鲁达 概述
模拟组网拓扑,如下图所示。PC_2开启telnet服务并映射到外网区域,从而使PC_4可远程访问PC_2。然而,当PC_4试图远程访问PC_2时却无法访问,ChuKou_3设备中存在nat session会话记录,该问题该如何解决呢?
排查思路
排查此类故障,一般采用分层排查思路;
首先,检查内网设备的服务端口是否正常,即在内网测试PC_2的服务端口——应用层、传输层;
其次,要检查一下内网是否有相关安全设备拦截了相关服务端口——应用层、传输层;
最后,检查一下相关设备路由配置是否正常——网络层;
故障排查过程
外网区域PC_4试图telnet远程访问PC_2,边界路由器ChuKou_3存在nat session,如下图所示;
注意观察一下设备nat session会话中的State字段——TCP_SYN_SENT。
从而说明,PC_4向ChuKou_3发起了TCP的连接,但是,会话中PC_2设备并未回应相应的ACK;
边界路由器ChuKou_3设备带源地址测试访问PC_2的服务端口——正常。
从而说明,PC_2的服务端口是正常。边界路由器至PC_2之间的无安全设备拦截相关服务端口。边界路由器内网接口与PC_2所属同一地址段,无路由层面的问题。
检查PC_2配置的路由,发现设备默认路由指向HX_1;
检查HX_1配置的路由,发现设备无指向223.1.1.0/24地址段的路由;
查看ChuKou_3配置的路由,发现设备默认路由指向PC_4;
在HX_1设备配置指向223.1.1.0/24地址段的路由后,PC_4可正常telnet访问PC_2;
[HX_1]ip route-static 223.1.1.0 24 192.168.100.254
查看ChuKou_3设备nat session会话中的State字段——TCP_ESTABLISHED
因此,此次故障问题的原因即是HX_1设备缺少相关路由;
总结
分层思路是排查网络故障的有效手段;
边界路由器与内网核心单独规划互联IP,不建议使用业务IP地址进行互联;
基于TCP的应用,可使用telnet的方式测试该应用的服务端口;
TCP是面向连接的、可靠的传输层协议,基于TCP的应用程序间传输数据之间需进行TCP三次握手,然而,它依赖于网络层已打通,特别是跨三层的数据传输,路由层面要双方可达。