S9500交换机NAT转发不通问题处理方法

S9500交换机NAT转发不通问题处理方法

 

一、故障处理流程

图一、NAT转发不通故障处理流程

二、故障处理步骤

1）步骤1

    使用命令display ip routing-table检查需要转发的报文，在系统中的路由表项是否存在。如果不存在，请先按照路由相关定位步骤处理。路由表检查正确，请转步骤2。

[S9500]display ip routing-table

 Routing Table: public net

Destination/Mask   Protocol Pre  Cost Nexthop         Interface

127.0.0.0/8       DIRECT    0    0  127.0.0.1       InLoopBack0

127.0.0.1/32      DIRECT   0    0  127.0.0.1       InLoopBack0

2）步骤2

    使用命令display fib检查由路由信息生成的转发表项是否存在。如果不存在该转发报文可以使用的正确表项，说明还是路由相关存在问题；请先排查路由方面的问题。如果FIB表项正确，请转步骤3。

[S9500]display fib

Destination/Mask   Nexthop         Flag TimeStamp     Interface

127.0.0.0/8        127.0.0.1       U    t[0]          InLoopBack0

3）步骤3

    检查NAT报文要转发的下一跳的ARP表项是否存在。如果ARP表项不存在，请参照ARP故障相关步骤定位。

[S9500]display arp

            Type: S-Static   D-Dynamic

IP Address  MAC Address   VLAN ID  Port Name  Aging Type

1.1.1.1    0000-0000-0001  2        Ethernet1/1/1  N/A   S  

4）步骤4

    检查是否配置相关策略路由等信息。如果确认配置正确，请转步骤5。

5）步骤5

    检查NAT相关配置信息，需要关注下面的配置信息。检查配置的NAT规则中的ACL，是否正确，允许相应报文通过；如果配置的NAT规则中的ACL，某些rule规则禁止该报文转发，那么该报文将被丢弃；请修改rule规则。

[S9500-Vlan-interface2]dis this

#

interface Vlan-interface2

 ip address 1.1.1.1 255.255.255.0

 nat outbound 2001 slot 13

#

return 

[S9500]dis acl c 2001

Basic ACL  2001, 1 rule,

 rule 0 deny (0 times matched)   

    检查配置的NAT规则中的地址池IP，是否和该接口IP在同一个网段。如果配置的地址池地址，和该地址池所绑定的接口IP不在同一个网段，那么将由于缺少返回的路由，而导致转发不通。请检视网络规划，保证地址池地址和绑定的接口IP在同一个网段。

[S9500-Vlan-interface2]dis this

#

interface Vlan-interface2

 ip address 1.1.1.1 255.255.255.0

 nat outbound 2000 slot 13

#

return

[S9500-Vlan-interface2]display nat address-group

NAT address-group information:

  0   : from         1.1.1.3   to         1.1.1.5

6） 步骤6

    上述步骤无法定位问题，请联系800进一步处理。