一、故障现象
多外网线路(固定IP/DHCP/PPPOE)-终端上不了网。
二、组网拓扑
拓扑描述:
RSR路由器作为出口路由器、使用三条外网线(固定IP/DHCP/PPPOE)到运营商进行上网
三、可能原因
1、外网接口IP地址配置错误、外网物理链路异常、外网地址运营商问题导致无法正常使用;
2、默认路由未配置或配置错误、REF表象异常;
3、路由器配置了流攻击保护或者接口调用ACL限制
4、NAT配置、NAT转换规则及调用的ACL配置错误
5、设备运行状态异常、导致数据转发异常
四、排查步骤
步骤一:查看多条外网线路是否正常可以上网使用、检测各接口配置是否正确。
查看各接口配置是否正确、是否可以正常ping通网关、具体排查方式可参考单线路场景排查手册,如下为接口正常的配置:
pppoe拨号:
固定IP地址:
DHCP获取:
步骤二:路由器上ping外网地址是否可通、如果不通检测默认路由是否配置及运营商是否数据未做好。
路由器ping公网地址测试是否可以通(如ping 223.5.5.5)
如果不通,检查设备三条默认路由加表正常
如果路由表没有默认路由则检查默认路由是否配置(只需手动配置2条默认路由:PPPOE拨号和固定IP地址;DHCP自动获取到网关地址后会自动生成一条对应默认路由)
如果路由表正常,检查REF表是否正常:查看ref路由表是否正常:sh ip ref route;查看ref邻接表是否正常:sh ip ref adj
如果REF表现异常,可尝试删除路由器全部路由条目后查看ref表象是否正常
步骤三:终端长ping公网地址、同时路由器上查看流表、查看数据转发情况
情况一:路由器策略阻断或内网环境问题:路由器通过show ip fpm flows | in x.x.x.x //x.x.x.x为测试终端地址(分布式设备需要进到外网线卡通过命令show ip fpm flows user x.x.x.x查看)上看不到数据流;排查路由器是否配置了流攻击保护、接口调用了ACL及内网环境问题数据流没有发到路由器
查看设备是否配置了流攻击保护:sh run | in ip fpm
查看对应的ACL列表是否放通了合法流量:sh access-lists xxx
查看设备哪些接口调用的ACL访问控制列表:sh access-group
查看对应的ACL访问列表是否放通了合法流量:sh access-lists xxx
情况二:NAT未配置或配置错误:查看流表show ip fpm flows | in x.x.x.x没有源地址转换;检查NAT配置是否正确
sh run interface X //X表示具体的内外网接口,查看内网口是否配置了ip nat inside,外网拨号口是否配置了ip nat outside
sh run 查看NAT转换规则相关配置:配置一个名字为ruijie的公网地址池;地址池配置匹配从三个外网口出去的数据源地址转换成对应外网接口地址。将acl 1匹配的流量,执行nat转换,转换成地址池ruijie里面的地址
NAT转换规则调用的acl是否配置及配置是否正确,acl是否调用了时间的acl,时间配置的范围是否包含了上不了网的时间段
sh access-lists x //查看NAT调用的acl及是否调用了时间
sh run | be time-range //查看时间配置是否包含了所有时间段
情况三:DNS问题:终端可以ping通公网地址,但是网页打不开、通过show ip fpm flows | in x.x.x.x查看对应DNS流表SendBytes字节有增长、RecvBytes字节没增长,说明DNS配置错误或DNS异常,可修改电脑DNS进行测试
步骤四:查看设备运行是否正常。
查看设备cpu、内存是否正常
解决方法:
若CPU高需查看具体哪个模块占用高、具体排查方式查看CPU高排查文档。
五、信息收集
Show ver
Show cpu
Show memory
Show ip interface brief
Show ip route
Show ip ref route
Show ip ref adj
Show pppoe session
Show pppoe ref
Show run
六、总结与建议
1、确认外网接口PPPOE相关配置是否正确、是否拨号成功获取到IP地址、ping公网地址是否可通
2、确认默认路由加表是否正常
3、确认接口NAT配置、NAT转换规则及调用的ACL是否正确
4、确认是否存在流攻击保护或者接口调用ACL限制
5、确认设备运行状态是否正常。