NAT地址池引发的网络故障

■

在互联网发展的今天，广电网络行业为了能尽快适应“三网融合”的步伐，只得通过租赁的方式来获取互联网出口，然后再使用该互联网出口发展互联网用户，近日我单位又新租赁了一个移动的互联网出口，为了检验该互联网出口的稳定性和带宽承载力，我们将公司办公网用户切换至该出口上，完成互联网切换工作后，就陆陆续续的接到同事的报修电话，大多表现的现象是用户宽带拨号连接正常，但是打不开网页。

我们对部分出现网络故障的电脑进行查看，首先使用Ping命令进行一步一步的排查，得到的结论是能正常Ping通BRAS、防火墙的内网口和外网口IP地址，就是Ping不通该出口的网关，有同事反映固定IP地址也不能正常上网，出现的故障现象和进行PPPoE拨号的用户是一样的，值得一提的是为了方便我们内部办公软件服务器、网络管理服务器的登录以及网络维护的需要，我们在配置DHCP地址池时，将部分IP地址进行了排除作为静态使用。

根据这一网络故障特征，，我们立即对网络进行排查。我们首先对浏览器进行了尝试恢复，然后使用命令ipconfig/flushdns进行了DNS缓存清理，最后重新PPPoE拨号连接，出现网络故障的部分电脑能够正常上网了，完成这三步操作后我们就把问题归结为互联网出口更换后，由于部分电脑的DNS缓存没有及时清理，才造成上不去网。但是后期还是有同事的电脑上不去网，就在问题陷入僵局的时候，我们重新梳理思路，思考从我们调整互联网出口时只是将办公网段的地址进行了NAT地址的映射，然后将防火墙上的办公网地址段用户使用策略路由指向了移动的网关，最后修改了BRAS上的DNS，我们按照这三步进行逐级排查后发现NAT地址池存在错误，移动公司分配给我们的公网地址段是112.52.69.192/28，通过计算得知该网段的IP地址范围是112.52.69.192-112.52.69.207， 其 中112.52.69.194作 为 我 们防火墙的互联接口地址，112.52.69.193是移动互联网 的 网 关，112.52.69.192是网络地址不能使用，112.52.69.207是广播地址不能使用，那么除去这四个地址还剩下112.52.69.195-112.52.69.206这7个 地址可以正常使用，但是在我们在防火墙上配置的NAT池 是112.52.69.195-112.52.69.207，包括了广播地址112.52.69.207在内，这个地址我们刚才介绍到它是一个广播地址不能被使用，我们随即将NAT池进行了重新配置，删除了112.52.69.207，然后对有网络故障的电脑进行了重新拨号连接网络恢复了正常，使用固定IP上网的同事也向我们反馈网络恢复了正常。

此次网络故障排除后，我们对故障原因和排除故障的方法进行思考，之所以出现部分电脑上不去网是因为用户正常拨号成功后，会从BRAS上获取到一个合法的网络地址，然后通过防火墙进行私网到公网的地址转换，正是这一环节由于NAT地址池中出现IP地址配置错误，才导致部分电脑将私网地址转换成了112.52.69.207，也就出现了文章开头的那一幕，主机只能Ping通防火墙的外网口的地址，但是不能正常访问外网。为什么有的私网地址会转换成公网地址112.52.69.207呢，这是因为私网地址转换成的公网IP地址是从NAT地址池中随机抽取的，和IP地址的大小没有任何关系。

经过这件事情以后，为了进一步提升网络性能，我们计划购买一台交换机放置在防火墙的上游，租赁的互联网出口首先连接到交换机上，然后再连接到防火墙的外网口上，这样做的好处一来方便我们及时对互联网出口的网速进行测试，二来方便了我们对互联网出口的网络进行故障排除。作为网络管理员在进行设备配置时，特别是核心设备的配置改动，需要提交一个可行的方案，或者最起码将关键步骤进行书面展示，这样可以有效防止因为其他客观因素造成的网络设备参数配置错误，还有一点就是细心，特别是核心网络设备的配置更改直接影响到成千上百个互联网用户的上网体验，只有认识到操作失误的严重性，才能真正做到设备的细心和慎重配置，这样才能保证设备的稳定良好运行，最终也提高了互联网用户的良好网络体验。