NAT资源耗尽 一次令人头疼的网络故障^
一次令人头疼的网络故障清明节刚过,上班后好多人报网络很慢,而且时不时就上不了,然后开始检查,发现故障如下,内网正常,外网断断续续,搞人的人非常不爽。网络图如下:
先查内网设备show logging都没有什么错误信息
一路检查,都没找至什么异常信息
网上发贴请教,有人出主意环路问题 ,然后开始查找环路
发现65与37之间还有刀片之间的确有地方配置有点问题 65,认为37与65之间应该起三层,这样更好一些(原先我的配置是37与65之间走二层,65与刀箱交换是因为配置多选一个VLAN1,故不是什么原因),
然起三层,37起ospf,连65各一个网段,连SCE一个网段
测试,故障依旧,晕啊,已经2天
后怀疑是ISP问题 拔出口线路直接到笔记本测试没问题
晕了
第3天下午,奇迹出现,网络正常如前,无一丝异常,兴奋中,以为故障解决,高兴啊
第4天问题 又来了
后想到是ARP 或DHCP IP冲突,然后使用cisco DAI 技术
DAI(MAC表与DHCP IP MAC表对比),详细请参阅相关资料
测试……,问题依旧
确实无从下手了
第5天,偶然查找打开防火墙,发现日志提示NAT资源耗尽,这是什么原因,致电防火墙售后,得知网络断断续续的真正原因
我的外网出口只有一个公网IP,做NAT转换,而NAT转换最多有65536个端口(或连接)
而我在防火墙上show session发现已有70000多个连接分配(防火墙最多支持200万个),所以导致大家都在争夺资源,所以网络断断续续,
查看防火墙上IP应用连接,发现有个机器有30000多个连接(肯定中毒,正常用户即使用下载软件也就一二百个),怪不得网络断啊,总算找到问题
在防火墙上做限制到每IP500个连接,网络马上恢复正常
后在分公司防火墙上也做限制。
网络正常了,
先查内网设备show logging都没有什么错误信息
一路检查,都没找至什么异常信息
网上发贴请教,有人出主意环路问题 ,然后开始查找环路
发现65与37之间还有刀片之间的确有地方配置有点问题 65,认为37与65之间应该起三层,这样更好一些(原先我的配置是37与65之间走二层,65与刀箱交换是因为配置多选一个VLAN1,故不是什么原因),
然起三层,37起ospf,连65各一个网段,连SCE一个网段
测试,故障依旧,晕啊,已经2天
后怀疑是ISP问题 拔出口线路直接到笔记本测试没问题
晕了
第3天下午,奇迹出现,网络正常如前,无一丝异常,兴奋中,以为故障解决,高兴啊
第4天问题 又来了
后想到是ARP 或DHCP IP冲突,然后使用cisco DAI 技术
DAI(MAC表与DHCP IP MAC表对比),详细请参阅相关资料
测试……,问题依旧
确实无从下手了
第5天,偶然查找打开防火墙,发现日志提示NAT资源耗尽,这是什么原因,致电防火墙售后,得知网络断断续续的真正原因
我的外网出口只有一个公网IP,做NAT转换,而NAT转换最多有65536个端口(或连接)
而我在防火墙上show session发现已有70000多个连接分配(防火墙最多支持200万个),所以导致大家都在争夺资源,所以网络断断续续,
查看防火墙上IP应用连接,发现有个机器有30000多个连接(肯定中毒,正常用户即使用下载软件也就一二百个),怪不得网络断啊,总算找到问题
在防火墙上做限制到每IP500个连接,网络马上恢复正常
后在分公司防火墙上也做限制。
网络正常了,
