令行输入nslookup命令进入PC的域名查询模式

默认服务器:  dc01.ruijie.com.cn

Address:  172.16.2.26

> server 8.8.8.8                                     //手动指定域名服务器为google通用域名服务器8.8.8.8

默认服务器:  google-public-dns-a.google.com

Address:  8.8.8.8

> www.baidu.com                                 //输入www.baidu.com并回车，测试google通用域名服务器8.8.8.8是否能够正确解析百度的域名

服务器:  google-public-dns-a.google.com

Address:  8.8.8.8

非权威应答:

名称:    www.a.shifen.com

Address:  220.181.111.147                  //如果能够解析成功，那么就会打印出该域名对应的公网IP地址

Aliases:  www.baidu.com

如经以上步骤排查，故障仍然无法解决，请直接跳到“步骤7：检查出口是否部署流控或防火墙设备”步骤处理。

步骤7：检查出口是否部署流控或防火墙设备

在大部分的NAT场景出口里，都会部署相关的流量控制设备或者防火墙设备，如下：

由于防火墙或流量控制设备，一般需要配置显式地放通内网流量，否则可能会将所有流量丢弃。因此当出口路由器与外网通信正常，但是内网用户无法与外网通信（包括ping不通外网、ping得通外网但某些业务异常等），都可能是防火墙或流控设备上做了相关限制，需排查防火墙/流控设备上的配置。

如果条件允许，可以将内网直接接到出口路由器上，跳过防火墙/流控设备进行测试。

步骤8：收集信息后，请联系4008111000协助处理

如果经过以上步骤排查故障仍然无法解决，请搜集以下故障信息，联系4008-111000协助处理。

（1）搜集现场拓扑信息

（2）提供以上步骤1~步骤6的测试结果

（3）搜集出口路由器如下信息：

sh version

show clock

sh cpu

sh memory

show memory protocols

sh logging

show run

show slot

show arp

show interface(搜集三次，每次隔5秒左右)

show ip route

show ip fpm counters(搜集三次，每次隔5秒左右)

show ip fpm sta(搜集三次，每次隔5秒左右)