七层网络故障问题分享(2)-端口映射

概述

模拟组网拓扑,如下图所示。PC_2开启telnet服务并映射到外网区域,从而使PC_4可远程访问PC_2。然而,当PC_4试图远程访问PC_2时却无法访问,ChuKou_3设备中存在nat session会话记录,该问题该如何解决呢?

排查思路

排查此类故障,一般采用分层排查思路;

首先,检查内网设备的服务端口是否正常,即在内网测试PC_2的服务端口——应用层、传输层;

其次,要检查一下内网是否有相关安全设备拦截了相关服务端口——应用层、传输层;

最后,检查一下相关设备路由配置是否正常——网络层;

故障排查过程

外网区域PC_4试图telnet远程访问PC_2,边界路由器ChuKou_3存在nat session,如下图所示;

注意观察一下设备nat session会话中的State字段——TCP_SYN_SENT。

从而说明,PC_4向ChuKou_3发起了TCP的连接,但是,会话中PC_2设备并未回应相应的ACK;

边界路由器ChuKou_3设备带源地址测试访问PC_2的服务端口——正常。

从而说明,PC_2的服务端口是正常。边界路由器至PC_2之间的无安全设备拦截相关服务端口。边界路由器内网接口与PC_2所属同一地址段,无路由层面的问题。

检查PC_2配置的路由,发现设备默认路由指向HX_1;

检查HX_1配置的路由,发现设备无指向223.1.1.0/24地址段的路由

查看ChuKou_3配置的路由,发现设备默认路由指向PC_4;

在HX_1设备配置指向223.1.1.0/24地址段的路由后,PC_4可正常telnet访问PC_2;

[HX_1]ip route-static 223.1.1.0 24 192.168.100.254

查看ChuKou_3设备nat session会话中的State字段——TCP_ESTABLISHED

因此,此次故障问题的原因即是HX_1设备缺少相关路由;

总结

分层思路是排查网络故障的有效手段;

边界路由器与内网核心单独规划互联IP,不建议使用业务IP地址进行互联;

基于TCP的应用,可使用telnet的方式测试该应用的服务端口;

TCP是面向连接的、可靠的传输层协议,基于TCP的应用程序间传输数据之间需进行TCP三次握手,然而,它依赖于网络层已打通,特别是跨三层的数据传输,路由层面要双方可达。

版权声明:

作者: freeclashnode

链接: https://www.freeclashnode.com/news/article-1465.htm

来源: FreeClashNode

文章版权归作者所有,未经允许请勿转载。

免费节点实时更新

热门文章

最新文章

归档