MSR5006基于时间ACL控制后QQ仍然可以登录经验案例

    问题描述：

出口路由器有关配置：

[H3C]time-range h3c 10:00 to 18:00 daily 

//时间列表，每天10：00到18：00

[H3C-acl-basic-2000]rule permit source 1.1.1.1 0 time-range h3c    

//配置ACL200，调用上述时间列表

[H3C-GigabitEthernet0/0]nat outbound 2000 

//接口配置NAT，并调用ACL2000

按照用户配置，内网用户在10：00到18：00之间是可以正常上网的，其他时间不能正常访问外网，但是当18：00后，客户内网用户不能正常打开网页，而QQ是能正常访问的

无

     问题原因：

按照客户组网，在实验室搭建环境是可以复现问题的，问题出现时在出口路由器：

Display nat session查看，发现nat session的老化时间仍然在刷新，随机手工reset

nat session,之后qq不能在正常登录；原因在于QQ是一种比较特殊的程序，存在众多连接和端口号，会不断的触发nat转换，导致nat表项超时时间在不断刷新

           解决方法

找到问题原因以后，我们知道通过重置NAT表象是可以解决问题的，但是客户不可能每天通过手工清除表项的方法解决问题，而MSR设备的Job功能可以解决此问题：即给设备下发一个job任务，每天18：00之后，由设备自动进行重置NAT表项的操作，操作如下：

job h3c

view system

 time 1 repeating at 18:01 command execute h3c.bat    

//每天18：01分执行某命令

然后写一个.bat的文件，内容为：

return

  reset nat session

//配置后，每天18：01分，设备均会进行重置Nat表象的操作

无