一、故障现象
外网单线路DHCP-终端上不了网。
二、组网拓扑
拓扑描述:
RSR路由器作为出口路由器、外网通过DHCP获取进行上网
三、可能原因
1、外网接口配置错误、出口路由器或光猫无法下发地址和网关、存在地址冲突;
2、默认路由加表异常、REF表象异常;
3、路由器配置了流攻击保护或者接口调用ACL限制;
4、NAT配置、NAT转换规则及调用的ACL配置错误,DNS问题;
5、设备运行状态异常、导致数据转发异常;
四、排查步骤
步骤一:查看路由器外网接口是否获取到IP地址。
情况一:路由器接口配置问题。
show ip interface brief 查看外网接口是否正常获取到IP地址
查看路由器外网接口配置是否正确
情况二:出口路由器(或光猫)分配的地址和RSR路由器上接口地址存在网段冲突。
show ip interface brief 查看外网接口是否正常获取到IP地址并查看其它接口的IP地址情况,将外网线直接接电脑上、查看电脑获取到IP地址段
解决方法:
修改RSR路由器冲突接口的IP地址段或修改出口路由器(或光猫)下联口的IP地址段
情况三:出口路由器(或光猫)DHCP地址未分配。
show ip interface brief 查看外网接口是否正常获取到IP地址,可将外网线直接接电脑上、测试电脑是否可以正常获取到IP地址上网、如果电脑也获取不到地址、协调出口路由器或运营商进行排查
步骤二:路由器上ping外网接口网关地址是否可通、如果不通检查是否学习到网关ARP,网关设备是否禁ping、是否存在地址冲突
测试路由器ping外网网关地址是否通
查看是否正常学习到网关ARP信息
show interface gigabitEthernet X 查看接口物理和协议是否双UP、如果其中一个状态是DOWN则检查物理线路及接口IP配置;查看“5 minutes input rate ”是否有外网进来的数据、如果无数据、可将外网线直接接电脑上、电脑配置DHCP自动获取查看是否可以获取到IP地址、如果接电脑无法或者则协调出口路由器或运营商处理
步骤三:路由器上ping外网地址是否可通、如果不通检查默认路由及运营商是否数据未做好。
路由器ping公网地址测试是否可以通(如ping 223.5.5.5)
情况一:出口路由器或光猫未下发网关地址。
检查设备路由表是否有默认路由show ip route(注:外网DHCP会自动获取到网关地址,如果路由表没有默认路由,检查出口路由器DHCP server是否配置了下发网关地址、可将电脑直接接到出口路由或光猫测试是否可以正常获取到地址和网关上网);
情况二:路由器多配置了一条默认路由指向出接口、导致路由转发异常。
Show ip route /show ip ref route 查看路由器表及ref表是否正常,查看ref邻接表是否正常:sh ip ref adj
可删除路由器默认路由条目(no ip route 0.0.0.0 0.0.0.0 GigabitEthernet 0/0)后(注:外网DHCP无需手动配置默认路由)查看路由表是否正常、查看ref表象是否正常
如下图为正常的情况:
步骤四:终端长ping公网地址、同时路由器上查看流表、查看数据转发情况
情况一:路由器策略阻断或内网环境问题:路由器通过show ip fpm flows | in x.x.x.x //x.x.x.x为测试终端地址(分布式设备需要进到外网线卡通过命令show ip fpm flows user x.x.x.x查看)上看不到数据流;排查路由器是否配置了流攻击保护、接口调用了ACL及内网环境问题导致数据流没有发到路由器
查看设备是否配置了流攻击保护:sh run | in ip fpm
查看对应的ACL列表是否放通了合法流量:sh access-lists xxx
查看设备哪些接口调用的ACL访问控制列表:sh access-group
查看对应的ACL访问列表是否放通了合法流量:sh access-lists xxx
情况二:NAT未配置或配置错误:查看流表show ip fpm flows | in x.x.x.x没有源地址转换;检查NAT配置是否正确
sh run interface X //X表示具体的内外网接口,查看内网口是否配置了ip nat inside,外网口是否配置了ip nat outside
sh run 查看NAT转换规则相关配置:配置一个名字为ruijie的公网地址池;地址池配置匹配从G0/0出去的数据源地址转换成G0/0接口地址。将acl 1匹配的流量,执行nat转换,转换成地址池ruijie里面的地址
NAT转换规则调用的acl是否配置及配置是否正确,acl是否调用了时间的acl,时间配置的范围是否包含了上不了网的时间段
sh access-lists x //查看NAT调用的acl及是否调用了时间
sh run | be time-range //查看时间配置是否包含了所有时间段
情况三:DNS问题:终端可以ping通公网地址,但是网页打不开、通过show ip fpm flows | in x.x.x.x查看对应DNS流表SendBytes字节有增长、RecvBytes字节没增长,说明DNS配置错误或DNS异常,可修改电脑DNS进行测试
步骤五:查看设备运行是否正常。
查看设备cpu、内存是否正常
若CPU高需查看具体哪个模块占用高、具体排查方式查看CPU高排查文档。
五、信息收集
Show ver
Show cpu
Show memory
Show ip interface brief
Show arp
Show ip route
Show ip ref route
Show ip ref adj
Show run
六、总结与建议
1、确认外网接口DHCP配置、是否正常获取到IP地址和网关地址、ping网关地址是否可通、ping公网地址是否可通
2、确认默认路由加表是否正常、ref表是否正常
3、确认接口NAT配置、NAT转换规则及调用的ACL是否正确
4、确认是否存在流攻击保护或者接口调用ACL限制
5、确认设备运行状态是否正常