引言： 回指路由简单点讲就是回到本地网络的路由，一般都是一条或者多条静态路由来完成。笔者单位为了方便服务器从互联网上远程管理和登录，具体方法是使用一对一的NAT来实现，但是配置完毕后不能实现在公网上登录，经过对NAT数据配置检查，并对数据转发路径的分析后发现是没有设置回指路由。本文介绍故障的处理过程。

故障现象

近日，为了方便服务器从互联网上远程管理和登录，我们给服务器设置了一个私网地址10.66.69.117，然后将该私网地址使用一对一的NAT转换出去，但是数据配置做好后，发现从公网上不能访问该服务器。这里简要介绍一下NAT的定义，当在内部网络的一些主机本来已经分配到了本地IP地址（即仅在本内部网使用的专用地址），但现在又想和因特网上的主机通信（并不需要加密）时，可使用NAT方法来解决。NAT的实现方式分为静态、动态和端口的多路复用三种方式，这里我们使用到的是静态NAT即一对一NAT，一个私网地址对应一个公网地址。

故障分析

知悉NAT的定义和故障现象后，立即展开排查，首先在内网中ping 10.66.69.117这台服务器，结果是正常的。然后使用可以访问互联网的PC机Ping公网地址 111.161.66.241，结果是Ping不通的。这样就可以得出结论，内网服务器部署是没有问题的，而且服务器是开放ICMP协议的，既然转换后的公网地址Ping不通，那问题出在哪呢？

接下来重新梳理下思路，认真检查NAT的配置，均没有发现问题。这个时候在服务器上设置DNS后，该服务器是可以正常访问Internet，然后在互联网上查看了一下本机转换出去的公网地址的确是111.161.66.241，这就说明数据从内网到互联网这一链路是没有问题的。那么，从公网上访问服务器是不是存在问题呢？经过查找资料得知，需要在我们的核心路由器上配置回指路由。在这里需要简要介绍一下网络拓扑机构（如图1）。

通过图1可以看到，两台核心路由器连接流控设备，流控设备上连接的是互联网出口，其中从BRAS到两台核心路由器路径是等价的，意思是BRAS到核心路由器的数据转发是负载均衡的。而且核心路由器使用默认路由指向流控设备，通过NAT和策略路由将内网数据转发到互联网出口处。这里，两台核心路由器至流控设备也是等价的，从而实现数据的负载均衡。

故障排除

图1 网络拓扑结构

再回到刚才访问服务器的问题上来，数据流从互联网出口到达流控设备后，有两条路径转发给核心路由器，这样就会引起数据转发有问题，所以需要人为地定义一条路由指向核心路由器，这里我们定义将回指路由指向核心路由器-1，具体的配置命令为：

IP route 10.66.69.117 2 5 5.2 5 5.2 5 5.2 5 5 10.254.148.53

上面回指路由的意思是将目的访问10.66.69.117的数据转发给核心路由器即 10.254.148.53，该地址是核心路由器-1和流控设备的互连接口地址。当然，这里也可以将下一跳指向核心路由器-2道理是一样的。完成回指路由的配置工作后，再次从公网上访问服务器是正常的。同时也可以正常Ping通111.161.66.241这一NAT后的地址。

经验总结

从得知网络故障现象开始，使用Ping命令，排除了内部网络故障的嫌疑，然后认真检查设备的NAT配置，并结合网络拓扑结构对数据转发路径的转发进行分析，得到网络故障是因为没有配置回指路由引起的。

该故障处理完成后回过头来思考数据的转发都是双向的，即一来一回，只有数据两个方向都没有问题了，才能达到数据通讯的正常。其实，网络故障的出现并不可怕，怕的是找不到头绪，这就要求我们结合网络结构，认真分析网络通讯的过程，从而最终找到故障点。同时，还要做好故障的归纳总结工作，故障处理经验文档化的过程，是排除故障宝贵经验的总结，它记录了此次故障排除过程中所有的操作和配置改动。这些也是下次进行故障定位的重要依据，为故障的解决赢得先机。