■ 湖南工业大学现代教育技术中心 郭兆宏

编者按：某一天笔者遇到用户反映说其映射的HTTP服务在外网不能打开了，因此笔者针对此进行了一系列排查工作。

图1 加入NAT地址池前后路由跟踪对比

某用户反映他们的映射的

HTTP服务不能打开了，检查出口设备的配置是正常的，此端口映射的内网地址可以正常打开，公网地址+端口号在单位内网也可以打开，说明服务器、内网是正常的，但用www.17CE.com测试不能打开，于是开始了网络、安全方面的排查。

内网正常，其他映射基本正常

首先查到此映射在内网地址，在自己电脑上可以正常打开此映射的内网IP:172.x.x.11 + 8080端口号，再次打开映射的公网IP地址:218.x.x.121 + 8080端口号也正常，这说明此映射的服务器、服务、内网是正常运行的。但用www.17CE.com测试不能打开，用www.17CE.com测试单位网站用公网 IP：218.x.x.116 方式的打开正常，而用www.17CE.com的路由跟踪是无法跟踪218.x.x.116的，只能跟踪到网关。再测试打开2个常用的映射也用公网IP地址+端口号的方式也是正常的，说明网络正常、出口设备运行是正常的。感觉哪里有卡此映射的服务，于是开始检查安全设备。

安全设备的日志中查不到此映射内网IP及公网IP的记录

因有多台安全设备是串联在核心网络线路上的，且每分钟都有多条数据被拦截，于是一个个检查日志，未查到此映射内网IP及公网IP的记录，基本确认安全设备正常没有卡此映射，但准备实在不行把线路跳过安全设备，因有多台安全设备且不在同一个机柜中，跳线有点麻烦，不到最后不搞这步。

重启出口设备

再次检查出口设备的映射配置及流过滤的ACL，此映射的公网IP+端口全部放通的，映射配置正确。出口的带宽正常，会话数正常，内网IP：172.x.x.11的流量基本没有。

出口设备配置中有一项免费ARP请求：网关会定期向局域网PC通告自己的IPMAC地址，避免内网PC被ARP欺骗，同时在被欺骗后仍能及时的学习到正确的网关地址，这个选项只能对内网不能对外网。因安全设备没有查出问题，只可能是出口设备有问题了就把出口设备重启了，故障依旧。出口设备前还有2台安全设备也给重启了，故障依旧。出口设备前有台交换机接运营商的线路，配置有空端口可以接笔记本用公网IP地址的，但因当时笔记本被借走了，暂时没用公网IP测试。

联系运营商，反馈是没有封杀

因为此映射出去的是8080端口，怕被运营商禁止端口了，就增加一个映射换了一个不常见的端口号，还是不行，再换另一个公网IP+另一个端口号，新公网IP：218.x.x.116是单位网站的，用www.17CE.com测试可以正常打开，感觉是IP：218.x.x.121是被运营商给封杀了，于是联系运营商，过一段时间反馈回来是运营商没有封杀任何IP地址及端口号，只能再查自己的设备。

在出口上无法查到此映射公网IP的流表

在出口上用命令“sh ip nat translations |include 218.x.x.121”查此映射公网IP的NAT表及sh ip fpm flows | include 218.x.x.121查流表过滤，全部没有任何数据。再检查此映射公网IP上面其他几个映射，有几个映射的内网都打不开，有2个映射的内网服务可以打开，但用www.17CE.com测试也打不开，把这2个映射内网IP+端口再做2个映射到单位网站的公网IP：218.x.x.116+端 口，用www.17CE.com测试全可以打开，把单位网站映射到此公网IP：218.x.x.121+非80端口号，用www.17CE.com测试打不开。判断就是此映射的公网IP：218.x.x.121地址有问题。

把此映射公网IP加到NAT地址池中此映射立即打开

感 觉 此 公 网IP：218.x.x.121肯定是哪里卡了，可能在安全设备上，想跳开安全设备，但又有些麻烦，且以前运行也是正常的。也可能在出口设备上，在出口设备上没有查到此公网IP：218.x.x.121的流表，增加流表如何？于是把此映射的公网IP：218.x.x.121加到NAT地址池，在出口设备查NAT转换表过滤，马上看到此公网IP：218.x.x.121的 很 多 数据，再用www.17CE.com测试此 映 射：218.x.x.121:8080可以打开了，此映射正常了！再查看流表过滤，此映射的公网IP+端口号的数据都有了，至此故障解决了。

应是运营商学习不到此公网IP:218.x.x.121的MAC地址。因为单位网络NAT地址池里IP地址是专用NAT的，不做端口映射的；而做端口映射的公网IP是不做NAT地址池的。且这些地址都不能ping通的，也无法跟踪路由，更不是接口地址。

验证

首先在上网行为日志里检查此映射内网IP：172.x.x.11的记录，最近30天一天平均就几百个访问，此映射 公 网 IP：218.x.x.121上面其它几个映射的内网有几个没访问量（内网服务根本就打不开），一个偶有访问量且最多只有几十个，而单位网站的访问量一天平均都是10+万次的访问量。估计此公网IP：218.x.x.121的访问量太少，且在一段时间内就没有访问量，且此IP只用端口映射没有NAT地址，也不是接口地址，且不能ping通，所以运营商有段时不知道此IP的MAC地址，也就无法找到此IP地址，因此在外网不可能打开此映射的。其实以前有过此公网IP一个映射也无法访问，当时给换到另一个公网IP上面的映射了，可以正常使用后就没有深入找原因。

把单位网站的再做一个从未使用的公网IP：218.x.x.117上面的的映射，用www.17CE.com测试无法打开，在出口设备上把禁止ping、访问限制等安全配置全放开，路由跟踪也无法找到这个从未使用的公网IP，在出口设备上查流表也无法查出这个从未使用IP的数据。

过一段时间把这个从未使用的公网IP也加入到NAT地址池中，再用www.17CE.com测试可以正常打开了，在出口设备上查sh ip fpm flows | include 218.x.x.121流表，立即查出这个从未使用IP的数据对应打开单位网站内网的数据了，路由跟踪也可以到网关了。

总结

此故障虽然与安全设备无关，但也要检查下安全设备，因为每分钟都有安全设备的阻断行为，检查可以防万一。因为IP:218.x.x.121访问量太少，且有一段时间就没有访问量，这个公网IP地址对应的MAC地址在运营商设备上找不到，所以在外网上无法找到此公网IP地址。

把此映射的公网IP加入到NAT地址池后，有大量NAT转换表，运营商设备上可以找到此IP的MAC地址，也就能找到此IP地址，映射也就可以正常打开了。其实如果能与运营商有良好的技术沟通可以很快发现此IP：218.x.x.121与MAC是否在运营商设备上看到，这方面要加强。NAT地址池的IP与端口映射的IP，这个配置也要调整。