网络管理工程师其他接入业务故障诊断与排除培训ppt课件

网网络络管理工程管理工程师师其他其他接入接入业务业务故障故障诊诊断与断与排除排除网络管理工程师其他接入业务故障诊断与排除1学习目标o掌握掌握NAT相关技术的故障排相关技术的故障排除方法；除方法；o掌握掌握PPPOE故障排除方法故障排除方法o掌握掌握VRRP故障排除的方法。故障排除的方法。学习完本课程，您应该能够：学习完本课程，您应该能够：7/1/20242网络管理工程师其他接入业务故障诊断与排除学习目标掌握NAT相关技术的故障排除方法；学习完本课程，您应2课程内容NAT转发流程及故障排除转发流程及故障排除PPPOE概述和故障排查概述和故障排查VRRP概述和故障排除概述和故障排除7/1/20243网络管理工程师其他接入业务故障诊断与排除课程内容NAT转发流程及故障排除8/12/20233网3NAT综述综述oNAT知识简介知识简介oNAT转发流程转发流程oNAT故障排除的一般步骤故障排除的一般步骤oNAT故障案例分析故障案例分析7/1/20244网络管理工程师其他接入业务故障诊断与排除NAT综述NAT知识简介8/12/20234网络管理工程师其4NAT知识简介o网络地址转换NAT（Network Address Translation）又称地址代理，它实现了私有网络访问公有网络的功能。oNAT、PAT、ALG7/1/20245网络管理工程师其他接入业务故障诊断与排除NAT知识简介网络地址转换NAT（Network Addre5NAT转发流程(内网-外网)Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1 202.0.0.2202.0.0.1公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044DI:6.1.128.1,SI:10.0.1.1DP:21,SP:1001DI:6.1.128.1,SI:202.0.0.1DP:21,SP:1001DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址转换表项123457/1/20246网络管理工程师其他接入业务故障诊断与排除NAT转发流程(内网-外网)Internet内部网络10.06NAT转发流程(外网-网网)公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1 202.0.0.2202.0.0.1DI:202.0.0.1,SI:6.1.128.1DP:21,SP:1044DI:6.1.128.1,SI:10.0.0.1DP:1044,SP:21DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DI:10.0.1.1,SI:6.1.128.1DP:21,SP:10447/1/20247网络管理工程师其他接入业务故障诊断与排除NAT转发流程(外网-网网)公网地址私网地址私网端口公网端口7NAT故障排查的一般步骤o检查NAT网关上是否有正确的会话信息o检查NAT网关到外网目的主机的可达性o检查NAT网关上绑定的ACL的规则 o检查内网主机的网关或路由配置 o检查相应协议的ALG标志是否使能 7/1/20248网络管理工程师其他接入业务故障诊断与排除NAT故障排查的一般步骤检查NAT网关上是否有正确的会话信息8NAT内部服务器故障排除的一般步骤oNAT Server上是否有正确的会话信息 o确保内网服务器上服务正常运行 o检查外网主机和NAT Server外网接口之间的连接及配置 o检查内网主机的网关或者路由配置是否指向NAT网关 o检查NAT Server的配置是否正确 7/1/20249网络管理工程师其他接入业务故障诊断与排除NAT内部服务器故障排除的一般步骤NAT Server上是否9网络管理工程师其他接入业务故障诊断与排除培训ppt课件10NAT故障案例分析故障现象：故障现象：路由器上配置了NAT Outbound，使内网10.2.1.0/24网段的用户可以访问外网。NAT Outbound使用的EasyIP模式，使用ACL 3000确保只有来自10.2.1.0/24网段内网用户可以访问外网。配置后发现IP地址为10.2.1.6的PC机不能访问外网IP地址为202.99.8.75的FTP Server。7/1/202411网络管理工程师其他接入业务故障诊断与排除NAT故障案例分析故障现象：路由器上配置了NAT Outbo11NAT故障案例分析o故障分析：故障分析：n内网PC机不能ping通NAT网关的内网接口10.2.1.1，但从NAT网关可以ping通外网的服务器202.99.8.75，推测PC上的路由设置不正确。n将PC上的路由设置好后，PC可以ping通10.2.1.1，但仍然无法正常访问FTP Server，在NAT网关查看会话信息，发现没有任何创建的会话。n检查ACL的配置，发现ACL 3000的配置为：nrule 5 permit ip source 10.1.1.0 0.0.0.255n很明显该配置有误，修改为nrule 5 permit ip source 10.2.1.0 0.0.0.255n继续使用PC访问FTP Server，可以正常建立控制连接，但无法进行数据传送。n查看NAT上的会话信息，只有一条从内网PC到FTP Server 21端口的会话，没有建立数据连接会话。n检查ALG FTP的设置，发现FTP标志位置为disable。n使能ALG FTP功能，再尝试从内网PC访问外网FTP Server，一切正常，可以传送文件了。7/1/202412网络管理工程师其他接入业务故障诊断与排除NAT故障案例分析故障分析：8/12/202312网络管理工12NAT故障案例分析o案例总结：案例总结：nACL配置对报文能否通过NAT网关起决定作用，比较容易出现问题n内网PC上的路由是容易忘记的一项配置 nFTP协议在NAT Outbound模式下需要使能FTP 的ALG功能，否则可能无法进行正确的数据传送7/1/202413网络管理工程师其他接入业务故障诊断与排除NAT故障案例分析案例总结：8/12/202313网络管理工13课程内容NAT转发流程及故障排除转发流程及故障排除PPPOE概述和故障排查概述和故障排查VRRP概述和故障排除概述和故障排除7/1/202414网络管理工程师其他接入业务故障诊断与排除课程内容NAT转发流程及故障排除8/12/20231414PPPOE概述o主要功能是在以太网上提供点到点的连接o使以太网主机通过一个桥接设备连到一个远端的接入集中器上(AC)o每个主机都具有PPP协议栈o可以实现对用户进行接入控制、计费及其它服务n全方位的接入控制o用户认证、上网时段、CAR、本地用户互访、实现账号漫游n灵活的计费策略oPPPOE使用二层广播包o可以通过VLAN限制PPPOE二层广播包o每个PPPOE主机必需安装PPPOE客户端软件7/1/202415网络管理工程师其他接入业务故障诊断与排除PPPOE概述主要功能是在以太网上提供点到点的连接8/12/15PPPOE概述o发现阶段n一个主机发现一个接入集中器，发现AC的MACn确定会话标识Session IDoPPP会话阶段n主机和接入集中器之间依据PPP协议传送PPP数据，进行PPP的各项协商和数据传输。n传输的数据包中必须包含在发现阶段确定的会话标识并保持不变7/1/202416网络管理工程师其他接入业务故障诊断与排除PPPOE概述发现阶段8/12/202316网络管理工程师其16PPPOE的报文oPPPOE的发现阶段的报文格式依据代码域可分为以下5种：n PADI(PPPOE发现初始报文)n PADO(PPPOE发现提供报文)n PADR(PPPOE发现请求报文)n PADS(PPPOE发现会话确认报文)n PADT(PPPOE发现终止报文)7/1/202417网络管理工程师其他接入业务故障诊断与排除PPPOE的报文PPPOE的发现阶段的报文格式依据代码域可分17一个完整的PPPOE过程7/1/202418网络管理工程师其他接入业务故障诊断与排除一个完整的PPPOE过程8/12/202318网络管理工程师18PPPOE案例分析o故障现象:n用户通过PPPOE拔号成功后能ping通百度的网站服务器，无法打开百度网页，可以打开163的网页。PPPPPPOEIPMACPPPPPPOEIPMACVLANPPPIPMACVLANPPPOEMACIPInternetPPPOE用户用户BASSwitch网站服务器网站服务器7/1/202419网络管理工程师其他接入业务故障诊断与排除PPPOE案例分析故障现象:PPPPPPOEIPMACPPP19PPPOE案例分析o处理过程：n在用户PC上抓包分析，从抓包来看，PC机已与百度网站建立TCP联接，在PC上已正常发送HTTP的请求报文，但没有收到网站返回的HTTP报文n在BAS的internet侧抓包，从抓包看网站已返回HTTP数据流，且报文的大小为1500字节其DF=1n检查BAS的PPPOE接口的MTU值，MTU=1472字节n将BAS的PPPOE接口的MTU值修改为1500字节后恢复正常o案例总结：n能ping通但不能打开部分网页的问题可以重点检查网络接口MTU和网站发送报文的DF位的值7/1/202420网络管理工程师其他接入业务故障诊断与排除PPPOE案例分析处理过程：8/12/202320网络管理工20课程内容NAT转发流程及故障排除转发流程及故障排除PPPOE概述和故障排查概述和故障排查VRRP概述和故障排除概述和故障排除7/1/202421网络管理工程师其他接入业务故障诊断与排除课程内容NAT转发流程及故障排除8/12/20232121VRRP概述oVRRP（Virtual router redundancy protocol,虚拟路由器冗余协议）提供了局域网上的设备备份机制 用VRRP实现虚拟路由器Internet实际实际IP地址：地址：10.100.10.3/24实际实际IP地址：地址：10.100.10.2/24虚拟虚拟IP地址：地址：10.100.10.1/247/1/202422网络管理工程师其他接入业务故障诊断与排除VRRP概述VRRP（Virtual router redu22VRRP概述oVRRP定义了一种报文：VRRP报文，是组播报文(224.0.0.18)oVRRP定义了三种状态：n初始状态（Initialize）n活动状态（Master）n备份状态（Backup）oVRRP报文封装在IP报文上o从备份组的交换机中选举主交换机：n默认情况下选择优先级最大的为主交换机，其它交换机作为备份交换机n主交换机定期发送VRRP报文n如果备份交换机长时间没有收到主交换机报文，则将自己状态改为Mastern若有多台备份交换机，则根据接收的VRRP报文，选举优先级最大的交换机成为新的主交换机7/1/202423网络管理工程师其他接入业务故障诊断与排除VRRP概述VRRP定义了一种报文：VRRP报文，是组播报文23VRRP案例分析o故障现象：n二台交换机启用VRRP后，二台交换机的VRRP状态均为masterInternet实际实际IP地址：地址：10.100.10.3/24实际实际IP地址：地址：10.100.10.2/24虚拟虚拟IP地址：地址：10.100.10.1/247/1/202424网络管理工程师其他接入业务故障诊断与排除VRRP案例分析故障现象：Internet实际IP地址：1024VRRP案例分析o处理过程n检查二台交换机启用VRRP的接口是否可以ping通n检查二台交换机的VRRP组号是否一致n检查二台交换机的VRRP组认证方式和密码是否一致n经检查确认是由于二台设备的VRRP的组号不一致，修改后恢复正常。o案例总结n如果发现二台启用VRRP的接口均为MASTER状态可重点针对以下几点来排查o启用相同组的VRRP接口是否可以ping通o组号是否一致o认证方式和密码的一致性。7/1/202425网络管理工程师其他接入业务故障诊断与排除VRRP案例分析处理过程8/12/202325网络管理工程师25