排除回指路由故障

引言： 回指路由簡單點講就是回到本地網絡的路由，一般都是一條或者多條靜態路由來完成。筆者單位為了方便服務器從互聯網上遠程管理和登錄，具體方法是使用一對一的NAT來實現，但是配置完畢后不能實現在公網上登錄，經過對NAT數據配置檢查，并對數據轉發路徑的分析后發現是沒有設置回指路由。本文介紹故障的處理過程。

故障現象

近日，為了方便服務器從互聯網上遠程管理和登錄，我們給服務器設置了一個私網地址10.66.69.117，然后將該私網地址使用一對一的NAT轉換出去，但是數據配置做好后，發現從公網上不能訪問該服務器。這里簡要介紹一下NAT的定義，當在內部網絡的一些主機本來已經分配到了本地IP地址（即僅在本內部網使用的專用地址），但現在又想和因特網上的主機通信（并不需要加密）時，可使用NAT方法來解決。NAT的實現方式分為靜態、動態和端口的多路復用三種方式，這里我們使用到的是靜態NAT即一對一NAT，一個私網地址對應一個公網地址。

故障分析

知悉NAT的定義和故障現象后，立即展開排查，首先在內網中ping 10.66.69.117這臺服務器，結果是正常的。然后使用可以訪問互聯網的PC機Ping公網地址 111.161.66.241，結果是Ping不通的。這樣就可以得出結論，內網服務器部署是沒有問題的，而且服務器是開放ICMP協議的，既然轉換后的公網地址Ping不通，那問題出在哪呢？

接下來重新梳理下思路，認真檢查NAT的配置，均沒有發現問題。這個時候在服務器上設置DNS后，該服務器是可以正常訪問Internet，然后在互聯網上查看了一下本機轉換出去的公網地址的確是111.161.66.241，這就說明數據從內網到互聯網這一鏈路是沒有問題的。那么，從公網上訪問服務器是不是存在問題呢？經過查找資料得知，需要在我們的核心路由器上配置回指路由。在這里需要簡要介紹一下網絡拓撲機構（如圖1）。

通過圖1可以看到，兩臺核心路由器連接流控設備，流控設備上連接的是互聯網出口，其中從BRAS到兩臺核心路由器路徑是等價的，意思是BRAS到核心路由器的數據轉發是負載均衡的。而且核心路由器使用默認路由指向流控設備，通過NAT和策略路由將內網數據轉發到互聯網出口處。這里，兩臺核心路由器至流控設備也是等價的，從而實現數據的負載均衡。

故障排除

圖1 網絡拓撲結構

再回到剛才訪問服務器的問題上來，數據流從互聯網出口到達流控設備后，有兩條路徑轉發給核心路由器，這樣就會引起數據轉發有問題，所以需要人為地定義一條路由指向核心路由器，這里我們定義將回指路由指向核心路由器-1，具體的配置命令為：

IP route 10.66.69.117 2 5 5.2 5 5.2 5 5.2 5 5 10.254.148.53

上面回指路由的意思是將目的訪問10.66.69.117的數據轉發給核心路由器即 10.254.148.53，該地址是核心路由器-1和流控設備的互連接口地址。當然，這里也可以將下一跳指向核心路由器-2道理是一樣的。完成回指路由的配置工作后，再次從公網上訪問服務器是正常的。同時也可以正常Ping通111.161.66.241這一NAT后的地址。

經驗總結

從得知網絡故障現象開始，使用Ping命令，排除了內部網絡故障的嫌疑，然后認真檢查設備的NAT配置，并結合網絡拓撲結構對數據轉發路徑的轉發進行分析，得到網絡故障是因為沒有配置回指路由引起的。

該故障處理完成后回過頭來思考數據的轉發都是雙向的，即一來一回，只有數據兩個方向都沒有問題了，才能達到數據通訊的正常。其實，網絡故障的出現并不可怕，怕的是找不到頭緒，這就要求我們結合網絡結構，認真分析網絡通訊的過程，從而最終找到故障點。同時，還要做好故障的歸納總結工作，故障處理經驗文檔化的過程，是排除故障寶貴經驗的總結，它記錄了此次故障排除過程中所有的操作和配置改動。這些也是下次進行故障定位的重要依據，為故障的解決贏得先機。