1.1拓扑描述
出口设备DCME320,核心5750E下联多台S5750E作为汇聚,外网线为教育局专线。
1.2环境描述
DCME320出接口IP位10.1.1.1网段,同时教育局分配10.5.204.X/24网段供客户直接使用(不做NAT)。
如上图内网接口为G3口,外网口为HG2。
修改前的NAT配置。
修改前安全策略配置。
路由配置。
2.1故障现象
客户内部一台服务器配置10.5.204.x网段地址要求实现教育网对端设备能通过10.5.204.100直接访问该服务器,根据客户描述判断不太可能实现,路由器做了全局NAT,内部地址无法直接被外部设备访问。
2.2故障复现
测试内网服务器能正常ping通教育网专线地址,专线端地址无法ping通内网服务器10.5.204.100 设备。
2.3故障影响
客户设备无法正常被对端教育网专线访问,客户需求无法实现。
3.1排查思路
通过查看客户路由器NAT配置可判断内网所有网段全部由NAT转换后访问外部专线设备,所以内部服务器可直接访问专线设备,但专线设备无法直接访问内网服务器。
客户不是专业技术人员,描述与实际情况存在出入,客户表示希望通过内网做DNAT实现外部直接访问内网服务器地址进行通信,根据客户提供信息明确告知客户不改变网络结构不可行,后让用户如方便让教育网技术来电这边核实一下具体技术实现步骤。
教育网技术来电后告知我方教育网给出的10.5.204.x 网段可以直接路由出去访问专线及互联网,无需做NAT进行转换,客户内部其他网段地址可通过10.1.1.1 出接口地址做NAT后访问专线及互联网。
根据教育网技术给出的答复重新配置策略、NAT。
后续测试,路由器10.5.204.X网段可正常访问专线资源及互联网,同时专线网络也可正常访问路由器10.5.204.X网段。
3.2原因分析
客户本身非专业技术,无法明确描述需求与现场环境,给排查处理工作造成了一定的困扰,后让客户联系教育网相关技术来电成功解决问题。
现场初始配置为全局NAT ,安全策略只允许了lanwan,未放行 wanlan 。重新修改配置后为内网172.16.x.x/16做NAT访问专线资源及互联网,10.5.204.x/24网段无需NAT。
4.1解决办法
根据客户方以及教育网技术提供的所有信息,重新配置路由器NAT策略与安全策略。经过测试后客户需求实现,现场网络状况良好。
4.2分析总结
当发现客户描述存在逻辑问题时,不要顺着客户思路转牛角尖,换个想法站在客户的角度去思考客户为什么要这样描述,客户最终要实现的目的到底是什么,怎样才能实现这个目的,为了实现这个目的需要什么帮助及流程。
当客户第一次来电说需要外部设备直接访问内部服务器ip进行通信时,我第一反应时路由器有NAT无法做到直接访问,必须做DNAT映射。后面客户又说需要在内部做一个映射让专线设备能绕过路由器NAT直接访问内网服务器IP,根据经验判断无法实现,于是收集更多信息。
后了解到客户说教育局给过一个网段的地址(10.5.204.x)可做服务器IP直接访问,但是无法正确描述为什么能访问,于是告知客户联系教育局技术来电跟对方技术确定实施方案。
跟对方技术沟通后得知10.5.204.x网段无需做NAT可直接访问时,这才正真明白客户现场具体环境,以及客户想表达的意思及具体实施方法,跟着所有的线索以及掌握的信息,重新配置路由器后客户需求实现。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)